Google sabe los datos de 1,6 millones de pacientes británicos de forma ilegal
El acuerdo de colaboración entre los hospitales de la sanidad pública británica (NHS por sus siglas en inglés) y DeepMind “incumplió la ley de protección de datos”. La frase forma parte de un informe que firma Elizabeth Denham, presidenta de la Oficina de la Comisión de Información del Reino Unido (ICO por sus siglas en inglés). El ente público, que responde directamente ante el Parlamento, ha dirigido una investigación que ha durado más de un año en la que ha encontrado varios “defectos”.
Los fallos han ocurrido en la manera en la que los datos fueron manejados por la subsidiaria de Google. Denham y su equipo también creen que 1,6 millones de pacientes no fueron debidamente informados sobre el uso que se le iba a dar a sus historiales médicos.
Los hospitales del NHS forman en Reino Unido un sistema similar a nuestra Seguridad Social. Son los mismos que en mayo fueron atacados por WannaCry. Dependiendo de la localización y del centro, los pacientes pueden optar a una gama más o menos amplia de servicios. Por su parte, DeepMind, que le costó a Google 400 millones de dólares hace tres años, se dedica al desarrollo de sistemas de aprendizaje automático y a la inteligencia artificial.
Son socios desde septiembre de 2015, cuando firmaron un contrato para compartir los historiales médicos de varios centros. Los hospitales ponían los datos y DeepMind, la tecnología: el fin último era desarrollar Streams, una app para monitorizar a los enfermos de riñón adscritos al NHS. Eso ocurrió exactamente siete meses después de que la revista New Scientist publicase que, gracias al acuerdo, Google tenía acceso a los datos de 1,6 millones de pacientes británicos. La multinacional se limitó a decir que la posesión de esos historiales era necesaria para su cometido.
“Debieron y pudieron haber sido más transparentes”
“El precio de la innovación no tiene que ser lo que erosione los derechos fundamentales a la privacidad”, explica la comisaria del ICO en la investigación. Ninguno de los pacientes dio su consentimiento para que sus datos fueran procesados por DeepMind porque nadie les preguntó si querían hacerlo. A día de hoy, Google sabe cuáles de ellos han sufrido trastornos psicológicos, si tienen VIH o no, cuántos acuden regularmente al cardiólogo o si se han roto una pierna o un brazo en los últimos cinco años.
En el contrato, de ocho páginas, se detallaba el tratamiento de los datos, el método para transferirlos, el lugar donde se guardarían y sobre quién recaerían las responsabilidades del proceso (Google). También se especificaba que DeepMind no podría tener acceso a los datos privados de los pacientes ni utilizar ninguna inteligencia artificial o sistema de machine learning para procesarlos. Dos años después, el ICO concluye que ninguna de las partes cumplió el acuerdo.
Paralelamente, la multinacional mantiene al menos otros dos acuerdos con más hospitales del Reino Unido: uno para tratar las enfermedades oculares y otro para el tratamiento del cáncer. En noviembre del año pasado, la IA de Google logró predecir la ceguera en pacientes diabéticos, aunque poco se sabe del último.
“El Trust (de NHS) debió y pudo haber sido más transparente con sus pacientes y con lo que estaba pasando”, continúa el observatorio. DeepMind y el NHS han respondido al informe diciendo que los pacientes dieron su “consentimiento implícito” para compartir la información; ya que, cuando Streams estuviese terminado, se beneficiarían de una “atención sanitaria directa”. Según el ICO, el acuerdo entre las dos partes no cumplía del todo la Data Protection Act (la ley de protección de datos).
¿Qué le pide el ICO a la Seguridad Social británica?
“Hemos pedido al Trust que haga varios cambios que subsanen los defectos, así que su cooperación es bienvenida. La Ley de Protección de Datos no es una barrera para la innovación pero necesita ser tenida en cuenta allá donde los datos de la gente estén siendo usados”. Entre las peticiones se encuentran “establecer las bases legales apropiadas bajo la Ley de Protección de Datos para este y los acuerdos futuros”, “determinar cómo cumplirá su deber de confidencialidad con los pacientes en los acuerdos futuros que impliquen datos personales”, “completar una evaluación del impacto sobre la privacidad, incluyendo los pasos específicos para asegurar la transparencia” y “comisionar una auditoría cuyos resultados serán compartidos con el ICO”.
Por su parte, DeepMind asume haber cometido varios errores en el acuerdo original (que fue renovado automáticamente cuando anunciaron Streams) y reconoce que deberían de haber explicado el contrato al público y a los pacientes: “Subestimamos la complejidad del NHS y de las leyes en torno a los datos de pacientes”, dice la compañía subsidiaria de Google.