Expectativas del “big data” y salud.

big data salud healthLa tecnología “big data” ha pasado (usando la terminología de Gartner) del pico de la expectativa, al valle de la desilusión, esperando alcanzar algún día la llanura de la productividad. Su pico de máxima expectativa como tecnología emergente fue en el año 2013, con previsiones de implantación entre 5 y 10 años; ese fue el año en el que los NIH iniciaron el programa The “big data” to Knowledge (BD2K), incluido ahora en el NIH Data Science Community. A partir del 2015, como suele ser habitual con las nuevas tecnologías, disminuyeron sus expectativas, con planteamientos más realistas. Esta situación gereral es igualmente aplicable al ámbito sanitario.

En la actualidad, la expectativa máxima en todos los sectores, incluido el sanitario está en la inteligencia artificial, que se supone será la tecnología más disruptiva en los próximos 10 años. Para su desarrollo se requieren entre otras cosas, avances notables en ““big data”” y en el desarrollo de algoritmos de aprendizaje automático.

El análisis “big data” presenta diferencias con el análisis estadístico habitual, sumarizadas en el trabajo Medical “big data”: promise and challenges, en el que se indica que a pesar de las expectativas, su aplicación actual es más prometedora que efectiva. La evidencia de sus beneficios es escasa, enfrentándonos a problemas relacionados con la calidad delos datos, las limitaciones metodológicas de los estudios observacionales, aspectos legales y de gobernanza, entre otros. Se abre un debate metodológico interesante, pues a modo de ejemplo, hay diferencias en los resultados de la artroscopia de cadera, según se use análisis “big data” (peores resultados) o ensayos clínicos.

En una revisión sistemática se ha mostrado como los principales desafíos se hallan en la estructura, seguridad, estandarización, almacenaje y transferencia de datos, así como su gestión y gobierno.   Las principales oportunidades están en la mejora de la calidad asistencial, mejora de la salud desde la perspectiva poblacional, detección temprana de enfermedades, mayor accesibilidad y calidad de datos, mejora en la toma de decisiones, y reducción de costes.

Otra revisión sistemática, indica que no hay consenso en cuanto a una definición operativa de “big data” en la investigación sanitaria, siendo su escenario de uso muy amplio (desde unidades hospitalarias o patologías específicas a servicios de salud en su conjunto o industria farmacéutica), Sus usos en el ámbito asistencial se centran en el apoyo a las decisiones clínicas, la optimización de los procesos asistenciales y la reducción de costes; el mayor desafío en su implantación está en la falta de evidencia de su efectividad, al ser insuficientes los estudios de evaluación, con evaluaciones de impacto más cualitativas que cuantitativas. En cuanto a herramientas, la metodología más usada es el procesamiento del lenguaje natural y la herramienta Hadoop.

En cuanto al uso de datos por la industria farmacéutica, se han señalado tensiones entre la privacidad, la reutilización de datos bajo el paraguas del “open data” y la necesidad de datos masivos del “big data”.

En una revisión sistemática sobre las fuentes y métodos usados en el análisis de enfermedades crónicas, se indica que el “big data” permite análisis predictivo para: identificación de pacientes con riesgo de reingreso, prevención de infecciones hospitalarias, prevención de  enfermedades crónicas y obtención de modelos predictivos de calidad. Los métodos predictivos más usados son el árbol de decisiones, Naïve Bayes y Red Neuronal Artificial (ANN) y la herramienta Hadoop.

El debate sobre las amenazas y oportunidades del “big data” en el sector sanitario sigue abierto; es un camino a recorrer, con grandes posibilidades de tener un impacto positivo, aunque para ello debe superar importantes obstáculos.

Actualización 13 de junio: Excelente revisión sistemática sobre al análisis de grandes volúmenes de datos:  A Systematic Review on Healthcare Analytics: Application and Theoretical Perspective of Data Mining.

In recent years, a number of peer-reviewed articles have addressed different dimensions of data mining application in healthcare. However, the lack of a comprehensive and systematic narrative motivated us to construct a literature review on this topic. We found that the existing literature mostly examines analytics in clinical and administrative decision-making. Use of human-generated data is predominant considering the wide adoption of Electronic Medical Record in clinical care. However, analytics based on website and social media data has been increasing in recent years. Lack of prescriptive analytics in practice and integration of domain expert knowledge in the decision-making process emphasizes the necessity of future research.

 

Anuncios

CMBD: Privacidad vs Open data

open data salud privacidad transparenciaMe ha resultado muy interesante la publicación en la página web de @SaludMadrid de los microdatos del CMBD hospitalarios y ambulatorios, pues desde la perspectiva de “open data” son unos datos muy esperados. Ello me parece una buena iniciativa, si bien, pienso que la forma en la que se ha hecho no es adecuada, puesto considero que en determinadas circunstancias, podría producirse una violación de la seguridad de datos personales.

Los ficheros publicados contienen de forma anónima la información completa de cada registro del CMBD. Entre esta información, además del Servicio y Hospital de Ingreso y diagnóstico al alta entre otras cosas, se incluye información sobre municipio de residencia y código postal, fecha de nacimiento, fecha y hora de llegada al servicio de urgencias, fecha y hora del ingreso hospitalario, fecha y hora del alta, fecha y hora del traslado etc.

Según informa César Pascual, Director General de Coordinación de Asistencia Sanitaria de la Consejería de Salud, la iniciativa se enmarca en la “estrategia de datos abiertos de transparencia” y el siguiente paso será “actualizar en el mismo formato el consumo de fármacos tanto por hospital como por receta”. Parte de la idea de que “…. medir resultados en lugar de actividad resulta complejo con los modelos de evaluación actuales, pero el primer paso es, sin duda, la transparencia: “El futuro está en el open data, y hacia ahí estamos trabajando. Tenemos bases de datos muy amplias pero sólo hacemos públicos algunos indicadores, que no dejan de ser interpretaciones de los datos. Debemos publicar los datos y que el que quiera los interprete””.

De lo anterior se desprende que podría ser una iniciativa open data” amparada por la Ley 37/2007, de reutilización de la información del sector público, entendiendo por reutilización, el uso de documentos que obran en poder de las Administraciones y organismos del sector público, por personas físicas o jurídicas, con fines comerciales o no comerciales. Esta ley sin embargo no es aplicable a los documentos con límites en su acceso por motivos de protección de los datos personales. Prevalece el derecho a la protección de datos de carácter personal frente al de transparencia, a menos que se produzca la disociación de los datos. Cuando la información se facilita de forma disociada, y contuviera elementos suficientes que pudieran permitir la identificación en el proceso de reutilización, queda prohibida la reversión del procedimiento de disociación mediante la adición de nuevos datos obtenidos de otras fuentes.

Por otra parte, el CMBD genera datos incluidos en la estadística pública; la normativa estadística establece la obligatoriedad del secreto estadístico y la limitación en la difusión cuando se atente a la protección del secreto estadístico.

Sin necesidad de entrar en las especificaciones especialmente restrictivas sobre los datos sanitarios contemplados en la Ley 41/2002 de autonomía del paciente y documentación clínica, la LOPD establece claramente que son datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables; no siendo necesario el consentimiento informado si se comunican datos tras proceso de disociación, entendido este como el tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

El RGPD establece igualmente que el principio de protección de datos debe aplicarse a toda la información de una persona física identificada o identificable. No hace referencia a datos disociados, y establece que los principios de protección de datos no deben aplicarse a la información anónima, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo.

Introduce no obstante el concepto de seudonimización entendido como el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable.

Podríamos pues considerar que los datos del CMBD de la Comunidad de Madrid son datos seudonimizados y por tanto sometidos al RGPD. Podrían ser utilizados en las circunstancias específicas que marca el RGPD como es la investigación, pero no ser susceptibles de distribuirse de forma generalizada, aunque sean datos anónimos.

Se ha indicado igualmente que la publicación de los datos del CMBD es una medida de transparencia. La Ley de transparencia contempla el equilibrio entre la protección de datos y la transparencia: en la medida en que la información afecte directamente a la organización o actividad pública del órgano prevalecerá el acceso, mientras que, por otro, se protegen los datos que la normativa califica como especialmente protegidos, para cuyo acceso se requerirá, con carácter general, el consentimiento de su titular. Establece límites claros tanto en cuanto al derecho de acceso por parte de los ciudadanos, como a la publicidad activa por parte de los organismos públicos;  cuando la información contuviera datos especialmente protegidos, la publicidad sólo se llevará a cabo previa disociación de los mismos.

En base a lo anterior, podríamos concluir que se ha procedido a publicar datos sin identificación personal, que cabrían en el concepto de datos seudonimizado. Al no establecer ninguna restricción en cuanto a mínimo ámbito geográfico de difusión, las personas serían fácilmente identificables en municipios pequeños, cual es el caso de los 99 municipios de la Comunidad de Madrid con población menor de 5000 habitantes.

De hecho, en la distribución estadística sobre datos tales como mortalidad, interrupción voluntaria del embarazo o incidencia de enfermedades, tradicionalmente se han establecido límites en cuanto a tamaño de la población, por debajo de los cuales no se distribuyen datos individuales aunque estos fuesen anónimos; además, había criterios generales del tipo que no hubiese ningún ámbito de análisis definido en la que en una tabulación hubiese elementos que permitiesen identificar a una persona.

Por otra parte, el paradigma de anonimización y establecimiento de límites territoriales en su distribución, ha quedado obsoleto, pues con recursos, tratamiento adecuado e información mínima,  es posible identificar con alta probabilidad a personas concretas en ficheros anónimos al cruzarlos con otros ficheros en los que sí figure la identificación. Los datos publicados sobre el CMBD, contienen datos clave para estos propósitos como fechas y lugares. Una revisión sistemática en 2011 estimaba que en un 34% de los registros de ficheros sanitarios se podría reidentificar a la persona, si bien se trataba de estudios a pequeña escala o en los que los datos no habían sido disociados con los estándares adecuados.

Lamentablemente, el tiempo ha confirmado la potencia de las técnicas de re-identificación, alcanzándose unos niveles muy elevados de identificación de las personas, en determinadas circunstancias próximos al 100%.

En definitiva, es preciso no confundir las iniciativas de open data (uso de los datos con fines comerciales o no), de las de transparencia de la actividad pública y acceso de las personas a la información pública. Además, hay que utilizar las técnicas más avanzadas en los procesos de disociación, completándolas con técnicas de transformación de datos (synthetic data); pero sobretodo establecer procedimientos de tratamiento de datos con altos estándares éticos y aplicando (por supuesto) el Reglamento General de Protección de Datos, que hoy entra en vigor.

#RGPD Spring is coming

IMG-20171226-WA0000

Faltan menos de 5 meses para que el 25 de mayo de 2018 sea aplicable el Reglamento General de Protección de Datos. La  Directora de la Agencia Española de Protección de Datos, Mar España Martí, está desarrollando una gran actividad para dinamizar estrategias de implantación, con actividades de sensibilización en su gira por las Comunidades Autónomas y estableciendo acuerdos con los ámbitos municipales, empresariales, sindicales y colegios profesionales.

El pasado día 12 de diciembre, Mar España Martí dio una conferencia en el IAAP en la que destacó los aspectos más relevantes del Reglamento y del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Puso de relieve el amplio trabajo desarrollado por la Agencia tanto en colaboración con los otros organismos reguladores gubernamentales o de la Unión Europea como de los materiales e iniciativas para facilitar la aplicación del Reglamento en colaboración con las agencias del País Vasco y Cataluña, disponibles en la página de la Agencia. Avanzó la publicación de guías sobre normas de seguridad y sobre evaluación de impacto en el primer trimestre de 2018, y sobre datos de salud a lo largo del año. En cuanto a formación, están previstos cursos en el INAP y se han establecido las normas para acreditación de la formación de los Delegados de Protección de Datos.

En varios momentos de su intervención indicó expresamente su preocupación por el retraso de la Junta de Andalucía en poner en marcha actuaciones para el cumplimiento del nuevo Reglamento; utilizó expresiones como “Que vais ya justos“ o “Que vais tarde, pero todavía se puede llegar a tiempo”.

Indicó cuales son las iniciativas a tomar de forma urgente: en primer lugar decidir cual es el organismo y Consejería de la Junta de Andalucía que tiene que desarrollar la estrategia para el cumplimiento del RGPD; en segundo lugar designar a un Delegado de Protección de Datos en cada Consejería, que podría asumir igualmente las competencias en cuanto a transparencia, al ser derechos que en muchas ocasiones habrá que ponderar. En algunas Consejerías como Salud o Educación se debería contar con un equipo de apoyo a los delegados, disponiendo de otro equipo para el resto de consejerías.

Además están pendientes otras tareas como modificar los formularios para el consentimiento, adecuación de las clausulas en los contratos públicos, modificaciones en los decretos de estructura de las consejerías y relación de puestos de trabajo, ver la adecuación de los sistemas de información, o revisar la legislación sectorial que hubiera que modificar.

Aunque la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía creó el Consejo de Transparencia y Protección de Datos de Andalucía, no se han desarrollado sus funciones en cuanto a protección de datos, por lo que la Agencia Española de Protección de Datos ha asumido sus competencias.

El propio director del Consejo de Transparencia y Protección de Datos de Andalucía, Manuel Medina, en el encuentro mantenido con la directora de la Agencia Española de Protección de Datos, para abordar el estado en el que se encuentran las instituciones andaluzas ante la inminente entrada en vigor del RGPD, ha expresado su preocupación por el “muy deficiente” grado de adaptación de las instituciones de la Comunidad ante la nueva normativa, de modo que espera que en los próximos meses las entidades públicas asuman los nuevos requerimientos y obligaciones que impone el Reglamento europeo. “Ni una sola administración, ni una sola empresa pública, ni un solo ente ha nombrado aún a su delegado de Protección de Datos. Y es este delegado el que tendría que impulsar la puesta en marcha de todas las medidas recogidas en el Reglamento europeo”,

Durante esta reunión de trabajo también han abordado la situación del Consejo y su falta de asunción de las competencias en esta materia, que se continuará ejerciendo desde la Agencia estatal, hasta que se aprueben y ejecuten las disposiciones pertinentes por parte del Gobierno andaluz. El ejercicio efectivo de esta competencia se ha diferido sin fijarse plazo alguno.

Reglamento General de Protección de Datos (RGPD), Salud e Investigación.

RGPD Proteccion de datos Salud InvestigacionEl nuevo Reglamento General de Protección de Datos (RGPD) será de obligado cumplimiento en los 28 Estados miembros de la Unión Europea el 25 de mayo de 2018; los ficheros actualmente declarados a la APD, dispondrán de 2 años a partir de esa fecha para adaptarse. El tratamiento de datos debe ser equivalente en todos los estados miembros, que aunque introduzcan ciertas particularidades, no pueden hacer modificaciones substanciales sobre lo incluido en el Reglamento.

En España, se adapta el ordenamiento jurídico español al RGPD en el borrador del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Aborda temas como: el consentimiento explícito, consentimiento de los menores a partir de 13 años, acceso a datos de personas fallecidas, licitud de tratamiento de datos en ciertos ámbitos económicos, transparencia para el interesado, derecho a portabilidad con ciertas limitaciones respecto a los datos inferidos, amplia los supuestos en los que debe de haber un Delegado de Protección de Datos,  especifica ciertas situaciones en las que es necesaria la Evaluación de Impacto  y establece el régimen sancionador. Indica igualmente que se podrá hacer tratamiento de datos en cumplimiento de una misión de interés público o ejercicio de poderes públicos, cuando derive de una competencia atribuida por la ley. No hace ninguna mención a salud o investigación; en consecuencia, los análisis sobre estos temas hechos en otros países son válidos para España, salvo que la legislación sectorial indique otra cosa.

 Aunque el RGPD introduce importantes novedades, algunos analistas consideran que su impacto no será tan oneroso como en principio se suponía; aun así, las organizaciones que procesan datos de salud tendrán que revisar en profundidad sus políticas, procedimientos y prácticas existentes para asegurar el cumplimiento.

Aspectos generales

Estos son los aspectos de ámbito general más destacados:

  1. Las organizaciones están obligadas a demostrar que cumplen con el nuevo Reglamento. Eso exigirá introducir cambios importantes en sus procedimientos de control.
  2. Establece la obligación de notificar las brechas de seguridad y cuando hay que informar a los interesados.
  3. Derecho a la portabilidad de los datos personales, generalmente gratuitamente.
  4. Obligación de llevar un registro del tratamiento de datos (desaparece la obligación de declarar el fichero a la APD).
  5. Todos los organismos públicos deben tener (en plantilla o contrato de servicios) un Delegado de Protección de Datos.
  6. La Evaluación de Impacto de Protección de Datos, obligatorio para procesamientos de alto riesgo, en los que se incluyen los datos de salud
  7. La protección de datos debe abordarse en todos los procesos de información, con seguridad inherente a los propios sistemas de información, protección por diseño.
  8. Establece medidas de transparencia y rendición de cuentas.
  9. Reglas más estrictas, en las que el consentimiento es la base para el procesamiento de datos.

En cuanto al alcance del RGPD, es una novedad que no incluye a las personas fallecidas, e incluye expresamente los datos sometidos a pseudonimización (tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable).

En cuanto a la estructura de los sistemas de protección de datos, nos encontramos con:

  • Supervisor Europeo de Protección de Datos
  • El Comité Europeo de Protección de Datos (Artículo 68).
  • Autoridad de control (nacional o subnacional) (Artículo 51).
  • Delegado de protección de datos (Artículo 37).
  • Encargado de tratamiento (Artículo 28)

El Delegado de protección de datos se convierte en la figura central del sistema de protección de datos, designado por los responsables y encargados del tratamiento, es una figura independiente con conocimientos especializados en Derecho y protección de datos, que rendirá cuentas al nivel jerárquico superior al del responsable o encargado. Es el referente para la dirección de la institución, usuarios, autoridades de control, responsable del tratamiento y encargado de tratamiento). Tiene que informar, asesorar, supervisar, además de cooperar con la autoridad de control. Específicamente  ha de asesorar en su ejecución de la evaluación de impacto y supervisar su cumplimiento.

El tratamiento de los datos de salud entre otros, debe estar sometido a una Evaluación de impacto relativa a la protección de datos (Artículo 35). Será realizado por el responsable del tratamiento, antes del tratamiento; una única evaluación podrá incluir una serie de operaciones de tratamiento similares que entrañen altos riesgos similares. Esta evaluación debe contemplar al menos:

  1. Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
  2. Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
  3. Una evaluación de los riesgos para los derechos y libertades de los interesados, y
  4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Se refuerza la exigencia de consentimiento, mediante una declaración o una acción positiva no pudiendo deducirse del silencio o de la inacción, estableciendo la obligación de disponer de sistemas de registro del consentimiento. Además se introduce la exigencia del consentimiento para la oferta directa a niños de servicios de la sociedad de la información (internet), que será válido para mayores de 14 años, mientras que para menores de 14 años se necesitará el consentimiento del padre o tutor.

RGPD y  Salud.

El RGPD despeja cualquier duda acerca del tratamiento de datos sanitarios en funciones de auditoría, incluida en los usos legítimos de los datos. Contempla igualmente el tratamiento de estos datos para protección social (53).

Respecto a su uso secundario para investigación, queda igualmente claro la legitimidad de su uso, incluidos biobancos y big data, dado que permite un amplio consentimiento a “determinadas áreas de investigación cuando de conformidad con las normas éticas reconocidas” ( 33). Las normas éticas reconocidas implican que tenga que ser aprobado por un comité de ética de investigación, aprobación necesaria pero no vinculante para el delegado de protección de datos y encargado del tratamiento. El término investigación se considera de una forma amplia, incluyendo la investigación privada, desarrollo tecnológico, demostración, etc. El RGPD sí que es previsible tendrá impacto en la gestión de los datos personales en proyectos de investigación.

Los investigadores del Reino Unido consideran que el uso de los datos de salud a efectos de investigación no tiene limitaciones en el ámbito público al responder al interés general, pero las tendría en el uso de datos sanitarios a efectos de investigación a realizar por parte del sector privado. Igualmente, investigadores de proyectos o asociaciones profesionales europeas, consideran que no es necesario obtener el consentimiento expreso de cada una de las personas incluidas en una base de datos para utilizar estas bases de datos con fines de investigación.

Los datos de salud se incluyen entre las categorías especiales de datos personales (Artículo 9). En el considerando (35), se indica que en los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Específicamente hace mención a datos genéticos, todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro. Aunque no es un dato sanitario, el RGPD contempla también los datos biométricos.

En el (45) se indica que cuando se realice un tratamiento de datos en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tener una base legal. Una norma puede ser suficiente como base para varias operaciones de este tratamiento de datos. Se indican como de interés público los fines sanitarios como la salud pública, la protección social y la gestión de los servicios de sanidad, de Derecho privado, como una asociación profesional.

El tratamiento de datos personales también debe considerarse lícito (46) cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial (50). Las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, debe tener en cuenta, entre otras cosas, cualquier relación entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista. Con todo, debe prohibirse esa transmisión en interés legítimo del responsable o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligación de secreto legal, profesional o vinculante por otro concepto.

Se autorizan excepciones (52) a la prohibición de tratar categorías especiales de datos personales sin consentimiento expreso cuando exista una base legal y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial.

Las categorías especiales de datos personales que merecen mayor protección únicamente deben tratarse con fines relacionados con la salud (53) cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas sanitarios o de protección social, incluido el tratamiento de esos datos por las autoridades gestoras de la sanidad y las autoridades sanitarias nacionales centrales con fines de control de calidad, gestión de la información y supervisión general nacional y local del sistema sanitario o de protección social, y garantía de la continuidad de la asistencia sanitaria o la protección social y la asistencia sanitaria transfronteriza o fines de seguridad, supervisión y alerta sanitaria, o con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, basados en el Derecho de la Unión o del Estado miembro que ha de cumplir un objetivo de interés público, así como para estudios realizados en interés público en el ámbito de la salud pública. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional. El Derecho de la Unión o de los Estados miembros debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas. Los Estados miembros deben estar facultados para mantener o introducir otras condiciones, incluidas limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. No obstante, esto no ha de suponer un obstáculo para la libre circulación de datos personales dentro de la Unión cuando tales condiciones se apliquen al tratamiento transfronterizo de esos datos.

El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado (54), puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse en la definición del Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo ( 1 ), es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.

El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna (71). Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar

Combinando información procedente de registros (157), los investigadores pueden obtener nuevos conocimientos de gran valor sobre condiciones médicas extendidas, como las enfermedades cardiovasculares, el cáncer y la depresión. Partiendo de registros, los resultados de las investigaciones pueden ser más sólidos, ya que se basan en una población mayor. Para facilitar la investigación científica, los datos personales pueden tratarse con fines científicos, a reserva de condiciones y garantías adecuadas establecidas en el Derecho de la Unión o de los Estados miembros.

El presente Reglamento también debe aplicarse al tratamiento datos personales que se realice con fines de investigación científica (159). El tratamiento de datos personales con fines de investigación científica debe interpretarse, a efectos del presente Reglamento, de manera amplia, que incluya, por ejemplo, el desarrollo tecnológico y la demostración, la investigación fundamental, la investigación aplicada y la investigación financiada por el sector privado. Además, debe tener en cuenta el objetivo de la Unión establecido en el artículo 179, apartado 1, del TFUE de realizar un espacio europeo de investigación. Entre los fines de investigación científica también se deben incluir los estudios realizados en interés público en el ámbito de la salud pública.