Una auditoría de terceros de un controvertido acuerdo de intercambio de datos de pacientes entre London NHS Trust y Google DeepMind parece haber eludido los problemas centrales que generaron la controversia en primer lugar.
La auditoría (informe completo aquí), realizado por el bufete de abogados Linklaters, del sistema de aplicación de detección de lesiones renales agudas de Royal Free NHS Foundation Trust, Streams, que fue desarrollado conjuntamente con Google-DeepMind (utilizando un algoritmo NHS existente para la detección temprana de la afección), no examina el problemático acuerdo de intercambio de información de 2015 firmado entre la pareja que permitió que los datos comenzaran a fluir.
“Este informe contiene una evaluación de los problemas de confidencialidad y protección de datos asociados con los acuerdos de protección de datos entre Royal Free y DeepMind. Se limita al uso actual de Streams y cualquier desarrollo posterior, prueba funcional o prueba clínica, que esté planificada o en curso. No es una revisión histórica”, escribe Linklaters, y agrega que: “Incluye la consideración de si se están cumpliendo las preocupaciones de transparencia, procesamiento justo, proporcionalidad e intercambio de información descritas en los Compromisos”.
Sin embargo, fue el contrato original de 2015 el que desencadenó la controversia, después de que New Scientist lo obtuviera y publicara, y el amplio documento planteó dudas sobre el amplio alcance de la transferencia de datos; las bases legales para compartir la información de los pacientes; y generó preguntas sobre si los procesos regulatorios destinados a proteger a los pacientes y los datos de los pacientes habían sido dejados de lado por las dos partes principales involucradas en el proyecto.
En noviembre de 2016, la pareja canceló y reemplazó el contrato inicial de cinco años por uno diferente, lo que implementó pasos adicionales de gestión de la información.
También lanzaron la aplicación Streams para su uso en pacientes en varios hospitales del NHS – a pesar de que el regulador de protección de datos del Reino Unido, el ICO, inició una investigación sobre el acuerdo original de intercambio de datos.
Y hace poco más de un año, la ICO concluyó que Royal Free NHS Foundation Trust no había cumplido con la Ley de Protección de Datos en sus tratos con DeepMind de Google.
La auditoría del proyecto Streams era un requisito del ICO.
Aunque, en particular, el regulador no ha respaldado el informe de Linklaters. Por el contrario, advierte que está buscando asesoramiento legal y podría tomar más medidas.
en un declaración en su sitio web, el comisionado adjunto de política del ICO, Steve Wood, escribe: “No podemos respaldar un informe de una auditoría de terceros, pero hemos proporcionado comentarios a Royal Free. También nos reservamos nuestra posición en relación con su posición sobre el secreto médico y el equitativo deber de confidencialidad. Estamos buscando asesoramiento legal sobre este tema y es posible que necesitemos más acciones”.
En una sección del informe que enumera las exclusiones, Linklaters confirma que la auditoría no considera: “Los problemas de confidencialidad y protección de datos asociados con el procesamiento de datos personales sobre los médicos en Royal Free usando la aplicación Streams”.
Entonces, esencialmente, la controversia principal, relacionada con la base legal de Royal Free para pasar información de identificación personal sobre 1,6 millones de pacientes a DeepMind cuando se estaba desarrollando la aplicación, y sin el conocimiento o consentimiento de las personas, no se aborda aquí.
Y la declaración de Wood reitera deliberadamente que la investigación del ICO “encontró una serie de deficiencias en la forma en que se compartieron los registros de los pacientes para este ensayo”.
“[P]art de la empresa comprometió a Royal Free a encargar una auditoría de terceros. Ahora lo han hecho y han compartido los resultados con el ICO. Lo importante ahora es que utilicen los hallazgos para abordar los problemas de cumplimiento abordados en la auditoría de manera rápida y sólida. Continuaremos en contacto con ellos en los próximos meses para garantizar que esto suceda”, agrega.
“Es importante que otros NHS Trusts que estén considerando usar nuevas tecnologías similares presten atención a la recomendaciones que le dimos a Royal Freey garantizar que los riesgos de protección de datos se aborden por completo mediante una evaluación de impacto de protección de datos antes de la implementación”.
Si bien el informe es algo frustrante, dadas las evidentes omisiones históricas, plantea algunos puntos de interés, incluida la sugerencia de que Royal Free probablemente debería descartar un Memorando de Entendimiento que también firmó con DeepMind, en el que la pareja expuso su ambición. para aplicar IA a los datos del NHS.
Esto se recomienda porque aparentemente la pareja ha abandonado sus planes de investigación de IA.
Sobre esto, Linklaters escribe: “DeepMind nos ha informado que han abandonado su posible proyecto de investigación sobre el uso de IA para desarrollar mejores algoritmos, y su procesamiento se limita a la ejecución del algoritmo NHS AKI… Además, la mayoría de las disposiciones en el Memorando de Entendimiento no son vinculantes. Las disposiciones limitadas que son vinculantes son reemplazadas por el Acuerdo de servicios y el Acuerdo de procesamiento de información discutidos anteriormente, por lo tanto, creemos que el Memorando de entendimiento tiene una relevancia muy limitada para Streams. Recomendamos que Royal Free considere si el Memorando de Entendimiento continúa siendo relevante para su relación con DeepMind y, si no es relevante, rescinde ese acuerdo”.
En otra sección, al analizar el algoritmo del NHS que sustenta la aplicación Streams, el bufete de abogados también señala que el papel de DeepMind en el proyecto es poco más que ayudar a proporcionar un envoltorio de aplicación glorificado (en el frente del diseño de la aplicación, el proyecto también utilizó el estudio de aplicaciones del Reino Unido, ustwo, por lo que DeepMind tampoco puede reclamar crédito por el diseño de la aplicación).
“Sin pretender faltarle el respeto a DeepMind, no creemos que los conceptos que sustentan Streams sean particularmente innovadores. De ninguna manera, involucra inteligencia artificial o aprendizaje automático u otra tecnología avanzada. En cambio, los beneficios de la aplicación Streams provienen de una interfaz muy bien diseñada y fácil de usar, respaldada por una sólida infraestructura y gestión de datos que proporciona alertas AKI e información clínica contextual de manera confiable, oportuna y segura”, escribe Linklaters.
Lo que DeepMind aportó al proyecto, y a sus otras colaboraciones con el NHS, es dinero y recursos: proporcionó sus recursos de desarrollo de forma gratuita para el NHS en el punto de uso y afirmó (cuando se le preguntó sobre su modelo de negocio) que determinaría cuánto para cobrar al NHS por estas ‘innovaciones’ de aplicaciones más adelante.
Sin embargo, los servicios comerciales que el gigante tecnológico está brindando a las organizaciones del sector público no parecen haber sido objeto de una licitación abierta.
También se excluyeron notablemente en la auditoría de Linklaters: cualquier escrutinio del proyecto frente a la ley de competencia, el cumplimiento de la ley de contratación pública con las normas de contratación y cualquier inquietud relacionada con un posible comportamiento anticompetitivo.
El informe destaca un problema de retención de datos potencialmente problemático para la implementación actual de Streams, diciendo que “actualmente no hay un período de retención para la información del paciente en Streams”, lo que significa que no existe un proceso para eliminar el historial médico de un paciente una vez que alcanza cierta edad.
“Esto significa que la información en Streams actualmente se remonta a ocho años”, señala, lo que sugiere que Royal Free probablemente debería establecer un límite de edad superior en la edad de la información contenida en el sistema.
Si bien Linklaters pasa por alto en gran medida los orígenes accidentados del proyecto Streams, el bufete de abogados se asegura de estar de acuerdo con el ICO en que la evaluación de impacto de privacidad original para el proyecto “debería haberse completado de manera más oportuna”.
También lo describe como “relativamente delgado dada la escala del proyecto”.
Donación su respuesta a la auditoría, el grupo de defensa de la privacidad de datos de salud MedConfidential, uno de los primeros críticos del acuerdo de intercambio de datos de DeepMind, no está impresionado y escribe: “La pregunta más importante planteada por el Comisionado de Información y el Guardián Nacional de Datos parece faltar: en cambio, el informe excluye una “revisión histórica de los problemas que surgieron antes de la fecha de nuestro nombramiento”.
“El informe afirma que el ‘intereses vitales‘ (es decir, permanecer con vida) de los pacientes es una justificación para proteger contra un “evento [that] podría ocurrir solo en el futuro o no ocurrir en absoluto”… El único ‘interés vital’ protegido aquí es el de Google, y su deseo de acumular registros médicos que, según le dijeron, se recopilaron ilegalmente. Los intereses vitales de un paciente hipotético no son los intereses vitales de un sujeto de datos real (y se puede demostrar que no se cumplen las pruebas del RGPD).
“El ICO y NDG pidieron a Royal Free que justificara la recopilación de 1,6 millones de registros de pacientes, y esta opinión legal explícitamente no responde a esa pregunta”.
Source link