El silencioso asalto de las 'big tech' a tus datos sanitarios: el verdadero petróleo era esto

Imagine que empleados de Google tuvieran acceso al historial clínico de millones de pacientes españoles. A todo: a sus nombres y apellidos, tratamientos, operaciones, analíticas, TAC... Imagine que una cadena de hospitales privados hubiera enviado a Google esos datos con el fin de desarrollar algoritmos que ayuden a los médicos a tomar mejores decisiones. E imagine ahora que ni los médicos ni los pacientes hubieran sido avisados antes para dar su consentimiento a compartir la información. No imagine más. Esto, que bien podría tratarse del guion de un capítulo de 'Black Mirror', ocurrió en realidad en EEUU a finales de 2019, justo antes de que el coronavirus hiciera saltar el mundo por los aires.

Uno de los 150 trabajadores de Google por cuyas manos pasaba toda esa información, harto de una práctica que consideraba ilegal, dijo basta y filtró todo a la prensa. Se trataba de un proyecto llamado Nightingale, un contrato entre el buscador y la cadena de hospitales privados Ascension, la segunda mayor del país. Ascension enviaba a Google millones de datos médicos sin 'de-identificar' (sin anonimizar), el buscador los almacenaba en su nube y desarrollaba inteligencia artificial capaz de analizar patrones médicos en tiempo real. ¿Va el paciente a empeorar? ¿Es un tumor benigno o hay que actuar cuanto antes? ¿Cuál es el mejor tratamiento posible? ¿Y el más barato?

TE PUEDE INTERESAR

Las empresas españolas aplastadas por las 'big tech': "Si no pagas a Google, no apareces"

Manuel Ángel Méndez Michael Mcloughlin Gráficos: María Zuil

Cuando estalló el escándalo, Google no tardó en reaccionar. Aseguró que los datos de los pacientes estaban en servidores cifrados y dedicados exclusivamente a Ascension y que Google solo los usaba para cumplir lo firmado por contrato con la compañía. Es decir, no los combinaba con otros datos para vender publicidad. Dejó claro, además, que cumplía punto por punto con la ley, en concreto, con el Acta de Portabilidad de Seguros de Salud (HIPPA, por sus siglas en inglés), una especie de RGPD sanitario pero mucho más laxo. El Departamento de Salud de EEUU lanzó una investigación oficial, aún sin conclusiones. Hasta hoy.

El proyecto Nightingale, que recuerda al fiasco de Facebook con Cambridge Analytica, es el mejor ejemplo de una tendencia que se lleva cocinando a fuego lento en los últimos años y que ahora está en plena ebullición: el asalto de las grandes tecnológicas, con Microsoft, Google, Amazon y Apple a la cabeza, al sector sanitario. Es una historia de doble cara. Ninguna empresa en el mundo tiene el músculo de innovación de las 'big tech'. Ellas solas podrían modernizar en pocos años los medievales sistemas sanitarios de cualquier país. El caos de datos del covid, por ejemplo, fue la mejor prueba de todo lo que está por hacer. Sin embargo, proyectos como el de Google y Ascension recuerdan el peligro de este camino: estamos ante compañías expertas en crear imperios a costa de los datos personales. ¿Podemos confiar en ellas? ¿Quién vigila que todos los contratos respeten la privacidad de forma escrupulosa? ¿Estaría usted tranquilo si su historial clínico lo manejara Google o Amazon?

Las preguntas no son retóricas. El Ministerio de Sanidad trabaja en elaborar una estrategia de salud digital para todo el país. "Tenemos ya avanzado un borrador que en las próximas semanas se remitirá a los diferentes actores del sector", avanzan a este diario desde la Secretaría de Salud Digital, creada el pasado verano. El plan pretende, entre otras cosas, crear un historial clínico único y digitalizado para toda España o usar herramientas de inteligencia artificial para analizar datos médicos.

Son terrenos en los que Google, Microsoft o Amazon ya están ganando contratos en otras partes del mundo. "No podemos olvidar que la salud digital deberá proteger la intimidad de las personas y evitar el uso indebido de los datos", deslizó el exministro Salvador Illa poco antes de dejar el cargo. Sin embargo, los especialistas del sector no tienen claro cómo el Gobierno va a ejecutar este plan y, menos aún, cómo va a evitar que se produzca un proyecto Nightingale en nuestro país. Entre otras cosas, porque el debate sobre qué debe ser prioritario, que ya vivimos con la malograda 'app' Radar Covid o con CoronaMadrid, creada por la Comunidad de Madrid, sigue ahí: ¿salvar vidas a toda costa, renunciando a la privacidad de los ciudadanos, o privacidad primero y salud después?

"La regulación que tenemos en Europa con el RGPD es muy garantista y eso es genial, pero el riesgo es que nos quedemos atrás. Hay que proteger el dato, pero en China, por ejemplo, obligan a cederlo. En EEUU, no son tan estrictos. Si no encontramos un término medio, nos vamos a quedar atrás tecnológicamente. Esto va de salvar vidas. Si ese dato puede salvar vidas, a lo mejor tenemos que dejar de ser más papistas que el Papa", explica a Teknautas Alberto Estirado Bronchalo, jefe de Tecnología del grupo HM Hospitales.

Su departamento da servicio a 19 hospitales privados y a una platilla médica de 6.000 personas. "La pandemia nos ha obligado a multiplicar por 10 la digitalización", señala. Y da un ejemplo de lo que está en juego. "Fuimos el primer grupo médico del mundo en donar 3.000 historiales médicos del covid al comienzo de la pandemia. Con ellos trabajaron investigadores del MIT, Stanford o Harvard. Tuvimos solo 10 días para preparalos y nos dijimos, 'vamos a anonimizar los datos lo máximo posible', pero la prioridad era otra, salvar vidas".

HM Hospitales usa desde hace tiempo la nube de Microsoft (Azure) para desarrollar tratamientos oncológicos personalizados. Poco a poco, está tirando de más y más tecnología, como algoritmos que predicen la evolución de los pacientes ingresados. La sanidad privada, con mayor urgencia para maximizar recursos, va más rápido en este frente que la pública. Y este es uno de los grandes retos: no hay ningún organismo único que supervise ni audite esos algoritmos para asegurarse de que el uso que se hace de los datos de pacientes no solo sea legal, sino también ético. "El sentido común es la mejor ética. Nosotros nunca usamos datos sin anonimizar. Y empresas como Google tendrán que profesionalizarse, especializarse de verdad, separar su negocio tradicional del sanitario, si no, nadie se va a arriesgar a poner sus datos ahí", explica Bronchalo.

"La entrada de las 'big tech' en el sector sanitario me parece muy bien. Estamos en un mercado de información masiva. Cualquier actor que tenga experiencia en inteligencia artificial, analítica de datos y procesamiento masivo puede ser diferencial. Estas empresas llevan mucho tiempo haciendo esto en el segmento del consumidor final, así que es normal que quieran entrar en salud", explica Manuel Pérez Vallina, jefe de Tecnología del Hospital Universitario Gregorio Marañón, cuyo departamento da servicio a más de 1.000 camas y 1.400 profesionales.

Pérez Vallina cree que la legislación actual en materia de privacidad es suficiente para evitar un proyecto Nightingale patrio. "Tanto el RGPD como la ley española son muy robustos en este sentido. Dejan muy claro quién debe obtener los datos personales, quién los custodia, cuándo y cómo hay que anonimizar los datos, cuándo hay que pedir consentimiento, etc.", explica. Otros profesionales están en completo desacuerdo. "La legislación sería suficiente si se cumpliera. Es verdad que deja los términos básicos claros y es un buen paraguas, pero el problema es no hay nadie que controle que se cumpla. No hay transparencia en los contratos entre la Administración o los hospitales y los proveedores tecnológicos y, por tanto, no se puede saber si se cumple o no la ley. Lo de Google y Ascension en EEUU no es que pudiera haber ocurrido en España, es que seguro que ya ha ocurrido e incluso habrá contratos peores", explica a Teknautas Gemma Galdón, especialista en privacidad y tecnología y fundadora de Eticas Consulting.

Galdón trabaja con varios hospitales y gobiernos internacionales en auditar los algoritmos que usan para asegurarse de que no se pone en riesgo la privacidad de los ciudadanos. En su trabajo, se ha encontrado casos de instituciones que aseguran que los datos empleados son totalmente anónimos pero, en realidad, permiten identificar sin problema a las personas. "Da igual que no uses el nombre, apellido o DNI, si luego guardas las coordenadas GPS del móvil, es peor aún". "Con la tecnología, ocurre una anomalía tremenda. Para cualquier cosa que compramos, el fabricante tiene que asegurarse antes de que cumple unas reglas estrictas. Un coche, un juguete, un medicamento... Todo lo que nos rodea pasa procesos previos de control, pero el 'software' no. Es más barato hacer un coche sin medidas de seguridad, pero es ilegal. Con los algortimos pasa igual, es más sencillo hacerlos sin respetar la privacidad, pero como no hay nadie que los controle, se hace constantemente", explica.

Tu doctor en Amazon

"Si piensas en el futuro, habrá un día en que miraremos atrás y veremos que la mayor contribución de Apple a la humanidad habrá sido en la salud". Ni iPhone, ni iPad ni Mac. Tim Cook, jefe de Apple, coló esta frase mesiánica en una entrevista en la CNBC en 2019, y no es gratuita. La supervivencia de la compañía a largo plazo dependerá de si logra colarse con éxito en el mercado de la salud, terreno en el que solo ha empezado a rascar la superficie con el Apple Watch. Lo mismo les ocurrirá a Google, Microsoft y, en menor medida, a Amazon. El gasto global en salud se disparó a más de 8,3 billones de dólares a nivel mundial en 2018 (un 10% del PIB mundial), según un informe reciente de la OMS. El covid no ha hecho más que disparar este mercado. Solo en España, el gasto público en Sanidad para este año será de casi el 7% del PIB, unos 84.500 millones de euros. Parte de ese gasto se destinará a tareas de digitalización y modernización, y las 'big tech' aspiran a quedarse una suculenta porción del pastel.

"La tarta se reparte en tres frentes. El primero es el de los 'wearables' y tus datos de salud y deporte. Luego está la digitalización de sistemas hospitalarios y el historial médico. Y hay un tercer frente enorme de inteligencia artificial aplicada a salud. Google es probablemente el más débil de todos, es el menos diversificado y el 90% de sus ingresos sigue dependiendo de la publicidad", explica Galdón.

Google lleva desde 2012 tratando de colarse en el sector de la salud. Ese año, montó Google Health, pero tuvo que cerrar la unidad solo dos años después por el escaso éxito. Volvió a abrirla en 2018 con un objetivo claro: hacerse con tus datos de salud. Para ello, compró el fabricante de pulseras deportivas Fitbit a finales de 2019, una compra aprobada recientemente por la UE en una decisión "preocupante", según reconoció a este diario el ex economista jefe de la UE, por el poder que le dará ese movimiento. Su estrategia es saltar de las pulseras y los 'wearables' a los otros dos frentes, la digitalización de sistemas hospitalarios y la IA.

Ahí se encontrará con la dura competencia de Microsoft y Amazon. La primera lleva más de una década haciéndose un hueco en este sector y aspira a gestionar en su nube (Azure) los datos y sistemas de cualquier hospital, y a convertirse además en el nuevo Office de los médicos. Con Cloud for Healthcare, por ejemplo, cualquier doctor puede realizar consultas telemáticas con sus pacientes o controlar remotamente su evolución. Una prueba de la determinación de Microsoft en este terreno es su reciente compra de Nuance por 19.700 millones de dólares, una tecnológica cuyo 'software' transcribe automáticamente las consultas entre médico y paciente y hasta sugiere opciones de tratamientos.

"Se habla de invertir en IA para predecir la evolución de los pacientes cuando la pandemia ha demostrado que no sabemos ni contar muertos"

Amazon también quiere gestionar las tripas de los sistemas informáticos de salud, con su nube AWS, pero no solo eso. Cuenta con pulseras (Amazon Halo) que analizan tu actividad y datos básicos de salud, lanzó recientemente en EEUU Amazon Pharmacy, que envía medicamentos con receta sin coste de envío, y planea estrenar muy pronto Amazon Care, un sistema de telemedicina pensado inicialmente solo para empresas pero que podría extenderse en unos años a cualquier particular. En lugar de ir físicamente al médico, escogerías en Amazon tu doctor preferido, harías una consulta virtual y podrías recibir los medicamenteos en unas horas gratis en casa.

El caso de Apple es el más particular: a través del iPhone, el Apple Watch y sus 'apps' de actividad, quiere convertirse en una especie de asesor personal de salud y deporte, con servicios de suscripción recién estrenados en EEUU como Fitness Plus. Por 10 dólares al mes, puedes acceder a todo tipo de clases personalizadas para mantenerte en forma y, de paso, medir tu estado de forma y salud. Apple asegura que no comparte ninguno de esos datos salvo para proyectos de investigación concretos en los que pide tu permiso, por lo que de momento se mantiene alejado de la batalla por modernizar los sistemas hospitalarios en la que ya pelean Microsoft, Google y Amazon.

TE PUEDE INTERESAR

Palantir, el mayor invento de espionaje del mundo del megamillonario Peter Thiel

Marta Peirano

Para especialistas como Galdón, la clave no es tanto el quién sino el cómo. No importa si es Google o Microsoft quien acabe gestionando los datos de pacientes, sino la transparencia y el control externo con que lo hagan. "Ahora solo se habla de invertir en IA para predecir la evolución de los pacientes cuando la pandemia ha demostrado que no sabemos ni contar muertos. Estas compañías ofrecen muchas veces solo la tecnología que tienen, no la que los sistemas sanitarios necesitan de verdad. Llevamos casi un año y medio de pandemia y el Ministerio de Sanidad todavía no ha establecido una política estatal de datos únicos, con bases comparables y compartibles", señala.

La estrategia de salud digital que plantea el Ministerio es aún un misterio, pero los riesgos de digitalizar mal son conocidos. Lo sabe bien Irlanda, que la semana pasada tuvo que desconectar los sistemas informáticos de todos sus hospitales tras un potente ciberataque. O Reino Unido, que tuvo que dar marcha atrás tras adjudicar un contrato plurianual a Palantir para gestionar los datos de su sistema de salud (NHS). Palantir, proveedor tecnológico de la CIA o el FBI, es conocida por tareas de espionaje masivo y por saltarse las reglas básicas de privacidad. Lo sabe también EEUU, donde Google, Amazon y Microsoft ya han cerrado decenas de contratos millonarios con hospitales en los que ni doctores ni pacientes saben muy bien cómo se está preservando la privacidad de la información. Nos habían vendido que nuestros datos personales eran el nuevo petróleo. Hay que actualizar la frase: el verdadero petróleo son tus datos sanitarios.