Soy la fuente anónima que ha destapado el acceso de Google a datos médicos de millones de personas
No fue fácil levantar la liebre del acuerdo de Google, conocido en los pasillos como Project Nightingale (Proyecto Ruiseñor). Fue una decisión que llegó lentamente, que se abrió paso en el día a día, mientras trabajaba junto a otras 250 personas en Google y Ascension.
Cuando entré a formar parte del Proyecto Nightingale, estaba encantado de trabajar en la primera línea de la innovación médica. Pero Google no está jugando limpio cuando afirma que es uno de los actores más relevantes del sector sanitario gracias a su inteligencia artificial (IA) avanzada y sus sistemas de aprendizaje automático para predecir pautas respecto a ciertas enfermedades. Avances que podrían, algún día, llevar al descubrimiento de nuevas terapias y, quien sabe, incluso de curas.
Trabajaba creando futuro junto a equipos directivos en ambos lados del acuerdo, tanto en Google como en la compañía médica Ascension. Todo concordaba. Creía que la tecnología tiene un poder real a la hora de mejorar la atención sanitaria. Pero a medida que pasaba el tiempo comenzaron a preocuparme cada vez más la seguridad y privacidad del acuerdo entre ambas empresas. No pasó mucho tiempo hasta que me di cuenta de que era evidente que otros miembros del equipo Nightingale compartían mi preocupación.
Finalmente llegué a un momento vital que sospecho es común a la mayoría de quienes deciden romper el silencio y hablar. Ese momento en el que lo que veía ante mis ojos era demasiado importante para permanecer en silencio. Entonces el dilema se reduce a dos preguntas que ya no te abandonan: ¿Sabían los pacientes que sus datos se transferían al gigante tecnológico? ¿debían haber sido informados y tener la opción de quedarse o salir del proyecto?
La respuesta a la primera pregunta no tardó en llegar: no. La respuesta a la segunda fue algo de lo que me convencí progresivamente: sí. Si las miraba en conjunto, ¿cómo podía permanecer en silencio?
Hay mucho en juego. La seguridad de los datos es importante para muchos aspectos de la vida, pero cuando esos datos se refieren a la salud del individuo, cobra suma importancia. Es la última frontera de la privacidad de los datos personales.
Ante un acuerdo tan sensible y de tanta relevancia –la transferencia de los datos personales de más de 50 millones de estadounidenses a Google– la supervisión debe ser muy intensa. Era necesario examinar cada uno de los flancos del acuerdo para asegurarse de que cumplía con las leyes federales relativas al manejo confidencial de información sanitaria protegida según la legislación de HIPAA de 1996 [una norma aprobada por el Presidente Clinton que garantiza la seguridad de la información médica transmitida por vía electrónica].
Trabajar en un equipo de 150 empleados de Google y alrededor de 100 de Ascensión me abrió los ojos. Y no dejó de sorprenderme el poco contexto e información con que lo hacíamos. ¿Qué algoritmos de IA trabajaban en tiempo real mientras los datos pasaban de los grupos de trabajo hospitalarios al buscador? ¿Qué planeaba hacer Google con los datos a los que se le daba acceso? No parece que nadie lo supiera.
Pero, sobre todo: ¿por qué se entregaba la información en un formato que no había sido “desidentificado” –el término usado por la industria para extraer los datos que permiten identificar a un paciente de manera que su historial médico no pueda vincularse con él o ella–? ¿Por qué ni médicos ni pacientes habían sido informados de lo que sucedía?
También me preocupaba la seguridad vinculada a situar grandes cantidades de datos médicos en la nube. Piensen en los hackeos recientes a varios bancos o la fuga de datos que sufrió el gigante de la distribución Target. E imagínense que algo similar sucediera con los datos sanitarios de millones de ciudadanos.
Estoy orgulloso de haber llevado esto ante la opinión pública. Desde su publicación, el lunes pasado, varios miembros del Congreso han mostrado su preocupación. La senadora por Minnesota y candidata presidencial demócrata Amy Klouchbar ha dicho que el acuerdo plantea “problemas muy serios de privacidad”. También se ha abierto una investigación federal para saber si se han seguido los pasos marcados por las normas HIPAA.
Puedo entender las ventajas que ofrece aplicar el inmenso poder de procesamiento de Google a los datos médicos. Las aplicaciones funcionarán más rápido, los médicos podrán acceder a los datos con mayor facilidad y se abrirán nuevos canales de comunicación que, con el tiempo, puedan ayudar a encontrar tratamientos para ciertas dolencias.
Pero las desventajas no me dejan tranquilo. Si los empleados de las grandes tecnológicas tienen acceso a información personal, esos datos podrían terminar en manos de terceros. Podría enviarse publicidad personalizada a los pacientes en función de su historia clínica.
Espero que mi decisión de informar sobre todo esto permita que tenga lugar un debate abierto que se traduzca en un cambio concreto. La transferencia de datos sanitarios a las grandes tecnológicas tiene que ser algo conocido y aprobado por la ciudadanía de manera transparente y con supervisión independiente. Los pacientes tienen que poder elegir entre participar o no. El uso de los datos tiene que ser claro y estar definido. No solo ahora, sino pensando en las próximas dos décadas.
Hay que aplicar la normativa. Su cumplimiento debe ser estricto. Hay que marcar líneas rojas para evitar que terceros que tengan acceso sin consentimiento ciudadano. Para terminar: los pacientes y el público tienen derecho a saber lo que sucede con sus datos sanitarios en cada paso del proceso médico. Citando a uno de mis modelos a seguir, Luke Skywalker: “”Que la fuerza te acompañe“.
