A guide to sharing open healthcare data under the General Data Protection Regulation

Abstract

En este trabajo se exploran cuatro bases de datos abiertas de atención médica de UCI exitosas para determinar cómo se pueden compartir adecuadamente en la UE los datos clínicos, teniendo en cuenta lo estricta que es la legislación de privacidad de la Unión Europea. Se elaboró un cuestionario basado en el método Delphi. Posteriormente, se debatieron preguntas de seguimiento con expertos de las cuatro bases de datos. Estos expertos encontraron desafíos similares y consideraron que los aspectos éticos y legales eran los más complejos. En función de los enfoques de las bases de datos, la opinión de expertos y la investigación bibliográfica, se describen cuatro orientaciones distintas para compartir datos sanitarios abiertos, cada uno con diferentes implicaciones en cuanto a la seguridad de los datos, la facilidad de uso, la sostenibilidad y que sean o no implementables. Finalmente, se formularon siete recomendaciones para compartir datos sanitarios abiertos que orienten futuras iniciativas de intercambio de éstos con la finalidad de mejorar la atención al paciente y avanzar en la atención médica. Se seleccionaron y analizaron cuatro proyectos de bases de datos de UCI europeas abiertas publicadas: AmsterdamUMCdb, HiRID, Sanitas y HM. Se reunió un comité de expertos, que incluía intensivistas, anestesiólogos, estadísticos, epidemiólogos y científicos de datos, para generar un cuestionario con preguntas relevantes sobre los principales aspectos del proceso de construcción de la base de datos. Se adoptó una metodología inspirada en el método Delphi, para llegar a un consenso. Se llevó a cabo la anonimización y seudonimización de los datos, aunque cada base de datos lo implementó de forma diferente. En la mayoría de los casos, los datos no se recopilaron con consentimiento explícito. Los cuatro centros completaron el cuestionario inicial. En base a la respuesta inicial, el comité de expertos construyó una segunda versión que contenía algunas preguntas adicionales y más específicas. Con la segunda versión, se estableció una entrevista remota con cada base de datos para obtener matices y respuestas a las nuevas preguntas no cubiertas en la primera versión. El perfil de los entrevistados incluyó médicos con profundos conocimientos de ciencia de datos, investigadores, gerentes de proyectos, personal encargado de protección de datos, y jefes de departamentos legales y de TI. Después de la transcripción de las respuestas, cada transcripción se envió a cada centro de origen para su aprobación final. Se elaboró así una guía para compartir datos sanitarios abiertos según el Reglamento General de Protección de Datos que es la que se propone en este trabajo. Se establecen varias recomendaciones para compartir datos sensibles de salud dentro de la UE: - Debe existir un equipo multidisciplinario de expertos con conocimiento interno para abordar cuestiones legales, éticas, económicas y técnicas. - Partes externas pueden involucrarse en la evaluación de los riesgos de privacidad y protección de datos para obtener evaluaciones de riesgos imparciales. - Riesgo de reidentificación (tanto para datos anonimizados como seudonimizados): debe contabilizarse adecuadamente. La metodología de desidentificación que se recomienda es la anonimización K - El consentimiento del paciente no siempre es requerido. - El cumplimiento de la transparencia al publicar datos abiertos y la confianza entre pacientes y otras partes interesadas es crucial al compartir datos de salud. Esto incluye la obligación legal de que la institución anfitriona informe a los pacientes a través de su declaración de privacidad que sus datos pueden compartirse y reutilizarse para fines de investigación. - Compromiso de la institución anfitriona es necesario para un proceso de publicación exitoso. La institución debe estar dispuesta a respaldar el proyecto cuando surjan obstáculos imprevistos (es decir, costes o esfuerzo). Los datos deben almacenarse y analizarse en la nube, si es posible, para que no se puedan descargar. Si no es viable, se debe implementar un control estricto. Con este estudio se presentan cuatro bases de datos exitosas que podrían guiar el desarrollo de nuevas bases de datos europeas abiertas de UCI.