En plena pandemia escuchamos, entre otros múltiples avances, acerca de un software uruguayo entrenado para predecir casos de COVID-19. El Instituto Pasteur de Montevideo apeló a la inteligencia artificial (IA), probando un software que automatiza varios procesos y otorga las ventajas de minimizar el error humano a la vez que acelera los tiempos. El software fue entrenado con bases de datos de testeos para, por ejemplo, predecir si el resultado de una muestra es positiva o negativa de acuerdo con la información que brinda directamente el termociclador (el equipo en el que se realiza la PCR)1.
Este es un ejemplo, pero cada vez más se habla de la IA y cómo podría ésta mejorar la velocidad y la precisión del diagnóstico y la detección de enfermedades, así como la investigación y el desarrollo de medicamentos y productos médicos. Nos enfrenta también a un mundo nuevo con muchos desafíos jurídicos.
Pese a ofrecer grandes expectativas en la atención de salud y la medicina, tiene que estar alineada con los principios éticos, la regulación y los derechos humanos. Esto ha sido recogido en el primer informe mundial de la Organización Mundial de la Salud (OMS) sobre “inteligencia artificial aplicada a la salud y seis principios rectores relativos a su concepción y utilización”2.
Es interesante analizar el tema de la IA en esta área particular, dado que poco a poco se ha transformado en parte de nuestra vida cotidiana y es parte de la agenda digital de nuestro país.
Es normal que las normas regulen una realidad una vez que ésta se nos impone. En nuestro país ya existe tecnología que aplica IA, aunque no toda es considerada un producto médico a los ojos de la normativa vigente.
A los efectos de este análisis preliminar, daremos una mirada a los que son productos médicos conforme al Decreto 3/2008 3.
Para ello, la tecnología tiene que ser utilizada con fines de diagnóstico químico, biológico, imagenológico o terapéutico. Hay IA que se utiliza, pero no cumple estas finalidades.
Si bien en Uruguay no hay normativa específica que regule productos médicos que usan IA, sí hay un conjunto de regulaciones que aplican a estas temáticas desde diferentes áreas del derecho y con diferentes ópticas.
Desde el punto de vista sanitario, además del Decreto citado, con la creación de la Agencia de Tecnologías Sanitarias -art. 407 de la Ley 19.889, Ley 19924 art. 403 y siguientes- y su Decreto reglamentario 241/2021, se genera un marco en el cuál bien podría hacerse un análisis de estas tecnologías para evaluar su seguridad y eficacia, así como estimar su contribución e impacto en el sistema de salud4. Por lo cual, es posible que, a nivel de la agencia, estas tecnologías sean objeto de regulación y evaluación.
Nos deberíamos preguntar entonces si es necesario que se regule específicamente, y en caso que la respuesta fuera afirmativa, qué elementos deberíamos tener en cuenta para generar la regulación.
En ese sentido, hay otros aspectos jurídicos a considerar, como los que detallo a continuación.
Al nutrirse los productos médicos con IA de bases de datos, hay que analizar la regulación también desde el punto de vista de los datos personales como derecho humano.
Desde el año 2008 está vigente la Ley 18.3315 de protección de datos personales (y modificativas), que regula el derecho a la protección de la integridad de los datos y en especial de los datos de salud.
El contralor es ejercido por la Unidad Reguladora y de Control de Datos Personales que potencialmente podría recibir alguna denuncia de parte de pacientes por el uso inapropiado de esta tecnología.
Nuestra normativa está alineada con la europea, el Reglamento General de Protección de Datos (GDPR) otorga a la persona un control sobre su información asegurando un uso adecuado y reservado. Los niveles de protección, las obligaciones y responsabilidades varían según el tipo de información que se maneje.
La información de salud es considerada como dato sensible y es al que se le atribuye un nivel mayor de protección (siempre manejando excepciones). Garantiza que las personas puedan controlar su información confidencial, por lo que para compartirla tienen que dar su consentimiento libre, expreso, previo e informado.
La ley analiza la finalidad para el que fue otorgado el consentimiento. No se puede utilizar datos para finalidades distintas o incompatibles con aquellas que motivaron su obtención. Tampoco se puede solicitar datos que sean excesivos para la finalidad o no tengan relación con el uso que se le da o para lo que se los pide.
Están reguladas las transferencias internacionales de datos y el titular del dato debe consentir su transferencia. Se busca que se transfieran y/o se almacenen, con consentimiento y en países considerados seguros.
Uruguay aprobó la Ley 19.0306 que adhirió al Convenio N°108 del Consejo de Europa que garantiza a cualquier persona física el respeto de sus derechos y libertades fundamentales con respecto al tratamiento automatizado de los datos de carácter personal. Y por “tratamiento automatizado” se entiende las operaciones efectuadas en su totalidad o en parte con ayuda de procedimientos automatizados: registro de datos, aplicación a esos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión.
Su finalidad es garantizar en el territorio de cada parte, a cualquier persona física independiente de su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal.
Además, la tecnología que usa IA como creación del intelecto, está protegida por derechos de autor7.
Para minimizar los riesgos de los productos médicos que usan IA, deberíamos evaluar los siguientes aspectos. Desde el punto de vista sanitario, que al diseñar un producto médico se tenga en cuenta que se cumpla con requisitos en materia de seguridad, precisión y eficacia para el uso. Se debería controlar también la validación del sistema contra el “gold standard” para asegurar comparabilidad y precisión.
En materia de datos, que se hayan evaluado sistemas de privacidad desde el diseño o por defecto. Desde el diseño se debe aplicar las medidas técnicas y organizativas apropiadas para garantizar el cumplimiento a la norma, tanto en el momento de definir la forma en que se tratará la información personal como en el propio tratamiento. Es decir, las medidas se deben integrar al proceso de tratamiento desde el inicio, por ejemplo, pseudo-anonimizar los datos en caso de ser posible.
También considerar implementar medidas de ciberseguridad, almacenar datos en países seguros para disminuir los potenciales riesgos de tener incidentes de seguridad, buscar niveles de protección adecuadas, claves de acceso, etc.
Los productos médicos con IA deberían buscar y preservar la autonomía del ser humano, dándole la alternativa al paciente de ser dueño de sus decisiones médicas, preservando su privacidad y la confidencialidad. Hay que lograr métodos prácticos, fáciles de implementar, pero eficaces para recabar el consentimiento de los pacientes al tratamiento de datos, que tengan clara la finalidad y sean adecuados conforme a la tecnología que se implementa.
Al médico, quien tiene que hacer un diagnóstico, tratamiento y prescripción, por los cuales es responsable, se lo debe empoderar con herramientas y el conocimiento necesario para garantizarle que está utilizando tecnologías validadas por las autoridades regulatorias nacionales e internacionales de referencia.
El mundo de la tecnología requiere cada vez más de visiones integradoras, complementarias y de trabajo en equipo para garantizar los derechos de todos. Esos desafíos, entre otros, son los que tenemos por delante. Y para regular este tema, una multiplicidad de aspectos deberá ser tenida en cuenta.
1 https://marcapaisuruguay.gub.uy/software-uruguayo-entrenado-para-predecir-positivos-de-covid-19/
2 https://www.who.int/es/news/item/28-06-2021-who-issues-first-global-report-on-ai-in-health-and-six-guiding-principles-for-its-design-and-use
3 Decreto 3/2008 https://www.impo.com.uy/bases/decretos/3-2008/1
4 Art. 3 Decreto 241/2021 https://www.impo.com.uy/bases/decretos/241-2021
“La Agencia de Evaluación de Tecnologías Sanitarias tiene los siguientes cometidos:
a) Estimar el valor y la contribución relativa de cada tecnología sanitaria en la mejora de la salud humana, individual y colectiva.
b) Evaluar el impacto sanitario, económico y social de cada tecnología sanitaria.
c) Realizar investigaciones y aportar información actualizada, objetiva, transparente y relevante, que permita adoptar decisiones, en función de las tecnologías sanitarias que garanticen la
mayor efectividad, eficiencia, eficacia y seguridad.
d) Emitir y publicar de manera periódica los estudios e investigaciones sobre nuevas tecnologías”.
5 Ley de Protección de Datos Personales https://www.impo.com.uy/bases/leyes/18331-2008
6 Ley 19.030 https://www.impo.com.uy/bases/leyes-originales/19030-2012
7 Ley 9739 en redacción dada por la Ley 17.616 https://www.impo.com.uy/bases/leyes/9739-1937 establece que “la protección del derecho de autor abarcará las expresiones, pero no las ideas, procedimientos, métodos de operación o conceptos matemáticos en sí. A los efectos de esta ley, la producción intelectual, científica o artística comprende:
(…) Programas de ordenador, sean programas fuente o programas objeto; las compilaciones de datos o de otros materiales, en cualquier forma, que por razones de la selección o disposición de sus contenidos constituyan creaciones de carácter intelectual. Esta protección no abarca los datos o materiales en sí mismos y se entiende sin perjuicio de cualquier derecho de autor que subsista respecto de los datos o materiales contenidos en la compilación. La expresión de ideas, informaciones y algoritmos, en tanto fuere formulada en secuencias originales ordenadas en forma apropiada para ser usada por un dispositivo de procesamiento de información o de control automático, se protege en igual forma”.