Tenemos el conocimiento de la salud que tenemos hoy gracias a la ciencia, y por supuesto, a tecnología que nos ayuda a desarrollarla.
Sin embargo, la información de salud es extremadamente íntima por definición, y contiene información sobre una persona que no solo la define, sino que en las manos equivocadas puede tornarse un arma muy poderosa.
Últimamente diversas compañías que habían estado enfocándose en diversos aspectos de la tecnología de consumo y en proveer servicios generales para usuarios han encontrado en la información de salud y en dispositivos para mejorar la salud un nuevo posible nicho de negocio.
Compañías tecnológicas en la salud
Varias compañías nos permiten comprar dispositivos para monitorizar la salud. Desde inofensivos indicadores de saturación de oxígeno (SpO2) que poner en el dedo a sofisticadas básculas y pulseras y relojes inteligentes conectados constantemente con Bluetooth-LE y capaces de hacer hasta electrocardiogramas móviles en tu muñeca.
En particular, puede que ya hayas oído hablar de Google Health, una división en la que esperan poder salvar tu vida un día. Cerca, dentro de la estructura corporativa de Alphabet Inc, Verily y Calico son parte también de sus "Otras Apuestas" ("Other Bets") relacionadas con la salud.
Las divisiones más fuertes de IA de Google, Google Brain y DeepMind, colaboran también con proveedores de salud para generar investigación y herramientas para unos mejores cuidados. Sin embargo, para que esto pueda ocurrir, Google necesita obtener información confidencial de dichos proveedores de salud. Por ejemplo, se sabe que el entidades del Servicio Nacional de Salud del Reino Unido tienen acuerdos con Google para que estos puedan utilizar su tecnología. Incluso si el NHS ha conseguido persuadir y blindarse legalmente para que Google no pueda utilizar estos datos para otros propósitos, lo cual es muy complejo de definir, el conocimiento generado a partir de estas investigaciones será clave para otros acuerdos que sigan por parte de otras entidades, que puedan reducir los estándares de protección de datos, en especial, en aquellas jurisdicciones en las que la protección de datos no sea un requisito legal.
Sabemos que en el pasado, incluso bajo reglas de este tipo, Google y otras compañías tecnológicas han sido ya multadas por no cumplir.
Fitbit también es parte de Google (desde noviembre de 2019). Esto le da a Google la capacidad de introducir un montón de "clientes con datos de salud", y minar su información de salud mientras se entretienen haciéndose electrocardiogramas con sus caras pulseras con pantallas OLED, como también hacen Apple y Samsung.
Que Google, y cualquier otra compañía tecnológica que por cuyo modelo de negocio básicamente requieren "conocerte", sepan una cantidad ingente de información sobre ti es un hecho. Probablemente ya conocía bastante información sobre tu salud hasta ahora:
- Alguna vez has buscado condones en la web, o diferentes mecanismos contraceptivos? Entonces probablemente sepa que eres una persona sexualmente activa.
- Si has buscado recientemente sobre formas de distinguir infecciones de transmisión sexual, puede que hayas tenido sexo sin protección con alguien de cuya historia sexual no te fíes.
Y esto son solo dos ejemplos obvios.
Mediante técnicas más complejas de minería de datos, podrían extraerse patrones mucho más interesantes y ocultos en nuestro comportamiento psicológico, de los que puede que no tengamos todavía ni idea.
Mezclando información de salud
Hay un tipo de dato que es mucho más sensible. ¿Tienes cáncer? ¿Tal vez una predisposición genética a problemas cardíacos? ¿Alguna vez has abortado? ¿Sufres trastornos psicológicos? ¿Se te ha diagnosticado algún tipo de enfermedad terminal?
Puede que pienses que no tienes ninguna de estas cosas, y por tanto, no tengas nada que ocultar. Pero considera, por un momento, que fuera así. Tal vez en estas circunstancias sí tendrías algo que ocultar. Pero entonces, si quieres ocultar la respuesta cuando es cierta, deberías también de querer ocultarla cuando aún no lo es, pues de otra forma, podrías seguir siendo cuestionado hasta que dejes de estar cómodo respondiendo (y entonces lo sabríamos!).
Imagina tener cáncer y encontrarte un anuncio especialmente dirigido que dice que tu tipo específico de cáncer ahora puede ser curado. Puede no ser cierto, pero harás click en ese enlace.
La información de salud es especialmente sensible (tanto que el RGPD europeo lo menciona explícitamente en su Artículo 9), y mediante el uso de información privada en la construcción de redes neurales estamos incrustando esta información personal como parte de los conjuntos de entrenamiento de los modelos de estas redes. La reidentificación de estas piezas de información, incrustadas como parte del entrenamiento, todavía no ha sido estudiado con suficiente profundidad como para poder decir conclusivamente que no puedan recuperarse y, en algunas construcciones de redes, como los compresores-decompresores, la idea es precisamente hacer uso de esta posibilidad.
COVID-19
Recientemente Google ha publicado los COVID-19 Community Mobility Reports, un conjunto de informes realizados utiliando privacidad diferencial a partir de datos personales de usuarios de Google, utilizando las mismas técnicas y conjuntos de datos que ya tenían disponibles para otras características de Maps, como la estimación del tráfico. En esencia, el consentimiento de estos usuarios para que rastreen su ubicación. Ten en cuenta que esto son solamente datos que Google ya tenía disponibles, y que ahora están publicando de forma agregada, de una forma responsable que no vulnera su política de privacidad con sus usuarios y aún así puede aportar alguna información, siempre que el número de usuarios de Google que son rastreados sea significativo en esa población determinada.
Y, en mi opinión, es genial que lo hagan, y que hayan encontrado formas de lidiar con su propia política de privacidad para poder dar luz a través de su vasta colección de información personal de una forma útil al público general y sin dañar, hasta donde sabemos hoy, a ninguna persona concreta.
Sin embargo, si a Google se le diese también datos de salud pseudónimos, dada la base de datos de información personal que tiene sobre la mayor parte de nosotros, la reidentificación podría ser muy plausible con su poder de cálculo, si estos datos no son agregados, y son necesarios para plantear posibles consejos de tratamiento médico.
Esto nos deja con la situación de la pandemia actual de COVID-19 y las diferentes apps que se están desarrollando para rastrear el alcance de la pandemia. Múltiples compañías privadas quieren ayudar. Y esto es genial, la sociedad civil entera deberíamos de estar ayudándonos a poner bajo control esta pandemia.
Sin embargo, hay que tener gran cuidado al manejar información personal de salud. En particular, si se procesan datos personales, deberían de utilizarse recursos de infraestructura conocidos. Por ejemplo, en el caso de Google, utilizar su propia Google Cloud Platform, en lugar de Borg, para que también puedan hacer open-source el código, tanto del frontend como del backend de la solución. Esto podría ayudar a incrementar la confianza del público en la solución, y permitir a expertos externos auditarla y evaluar su adecuación.
Lo más beneficioso podría ser utilizar una solución descentralizada que no interne información en centros de datos, públicos ni privados, que mantenga a las personas soberanas de la información sobre posibles encuentros con contagios de COVID-19. Primero, porque según el principio de minimización de datos dentro del RGPD, no es necesario mantener un registro centralizado de quién entra en contacto con quién, pero, y más importante, porque permitir hoy el rastreo con alto detalle y fidelidad de esta información puede romper en absoluto nuestra privacidad en el futuro. Singapur está ahora mismo acabando la documentación de referencia de https://bluetrace.io/, la herramienta que este gobierno ha desarrollado y que solo requiere que sus ciudadanos mantengan sus conexiones Bluetooth activas.
La documentación de BlueTrace no está todavía disponible, pero según los documentos de referencia que distribuyen al público singapurense, se guarda tu número de teléfono en una base de datos del gobierno para poder llamarte, así como algún tipo de identificador pseudónimo, que sospechamos será una clave pública. Cada vez que entras en contacto con otra persona, vuestros teléfonos intercambian una prueba de haber estado en contacto. Si cualquiera de las dos personas os ponéis enfermas, tu aplicación puede saber con qué otras claves públicas has entrado en contacto (y tal vez cuándo). Cuando proporcionas esta información al personal de rastreo del gobierno, este puede buscar en el registro de claves los teléfonos de las personas con las que tu teléfono ha registrado estar en contacto para poder llamarlas, tratar de conseguir registrar el brote entero, y aconsejarles si deberían de buscar atención médica o autoaislarse.
En resumen
Aunque normalmente no compartimos la misma información con todo el mundo (amistades, profesionales de la medicina, psicología, superiores en el trabajo, o con las fuerzas de seguridad), parece que no tenemos las mismas expectativas de privacidad cuando hablamos con servicios no humanos.
Parece que colectivamente nuestras expectativas de privacidad cuando hablamos con máquinas de otros es la misma que si fuesen íntimas con nosotros. Al menos, de una forma cuya intensidad parece estar relacionada con lo cerca que está la máquina de nosotros.
Un smartwatch o un telefono parecen poder rastrearnos en todas partes (y también nuestra salud, esfuerzo hecho en el día, y patrones de sueño por la noche) y el beneficio de este rastreo parece superar los costes, al menos, a cada uno individualmente, pero cuando dejen de hacerlo colectivamente como sociedad, ya será tarde para lamentarlo.