En todos los documentos elaborados por los impulsores del Proyecto Visc+ se hace referencia a la seguridad a la hora de tratar los datos de los ciudadanos. Se informa también que el proyecto ha sido “presentado” a la Agencia Catalana de Protección de Datos (APDCAT).
Pero de lo que no informan ni la Consejería de Salud ni el AQuAS es del resultado del informe de la máxima autoridad catalana de protección de datos.
El proyecto fue presentado a la APDCAT en el primer trimestre de 2013. Tras meses de estudio, los expertos de esta entidad emitieron un informe donde se analiza la información presentada. El resultado es preocupante.
Falta de concreción
En cuanto al “modelo de seguridad, disponibilidad y uso de los datos” el informe destaca que “no es posible validar un determinado modelo de seguridad dada la falta de concreción de diferentes aspectos relacionados con la seguridad”.
En este sentido la APDCAT afirma que “no se ha dispuesto de una memoria global que describa de manera detallada las necesidades, las alternativas disponibles y las características y los beneficios de la opción elegida” y señala que parte de la documentación aportada “no resulta clara qué naturaleza tiene”.
Por eso la APDCAT dice que “dadas las fuertes implicaciones para la privacidad de las personas y los demás derechos que podrían verse afectados en caso de un tratamiento inadecuado de una información tan sensible como la que se incluye en el proyecto, sería recomendable disponer de una evaluación del impacto sobre la privacidad que puede tener esta iniciativa”. Es decir, que a pesar de la insistencia de los promotores a la hora de hablar de “seguridad”, parece que no han tenido demasiado cuidado de estos aspectos.
En cuanto al tipo de datos que se cederán la APDCAT concluye que el Proyecto Visc+ “no concreta cuáles serán estos datos ni los criterios y los procedimientos que se seguirán para decidir qué datos deberán estar accesibles en abierto”.
En cuanto a quién tendrá acceso a los datos “no se explicita si los clientes finales podrían recibir y tratar información anonimizada o datos personal no anonimizadas”.
¿Qué harán con los datos?
La APDCAT “constata que las referencias a los fines del proyecto no siempre coinciden en los diferentes apartados de la documentación aportada” y apunta a que “resultan confusas algunas de las previsiones de la documentación aportada, en el sentido de que no queda claro si el tratamiento de datos personales del Proyecto Visc+ debe tener por finalidad la ‘investigación médica’ o si se puede producir un tratamiento y cesión a los ‘clientes finales’ por la práctica totalidad de las finalidades (…) Tampoco queda clara cuál es la finalidad de evaluación a que se refieren algunos de los documentos aportados”.
Finalmente, la APDCAT recalca “que se echa en falta, en el conjunto de documentación aportada, una conexión clara entre “cliente final “, la finalidad a cumplir, la concreción de la información a la que podría tener acceso, y si esta información ha ser anonimizada o puede comportar cesión de datos personales “.
En definitiva, y a tenor del informe de la APDCAT, los responsables del proyecto ofrecen muchas lagunas a la hora de cuidar de los datos de los pacientes. Un hecho que contrasta con su supuesta experiencia y diligencia. Finalmente, lo menos tranquilizante de todo, la APDCAT afirma que “la posibilidad de que la combinación de esta información con informaciones obtenidas de otras fuentes pueda acabar haciendo identificables personas no se puede descartar”.