1. Introducción y estado de la cuestión
A la hora de escribir estas líneas, la COVID-19 se había convertido ya en la primera pandemia declarada del siglo XXI. La elevada proporción de afectados que requieren de un ingreso hospitalario prolongado, que involucra el uso de recursos ya de por sí escasos, ha requerido de una demanda extraordinaria y sostenida de asistencia sanitaria imposible de satisfacer adecuadamente por unos sistemas sanitarios saturados y unos proveedores de servicios comunitarios esenciales que no se encontraban preparados.
Ante esta situación, se hace necesario pensar en nuevas herramientas capaces de apoyar a las tradicionales en la lucha contra una amenaza tan extraordinaria como la que nos atañe. Estamos asistiendo a una auténtica revolución tecnológica -a marchas forzadas- en la que se está exaltando el recurso a tecnologías de observancia, procesamiento y explotación de datos (personales y no personales) que anteriormente venían causando fuertes reticencias éticas y jurídicas: la geolocalización, la videovigilancia, la biometría o la inteligencia artificial, entre otras.
Dichas propuestas, como no podría ser de otra forma, han venido acompañadas de insondables debates en literatura académica y científica, pues no puede ni debe obviarse que la utilización de datos personales compromete, entre otros, la privacidad y el derecho a la autodeterminación informativa de las personas.
Sin embargo, esta vorágine de producción científico-jurídica apenas ha llegado a tañer uno de los instrumentos que, a nuestro juicio, resulta crucial, no solo para la superación de la presente crisis sanitaria, sino también para la eventual prevención y evitación de posteriores emergencias similares: la consecución de una comunidad científica e investigadora paneuropea e internacional con acceso a grandes cantidades de datos de manera estable, segura y controlada.
Negar, pues, que nos encontramos ante un problema supranacional que requiere respuestas unitarias es poco menos que una aproximación aislacionista -e incluso, egoísta-. La construcción de una comunidad científica paneuropea e internacional es una demanda histórica del sector médico, investigador y científico, tal y como hemos venido sosteniendo1. La globalización en el uso y explotación de datos personales lleva años produciéndose en el sector privado (finanzas, seguros, analítica, publicidad, servicios de internet etc.). No obstante, su uso con fines de investigación ha tenido que hacer frente, tradicionalmente, a fuertes reticencias sociales, éticas y jurídicas.
Con este artículo pretendemos contribuir al impulso de una mayor y mejor cooperación internacional, abordando, específicamente, la problemática ética y jurídica de la compartición internacional de datos personales; no tanto como un debate vacuo sin pretensiones prácticas, sino como una auténtica declaración de necesidad, proporcionalidad y conveniencia para:
Aunar respuestas, medidas, criterios y esfuerzos en materia de vigilancia y control epidemiológicos.
Compartir conocimientos comunes y resultados (precisos, exactos, veraces y verificables) de las medidas de control de la pandemia adoptadas por los diversos Estados y regiones.
Acelerar la investigación de nuevos medios y pruebas de diagnóstico, fármacos, tratamientos o vacunas desde un enfoque de cooperación y solidaridad paneuropea e internacional.
Procurar la creación, impulso y permanencia de una comunidad médico-científica internacional, con acceso seguro, fiable y controlado a diversidad de datasets que puedan contribuir a la anticipación de futuras epidemias similares.
Todo ello, con la firme convicción de que la COVID-19 constituya un verdadero punto de inflexión, un game changer, como acertadamente lo describe el Supervisor Europeo de Protección de Datos (EDPS)2. Cabe preguntarse, por ende, si la presente situación supondrá un cambio en la concepción colectiva que existe actualmente sobre el RGPD3. Que seamos conscientes de que el uso de datos con fines de investigación médica o científica es plenamente compatible con nuestros principios éticos y de protección de datos personales. Que estos no se erigen ni deben contemplarse como un obstáculo a la protección de la salud pública ni a la investigación -como tanto se está incidiendo-. Que se trata, fundamentalmente, de un problema de falta de voluntad que hemos venido arrastrando, tanto política -falta de consenso- como social -desconfianza y negación- y económica -falta de medios y recursos-.
2. La necesidad de compartir internacionalmente datos personales con fines de investigación: sentando las bases de una cooperación médico-científica internacional
El pasado 6 de abril de 2020, el EDPS hizo un llamamiento público a la adopción de un enfoque paneuropeo para la superación de la pandemia, mediante un texto que abogaba por una "Solidaridad Digital Europea".4
La declaración del Supervisor es un paradigma inmejorable de lo que pretendemos transmitir por medio del presente artículo. Es un ejemplo de lo "pequeño y conectado que es nuestro mundo, de lo similares que son nuestros problemas y de lo importante que es afrontarlos juntos buscando la fuerza y la firmeza entre nuestras naciones"5. Imprescindible se hace la mención que se realiza del Considerando 4 del RGPD: "el tratamiento de datos personales debe estar concebido para servir a la humanidad", por lo que, en ningún caso, debemos contemplar dicha normativa como un pretexto o excusa para no actuar; pues también existirá responsabilidad por no utilizar todas las herramientas que tenemos en nuestras manos para luchar contra la pandemia6. Se realiza, finalmente, un llamamiento a la "solidaridad digital", destacándose las virtudes del recurso a la cooperación y a la tecnología para servir a la protección de los valores humanos más fundamentales y abandonándose, con ello, una perspectiva meramente económica y privativa de los bienes y servicios digitales, que tanto descrédito y desconfianza ha sembrado.
La adopción de este enfoque de cooperación paneuropea no debería ser, a estas alturas una declaración ad hoc. Debería ser una actitud inherente a unos Estados que durante años vienen delegando soberanía en instituciones de gobernanza común y que han decidido, motu proprio, dotarse de mecanismos normativos comunes en el marco de un largo proceso de construcción e integración de naciones y culturas. La solidaridad europea es un valor intrínseco a la unión de la Unión. Tenemos la fulgurante oportunidad de aprovechar los mecanismos comunes de los que nos hemos dotado para erigirnos como una auténtica referencia mundial en cooperación médico-científica. Pero, además, tenemos la ocasión inmejorable de demostrar que el estándar europeo de privacidad, tan injustamente denostado y criticado en muchas ocasiones, es plenamente compatible con el progreso científico y económico, y que es capaz de hacer frente a situaciones de excepcionalidad sin realizar concesiones desproporcionadas para con otros derechos fundamentales. Si anhelamos, pues, la compartición internacional de datos personales pro investigación de una manera segura, proporcional y respetuosa con la privacidad y la ética: ¿existe mejor forma de hacerlo que predicando con el ejemplo?
La cooperación paneuropea no debe ser sino el principio, pues situaciones como la presente requieren enfoques y respuestas que los ámbitos regionales no pueden abarcar. Al fin y al cabo, ¿podría una catástrofe sanitaria y humanitaria que es inaceptable en China ser aceptable en el Reino Unido o en Estados Unidos?7
Por ello, abogamos en el presente artículo por la adopción de un enfoque de cooperación internacional. En primer lugar, porque el brote actual no ha hecho sino demostrar que un problema de salud pública de una sola nación, en un mundo conectado y globalizado, puede convertirse pronto en un problema mundial8. En segundo lugar, porque la compartición rápida y eficiente de datos es la base para la acción en materia de salud pública9, así como la cooperación transparente entre Estados, agencias e instituciones10. En tercer lugar, porque un control efectivo y una adecuada adopción de decisiones desde el punto de vista epidemiológico requieren la obtención de datos precisos y en tiempo real11, así como comprender que los datos poco precisos o defectuosos pueden convertirse en una auténtica "bala de plata" que lleve a las autoridades a la toma de decisiones inadecuadas12. En última instancia, porque la cooperación es, asimismo, imprescindible en un enfoque multidisciplinar, involucrando a pluralidad de sectores e incluso a multitud de áreas y especialistas dentro de la propia medicina.13
Por todo ello, consideramos que resulta esencial abogar por una perspectiva global que ofrezca soluciones generalmente aplicables y que se estatuya en vastos principios de solidaridad y proporcionalidad. Y ello, como se verá a continuación, no conlleva ni debe conllevar renuncias a nuestros más fundamentales principios éticos y jurídicos.
3. Aspectos éticos
Como venimos sosteniendo, cualquier tipo de análisis que pretenda realizarse sobre un contexto como el que se nos presenta debe partir necesariamente de reconocer lo evidente: la propia declaración de una emergencia sanitaria como pandemia entraña, por sus propias características, una escala y alcance globales. De hecho, si algo ha quedado patente es que hemos de pasar necesariamente desde un enfoque atomizado, basado en el individuo como unidad esencial en la arquitectura de la sanidad pública a otro en el que es, por el contrario, el colectivo, en cuanto que grupos de pacientes o ciudadanos o, incluso, la sociedad en su conjunto, el que ha de primar en la toma de decisiones o en el establecimiento de la primacía de intereses. Estamos, en este sentido, profundamente de acuerdo con nuestros colegas del Observatori de Bioética i Dret cuando sostienen que
"una emergencia de salud pública puede obligar a cambiar la práctica de los profesionales, es decir, a modificar los estándares de atención, de tal manera que el profesional haya de priorizar su deber hacia la comunidad sobre los deberes de respeto al individuo". 14
No se nos escapa que, en principio, lo que acabamos de señalar iría claramente en contra de lo manifestado por los documentos más importantes de entre todos los que se refieren a la investigación en bioética. No olvidemos en este sentido lo que señala la Declaración de Helsinki15 en su principio 8 o el artículo 2 del Convenio de Oviedo16, que prácticamente lo reproduce: "el interés y el bienestar del ser humano deberán prevalecer sobre el interés exclusivo de la sociedad o la ciencia".
No hay que olvidar, no obstante, que ambos documentos tienen, al menos en sus versiones originales, ya cierta antigüedad, lo que se traduce en ciertas taras que merman su acierto17. Es, además, necesario destacar que la Declaración de Helsinki surge, como otros muchos documentos relacionados con la investigación biomédica, en un contexto en el que todavía se hallaban bien presentes los horrores cometidos por la experimentación realizada perjudicando seriamente la salud e incluso la vida de los afectados, ya fuera en el contexto de la II Guerra Mundial o, posteriormente, en casos tan famosos como el de Tuskegee.18
Esta necesaria defensa de bienes esenciales para el individuo como los citados no debería, en ningún caso, interpretarse, en sentido contrario, como una pertinaz negativa al predominio de sus intereses y derechos frente a los intereses de la sociedad en su conjunto, sobre todo en un contexto en el que esto puede dificultar la adopción de medidas pertinentes para adoptar decisiones globales susceptibles de salvar vidas. Pertinente resulta, pues, a nuestro juicio, que si el uso de los datos obtenidos en la investigación biomédica pueden servir para establecer patrones de respuesta a tratamientos, o si otro tipo de datos son susceptibles de facilitar las decisiones de salud pública no sólo existe la posibilidad, sino el deber de proceder a habilitar los mecanismos éticos y jurídicos que hagan viables estas opciones. Así lo demanda una interpretación cabal del principio de beneficencia, que nos obliga a hacer todo lo posible para salvar vidas humanas, a través de una intervención activa que permita aprovechar al máximo los recursos a nuestro alcance. Y es que, como indica acertadamente el Nuffield Council on Bioethics:
"para evaluar y predecir las tendencias de las enfermedades infecciosas es aceptable que se recojan y utilicen datos anónimos sin consentimiento, siempre que se reduzca en la medida de lo posible la invasión de la intimidad. Puede justificarse éticamente la recopilación de datos no anónimos sobre personas sin consentimiento si ello significa que se evitará un daño significativo a los demás".19
Nótese, en todo caso, que lo que acabamos de señalar no pretende ser una llamada a vulnerar derechos individuales fundamentales, como la privacidad, en aras de preservar otros superiores. La manida teoría de la balanza, que viene a oponer necesariamente unos derechos y otros resulta tan falaz como inoportuna. Quizás sea ahora el momento de recordar que disponemos de mecanismos técnicos y jurídicos suficientes como para garantizar ese derecho a la privacidad y protección de datos sin comprometer la decidida defensa de la salud pública. La cuestión radica, a nuestro juicio, utilizar nuestro ingenio para proponer fórmulas éticas y jurídicas capaces de ofrecer respuestas sólidas a las nuevas necesidades presentes, respetando siempre el principio de proporcionalidad, que resulta fundamental no sólo en lo que atañe al uso de datos, sino a las respuestas frente a situaciones de pandemia en general20. A esto, precisamente, es a lo que dedicaremos nuestro próximo apartado.
4. Aspectos legales
En el momento en que este artículo ve la luz existen ya multitud de debates abiertos sobre los potenciales efectos perniciosos que la pandemia podría tener en determinados derechos fundamentales. Se ha llegado incluso a plantear si la privacidad puede ser otra de las víctimas de la COVID-1921 o si las concesiones y restricciones en materia de vigilancia, tracing, tracking y seguridad de la ciudadanía pudieran llegar a ser permanentes.22
Resulta innegable que en el presente contexto de emergencia existe una pugna o liza entre derechos e intereses: privacidad, protección de datos, intimidad, protección de la salud pública, interés público, integridad física, dignidad, etc. No obstante, esta situación de conflicto entre derechos o bienes jurídicos protegidos es habitual en el mundo jurídico y ya ha sido resuelta, cuando no por nuestra normativa, por los tribunales. En ello han incidido de manera insistente la práctica totalidad de autoridades de protección de datos europeas:23
La normativa de protección de datos europea no obstaculiza ni limita la efectividad de las medidas que adopten las autoridades en la lucha contra la pandemia y en la protección de la salud pública. La protección de datos no puede, de ninguna manera, constituir un obstáculo para salvar vidas24, pues, en última instancia, el tratamiento de datos personales debe estar concebido para servir a la humanidad.25
El derecho a la protección de datos de carácter personal no se deroga ni deja de ser efectivo, pues la normativa sigue estando plenamente vigente y aplicable. La propia norma contiene una regulación para compatibilizar y ponderar los derechos e intereses en liza en aras de la consecución del bien común26, y es lo suficientemente flexible para permitir la adopción de medidas de protección frente a pandemias.27
Consecuentemente, el tratamiento de datos de carácter personal a fin de hacer frente a situaciones de pandemia y emergencias en materia de salud pública está contemplado y permitido expresamente por nuestra norma, e incluso, es susceptible de discurrir por diversos cauces legales, tanto en lo relativo a datos no sensibles (arts. 6.1.e y 6.1.d del RGPD) como a datos especialmente protegidos como los genéticos o los relativos a la salud (arts. 9.2 letras c, g, i, h). Incluso se prevé expresamente la posibilidad de realizar tratamientos de datos personales sensibles para destinarlos a la investigación científica (en sentido amplio), ya sea esta su finalidad primigenia o secundaria, mecanismo tan interesante como infrautilizado que ya examinamos profusamente en otra obra.28
Por supuesto, la norma no es perfecta, ni mucho menos. Contiene claroscuros, conceptos jurídicos indeterminados y multitud de remisiones a derecho interno de los Estados miembros. Por ejemplo, para la determinación de qué se entiende por interés público o de las garantías y salvaguardas adecuadas del art. 89. No obstante, no deja de ser un vago pretexto para justificar la falta de consenso y voluntad por conseguirlo, pues la noción de salud pública29 o la de amenazas transfronterizas graves para la salud30 sí se halla armonizada y el propio texto europeo alude a infinidad de garantías y medidas de seguridad, técnicas, jurídicas y organizativas que todos los Estados europeos harían bien en convenir y asumir para el impulso de una acción y respuesta común y unitaria.
Empero, como venimos sosteniendo, el ámbito de respuesta a la pandemia exige superar un enfoque meramente europeísta. Es necesario articular una auténtica cooperación científica y médica internacional a la que puede contribuir sobremanera la compartición de datos personales en un marco seguro y controlado. Y, en este punto, la norma europea, pese a lo que pudiera en principio parecer, tampoco constituye una traba u obstáculo insalvable.
Las normas generales aplicables a las transferencias internacionales de datos, esto es, a los tratamientos de datos personales entre un Estado miembro de la UE y un tercer Estado u organización internacional se establecen en los arts. 44 a 50 del Reglamento. Existen, por ende, multitud de cauces para articular una compartición internacional de datos. Con anterioridad ya hemos venido defendiendo la posibilidad y conveniencia de articular consorcios u organizaciones de cooperación científica paneuropeas e internacionales de manera segura y sostenible en el tiempo.31
Sin embargo, la situación que nos atañe exige respuestas inmediatas e incluso excepcionales, pues difícilmente puede exigirse ahora a los diversos sujetos y actores públicos y privados que "se sienten" a redactar un código de conducta o una decisión de adecuación -sin perjuicio, como venimos sosteniendo, de que resulte imprescindible adoptar posteriormente mecanismos de cooperación permanentes en el tiempo por medio de los instrumentos jurídicos y éticos más adecuados-. Esta situación de excepcionalidad también ha sido prevista por la norma europea, que prevé diversas "excepciones para situaciones específicas" cuya concurrencia (al menos de una de ellas) determinará la posibilidad de llevar a cabo la transferencia, incluso en ausencia de decisión de adecuación o de mecanismos de aportación de garantías adecuadas.32
De entre todas estas excepciones, debe destacarse, sin duda, la del art. 49.1 letra d), que permite la realización de las transferencias cuando "sean necesarias por razones importantes de interés público", siempre que dicho interés se encuentre reconocido por el Derecho de la Unión o de los Estados miembros33. Este último punto es el que más dudas puede llegar a suscitar de cara a su aplicabilidad práctica, pues realiza una remisión genérica al Derecho de la Unión o de los Estados para la determinación de dichas razones importantes de interés público. No obstante, de nuevo, consideramos que es una previsión soslayable y justificada en el escenario actual por los siguientes motivos:
Porque el propio Reglamento aduce que dicha excepción es aplicable a los casos de intercambios internacionales de datos entre autoridades y servicios en materia de sanidad pública, por ejemplo, en caso de contactos destinados a localizar enfermedades contagiosas.34
Porque, como hemos referido supra, las nociones de salud pública y amenaza transfronteriza grave para la salud sí se hallan armonizadas a nivel europeo, pudiendo articularse una respuesta justificada unitaria en salvaguarda del interés público que las subyace.
Porque el EDPD viene entendiendo que la existencia de un acuerdo o convención internacional que reconoce determinados objetivos comunes y provee de mecanismos de cooperación internacional para su satisfacción puede constituir, asimismo, un indicador de la existencia de un interés público del art. 49.1 letra d)35. En este sentido, también sería viable acudir a textos o acuerdos internacionales como el Reglamento Sanitario Internacional36 o el Pacto Internacional de Derechos Civiles y Políticos37 como base para justificar la existencia de un interés público común y compartido.
En consecuencia, no solo es posible articular tratamientos y comparticiones de datos a nivel paneuropeo para hacer frente a la pandemia, sino que también es viable en la praxis y ajustada a derecho su realización a nivel internacional. Por supuesto, el recurso a las excepciones del artículo 49 no puede ser sistemático en el tiempo38, pues esa misma es la virtualidad de la excepción, mas ello no debe impedir una primera respuesta colectiva que pueda resultar, más tarde, sustituida por mecanismos de cooperación y compartición más estables en el tiempo.
A nuestro juicio, por ende, no resulta pertinente enquistar a la comunidad académica y científica en baldías discusiones sobre los potenciales riesgos para la intimidad, la privacidad o la protección de datos personales de las respuestas comunes a la crisis sanitaria. Se trata ahora de adoptar una posición pragmática y determinante en la que, haciendo uso de los mecanismos, principios y salvaguardas previstos por nuestro propio marco normativo común, seamos capaces de dar respuestas globales a la pandemia. Y ello no implica, en ningún caso, socavar nuestros principios normativos o jurídicos, pues el hecho de seguir los cauces y garantías que ofrece la norma constituye, a su vez, una salvaguarda de la plena compatibilidad de la protección de datos personales con el resto de derechos e intereses en liza, ponderación ya prevista y efectuada, ex ante, por el legislador en el curso de las previsiones normativas.
Tampoco resulta acertada, a nuestro juicio la posición que aduce que, precisamente, es el seguimiento de esos cauces y mecanismos tasados lo que obstaculiza y ralentiza la investigación y la adopción de respuestas comunes. La compartición de datos no puede, en ningún caso, ser indiscriminada. Y ello no solo por la propia obligación de respetar los principios básicos de la protección de datos personales o de la ética de investigación. La compartición no puede ser indiscriminada por razones, asimismo, puramente científicas: el acceso a datasets por parte de investigadores no es solo una cuestión cuantitativa sino cualitativa. No es suficiente con que existan multitud de datos o conjuntos de datos compatibles entre sí. El éxito de la compartición y del estudio en sí mismo dependerá de las cualidades y características de los propios datos: que se trate de datos de calidad, datos fiables, verificados y verificables39. Y esto únicamente puede garantizarse con un control y monitorización ex ante y ex post.
Por último, porque el seguimiento de los cauces legales y éticos expuestos, a la vez que posible y viable, es vital para la transparencia y trazabilidad de las decisiones adoptadas y para el control público inherente a toda sociedad democrática. Constituye una auténtica garantía de que los datos no vayan a ser utilizados para otros fines (compañías de salud o aseguradoras)40 y de que las políticas y prácticas de emergencia, vigilancia o seguridad no vayan a perdurar de manera ilimitada y desproporcionada en el mundo pospandémico41. Sin obviar, en última instancia, como mentábamos, la fulgurante oportunidad que se nos presenta para crear y adherirnos a altos estándares comunes de calidad de los datos, privacidad y seguridad.42
5. Conclusiones
La sociedad interconectada y globalizada ha contribuido, sin ningún atisbo de duda, a la expansión y propagación del nuevo brote de Coronavirus. El propio fenómeno de la globalización ha implicado que nos hayamos convertido, sin atisbarlo ni pretenderlo, en "ciudadanos pandémicos", como brillantemente lo define el Prof. Calzada43. Esto es, en ciudadanos que comparten los mismos miedos, incertidumbres, riesgos y preocupaciones, pero que se encuentran atrapados "entre los nuevos muros y las viejas fronteras."44
Una magnífica expresión que denota la incredulidad a la que asistimos ante las actitudes y respuestas individualistas que los Estados han adoptado como reacción a una crisis sanitaria global y globalizada. Así pues, por mor del presente texto hemos venido a defender la necesidad y la virtualidad de emprender una acción colectiva, primero, paneuropea y, luego, internacional, para hacer frente con la mayor celeridad, eficiencia y eficacia posibles a la emergencia de salud pública en la que nos hallamos sumidos. Y ello porque no debiera ser admisible que el nivel de internacionalización alcanzado en tantos otros aspectos no tenga una necesaria traslación al ámbito científico-médico.
Resulta innegable la existencia de contradicciones jurídico-éticas en la construcción y desarrollo de este tipo de mecanismos de cooperación y compartición de datos, incluso en lo relativo a datos no personales. No obstante, seguimos aduciendo que dicha posibilidad existe y es factible desde el punto de vista ético y normativo. Por tanto, ni la norma es una perversa rémora a la investigación o la cooperación ni el recurso a la tecnología y a medios y soluciones innovadoras supone socavar la esencia de la privacidad o de la democracia.
Las sociedades europeas no solo son capaces de llevar a cabo y de exigir un control, auditoría y enjuiciamiento ex post de las decisiones adoptadas por las autoridades y demás sujetos responsables sino que, además, se han dotado de mecanismos ético-normativos suficientes cuya finalidad es, precisamente, la de regular ex ante la viabilidad y proporcionalidad de dichas decisiones. No debemos desaprovechar la oportunidad de salvar vidas y de acelerar la investigación so pretexto del miedo para con la privacidad de las personas cuando, precisamente, nos encontramos ante excepciones en las que la propia norma nos faculta para tratar los datos. Cumplamos con los más altos estándares de ética y de privacidad de los que nosotros mismos nos hemos dotado y optemos valientemente por conformar una comunidad investigadora internacional, con acceso a datos de calidad, en la que todas las personas participemos y de la que todas nos beneficiemos.
Al fin y al cabo, tal y como designa el propio RGPD, los tratamientos de datos personales deben estar concebidos para servir a la humanidad. Y esta no es una aseveración trivial. A menudo olvidamos la esencia misma y el origen del derecho a la protección de datos de carácter personal. Omitimos y obviamos que el objeto de protección no es ni debe ser el dato, sino la persona física. Protejamos, pues, a la persona. Al ser humano.