Por: Rodolfo Guerrero Martínez (México).
Nuestra realidad comprende una máxima, el conocimiento es poder, teniendo presente las limitaciones correspondientes ante un fenómeno o manifestación determinados. Dicha lógica nos dirige mayormente al escenario de los derechos humanos, donde se busca defender a como de lugar, la digna humana.
En ese sentido, los desafíos que surgen en el futuro presente a la luz de las tecnologías de la información y de la comunicación (TIC) resultan enormes, consecuencia de la era de la datificación, la cual se explica por el procesamiento de información hasta su conversión en datos, justamente ello otorgando la medición, almacenamiento y consulta de los activos informacionales mediante las herramientas tecnológicas (1).
Actualmente, se esbozan diversos acercamientos y/o aproximaciones sobre las obligaciones en materia de protección de datos personales, por ejemplo, dirigidos tanto a particulares como a sujetos obligados que propicien la creación de sistemas de aprendizaje automático (de inteligencia artificial) en ámbitos tales como el educativo, sanitario o de salud, legal, contable, entre otros.
Ahora bien, en nuestro objeto de estudio, nos enfocaremos a dirigir el avance tecnológico, sus beneficios y obligaciones hacia un tema sensible y en sobremanera importante, la salud -líneas adelante mencionaremos los rubros concretos-.
El hecho de implementar y además generar sistemas de inteligencia artificial en un ámbito sanitario no sólo debe significar el conocimiento del profesional de la salud, y del ingeniero en sistemas, sino también del operador del derecho. Es decir, el sistema experto debe cumplir la normatividad vigente, así también incentivar los trabajos legislativos necesarios que busquen otorgar mayor certeza jurídica.
Cabe resaltar que, el pasado martes 16 de enero del año en curso, se impartió por su servidor, la conferencia intitulada “la inteligencia artificial bajo el crisol del derecho”, producto de la honrosa invitación generada por la Subdirección de Desarrollo Institucional del Instituto Jalisciense de Cancerología. En ese orden de ideas, se destacó el compromiso del profesional de salud hacia con la protección de datos personales.
En el presente artículo desarrollaremos el decálogo para la creación de sistemas de inteligencia artificial para el sector salud, además de apreciar el caso del Registro Nacional de Cáncer en México, con ello visualizando los rubros en materia la protección de datos personales, y finalmente compartiendo una iniciativa de ley para regular el uso de la inteligencia artificial en el ámbito de la salud.
Decálogo para la creación de servicios nacionales de salud mediante sistemas de Inteligencia Artificial
Resulta primordial para este primer rubro establecer los cuatro principios de la bioética, los cuales son: la no maleficencia, la beneficencia, autonomía y justicia (tal como sostienen Beauchamp y Childress), que garanticen la correcta aplicación de la inteligencia artificial (IA) en el ámbito de la salud pública, por medio de marcos normativos nacionales y regionales (que comprendan estas circunstancias y escenarios), para encargarse de defender tanto derechos individuales como principios éticos. Siguiendo este razonamiento, compartimos a continuación el caso de Italia y sus trabajos en la materia.
El presente documento intitulado “Decálogo para la creación de servicios nacionales de salud mediante sistemas de Inteligencia Artificial” (2), publicado por la autoridad administrativa italiana independiente, denominada el Garante de la Protección de Datos Personales (GPDP) en septiembre de 2023, comprende los siguientes puntos:
(1) Garantizar la transparencia y la explicabilidad de los sistemas de IA utilizados en los servicios de salud.
(2) Asegurar la calidad y la fiabilidad de los datos utilizados en los sistemas de IA.
(3) Garantizar la privacidad y la protección de los datos personales de los pacientes.
(4) Asegurar la equidad y la no discriminación en el acceso a los servicios de salud.
(5) Garantizar la seguridad y la confidencialidad de los datos de salud.
(6) Asegurar la interoperabilidad y la portabilidad de los datos de salud.
(7) Garantizar la integridad y la confidencialidad de los datos personales.
(8) Asegurar la responsabilidad y la rendición de cuentas en el uso de los sistemas de IA en los servicios de salud.
(9) Garantizar la participación y el empoderamiento de los pacientes en la toma de decisiones relacionadas con su salud.
(10) Asegurar la formación y la capacitación adecuadas de los profesionales de la salud en el uso de los sistemas de IA.
Precisamente, el listado de puntos establecido en lo precedente, nos con lleva a preguntarnos diversas vicisitudes, por ejemplo, ¿cuáles son las medidas adecuadas para proteger los derechos, libertades e intereses legítimos de los interesados en el procesamiento de datos de salud mediante IA? Resulta interesante la respuesta que nos dota el Decálogo en comento, en próximas líneas lo señalamos:
(I) Garantizar la integridad y confidencialidad de los datos personales mediante medidas técnicas y organizativas apropiadas, como se establece en el Reglamento General de Protección de Datos (RGDP).
Entre las medidas se nos establece la pseudonimización y anonimización de los datos personales; el acceso restringido a los datos personales solo a aquellos que necesitan procesarlos; la encriptación y protección de los datos personales durante su transmisión y almacenamiento; la implementación de medidas de seguridad físicas, como la protección de los centros de datos y la prevención de acceso no autorizado a los dispositivos de almacenamiento; y la implementación de medidas de seguridad lógicas, como la autenticación de usuarios y la monitorización de los accesos a los datos personales (3).
(II) Cumplir con los principios y obligaciones establecidos en el Reglamento, protegiendo efectivamente el derecho a la protección de los datos personales desde el diseño y por defecto.
(III) Realizar una evaluación de impacto en materia de protección de datos antes de comercializar productos de IA, así como una evaluación de impacto específica para la IA que sea segura, transparente y confiable.
(IV) Adoptar medidas razonables para suprimir o rectificar rápidamente los datos incorrectos en relación con los fines para los que son tratados, garantizando la exactitud y actualización de los datos. En las medidas se incluyen: proporcionar mecanismos para que los titulares de los datos puedan solicitar la rectificación o supresión de sus datos personales; verificar la identidad del titular de los datos antes de realizar cualquier cambio en sus datos personales; establecer procedimientos internos para garantizar que los datos personales sean precisos y estén actualizados; y proporcionar capacitación y concienciación a los empleados sobre la importancia de la precisión de los datos personales y los procedimientos para rectificar o suprimir datos incorrectos.
(V) Respetar las disposiciones específicas destinadas a regular el tratamiento de datos de salud, previstas por el marco regulatorio, y consultar a la Autoridad de Control al redactar actos legislativos o medidas reglamentarias que prevean el tratamiento de datos personales.
De manera que, la consulta de la autoridad tiene como finalidad ayudar a preparar una base jurídica clara, precisa y predecible para el procesamiento de las personas que son sometidas al mismo, de acuerdo con la jurisprudencia del Tribunal de Justicia de la Unión Europea y del Tribunal Europeo de Derechos Humanos.
Por otra parte, ¿cuáles son las bases jurídicas y jurisprudencia relevantes para el tratamiento de datos sanitarios por entidades que persiguen tareas de interés público? En principio, el artículo 9, apartado 2, letra g) del RGPD, establece que el tratamiento de datos de salud por entidades que persiguen tareas de interés público debe basarse en el Derecho de la Unión o de los Estados miembros, respetando la esencia del derecho a la protección de datos y previendo medidas apropiadas y específicas para proteger los derechos e intereses fundamentales del interesado.
Por otra parte, la sentencia del Tribunal Constitucional N. 20 de 2019, que comprende a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) en España, brinda una orientación adicional sobre el tratamiento de datos sanitarios en el contexto de tareas de interés público.
Avances en México para tener sistemas inteligentes en materia de salud
Al principio del presente artículo enfatizamos la relevancia de la premisa, “el conocimiento es poder”, en ese sentido, los datos correctamente usados e instrumentalizamos propician una transformación inteligente valiosa para el ámbito sanitario o de salud. Señalaremos líneas abajo el caso del Registro Nacional de cáncer en México (a propósito, también de la conversación que sostuve con el Instituto Jalisciense de Cancerología).
Cabe señalar que, se han generado propuestas para hacer diagnósticos médicos asistido por IA, donde a través de algoritmos de aprendizaje profundo aplicados en radiología, patología y oftalmología, por ejemplo, los sistemas analicen imágenes médicas para la detección temprana de enfermedades como el cáncer o problemas oculares. Justamente, en el contexto del 3 er Coloquio de Posgrados Instituto de Ingeniería y Tecnología se presentó un trabajo donde un algoritmo pueda hacer la detección del cáncer de piel.
Para el desarrollo del algoritmo el equipo de profesionales (Villalobos, Méndez y Díaz), tuvieron que utilizar la base de datos HAM10000, la cual cuenta con 10015 imágenes de casos que conforman una colección representativa de todas las categorías de diagnóstico importantes en el ámbito de las lesiones pigmentadas, estas han sido confirmadas por medio de patología, seguimiento o microscopía (4).
Por otra parte, poniendo en relieve el caso del Registro Nacional de Cáncer en México, comenzamos mencionando que, tiene como objetivo la integración de una base de datos sobre los casos de cáncer en el país, como previene la Ley General de Salud, en su artículo 161 bis del Capítulo III Bis. Adicionalmente nos indica su fracción primera lo siguiente:
(I) Información del paciente, que se agrupa en los siguientes rubros: a) Datos relacionados con la identidad, historial ocupacional y laboral, observando las disposiciones relativas a la protección de datos personales de los pacientes; b) Información demográfica.
En segundo término, referente a la protección de los datos personales, se deben implementar varios mecanismos:
(1) Acceso a los datos: Los titulares de los datos personales deben tener la capacidad de acceder a sus datos en posesión de particulares o autoridades.
(2) Rectificación de los datos: Los datos deben ser rectificados cuando sean inadecuados, innecesarios o irrelevantes para la autoridad o particular que los tenga.
(3) Cancelación del uso de los datos: El uso de los datos debe ser cancelado cuando resulten inadecuados, innecesarios o irrelevantes para la autoridad o particular que los tenga.
(4) Orientación al titular de los datos: Se debe auxiliar y orientar al titular de los datos personales que lo requiera con relación al ejercicio del derecho a la protección de sus datos.
(5) Entrega de datos a los titulares o sus representantes: Se deben establecer mecanismos para asegurar que los datos personales solo se entreguen a los titulares o sus representantes debidamente acreditados.
Con respecto a aplicación de sistemas de inteligencia artificial, recordemos la obligación de efectuar una Evaluación de Impacto en la Protección de Datos Personales (EIPDP) (5), al ser un documento de análisis, en el cual los responsables del tratamiento de datos personales del sector público valoran los impactos reales respecto de un tratamiento intensivo o relevante de datos personales.
Señalamos en los sucesivo los pasos para realizar una EIPDP:
(1) Identificar y describir los riesgos potenciales y probables que entrañen los tratamientos intensivos o relevantes de datos personales.
(2) Describir las acciones concretas para la gestión de los riesgos.
(3) Analizar y facilitar el cumplimiento de los principios, deberes, derechos y demás obligaciones previstas en la Ley General de Datos, respecto a tratamientos intensivos o relevantes de datos personales.
(4) Fomentar una cultura de protección de datos personales al interior de la organización del responsable.
Enfatizamos que la EIPDP deberá aplicarse cuando el responsable pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que a su criterio impliquen el tratamiento intensivo o significativo de datos personales, tanto de carácter general o particular.
Finalmente, podemos añadir a lo establecido en este aparatado, una de las iniciativas de ley más actuales en busca regular el uso de la inteligencia artificial en el ámbito de la salud. Nos referimos a la Iniciativa con proyecto de decreto por el que se adicionan diversas disposiciones a la Ley General de Salud, para la regulación de la inteligencia Artificial (IA) en el Sistema Nacional de Salud (6), presentada en el año 2023 por el diputado federal Favio Castellanos Polanco, integrante del Grupo Parlamentario de Morena.
Dicho documento propone diversas medidas para proteger la privacidad de los datos personales sensibles utilizados por los sistemas de inteligencia artificial en el ámbito de la salud, algunas son:
(I) Garantizar que los prestadores de servicios de salud, desarrolladores y proveedores de sistemas de inteligencia artificial destinados a utilizarse en el ámbito de la salud, tengan la obligación de garantizar la protección de los datos personales sensibles de las personas durante todas las etapas de la investigación y utilización para fines médicos; (II) establecer que los datos de los pacientes utilizados para entrenar y alimentar los sistemas de inteligencia artificial deben ser anónimos y tratados con estricta confidencialidad, de acuerdo con la ley en la materia; (III) establecer que la obtención de los datos debe darse mediante consentimiento informado, especificando a la población los fines y medios por medio de los cuales se tratará su información; (IV) establecer que los datos obtenidos para fines médicos solo podrán usarse para este propósito y serán eliminados en términos de la ley en la materia cuando dejen de tener utilidad; y (V) establecer que la Secretaría de Salud será responsable de emitir la normatividad correspondiente para regular el uso de la inteligencia artificial en el Sistema Nacional de Salud, incluyendo la protección de datos sensibles en los sistemas de inteligencia artificial destinados a utilizarse en el ámbito de la salud
Notas
(1) GUERRERO MARTÍNEZ, Rodolfo, 2023. “La inteligencia artificial desde la perspectiva de los derechos humanos. Véase en: https://noticiasncc.com/plumas-ncc/09/25/plumas-ncc-la-inteligencia-artificial-desde-la-perspectiva-de-los-derechos-humanos/
(2) Garante per la protezione dei dati personali (GPDP), “Decálogo para la creación de servicios nacionales de salud mediante sistemas de Inteligencia Artificial”, 2023. Véase en: https://www.gpdp.it/documents/1016/ /Decalogo+per+la+realizzazione+di+servizi+sanitari+nazionali+attraverso+sistemi+di+Intelligenza+Artificiale.pdf/a5c4a24d-4823-e014-93bf-1543f1331670?version=2.0
(3) Reglamento de Protección de Datos. Véase en: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679 Mención especial al Article 25 Data protection by design and by defaul
(4) VILLALOBOS ROMO, MÉNDEZ GONZÁLEZ Y DÍAZ ROMÁN, 2022. “Algoritmo basado en aprendizaje profundo para la detección de cáncer de piel”. Véase en: https://erevistas.uacj.mx/ojs/index.php/memoriascyt/article/view/5171
(5) INAI, 2020. Evaluaciones de impacto en la protección de datos personales. Véase en: https://micrositios.inai.org.mx/eipdp/?page_id=89
(6) CASTELLANOS POLANCO, Favio, 2023. Iniciativa con proyecto de decreto por el que se adicionan diversas disposiciones a la Ley General de Salud, para la regulación de la inteligencia Artificial (IA) en el Sistema Nacional de Salud. Véase en: https://infosen.senado.gob.mx/sgsp/gaceta/65/2/2023-07-25-1/assets/documentos/Ini_Morena_Dip_Castellanos_Diversos_Art_Ley_Salud.pdf
***
Rodolfo Guerrero es abogado por la Benemérita Universidad de Guadalajara y maestro en derecho con orientación en materia Constitucional y administrativo por la misma casa de estudios. Es Socio Fundador y Representante Legal de la Sociedad Civil Coffee Law “Dr. Jorge Fernández Ruiz”. Socio fundador de la Academia Mexicana de Derecho “Juan Velásquez” A.C. Titular de la Comisión de Legaltech del Ilustre y Nacional Colegio de Abogados de México A.C. Capítulo Occidente. Vicepresidente de la Academia Mexicana
- Plumas NCC | Principios rectores de la Inteligencia Artificial - noviembre 18, 2024
- NCC Radio – Emisión 285 – 18/11/2024 al 24/11/2024 – La UNAM y la Comisión de Búsqueda capacitan a estudiantes en desapariciones - noviembre 18, 2024
- NCC Radio Cultura – Emisión 285 – 18/11/2024 al 24/11/2024 – La influencia italiana en la arquitectura de Guayaquil en Ecuador - noviembre 18, 2024