La aparición de dispositivos capaces de procesar la información relativa a la actividad cerebral abre el debate acerca de su finalidad, ya que su uso comporta una afectación física y supone un riesgo para la integridad mental del usuario/cliente/paciente.
Al ser el cerebro el órgano encargado de procesar los estímulos que recibimos, el tratamiento no autorizado o ilícito de los datos obtenidos mediante esta tipología de intervenciones pueden afectar a la privacidad mental, al libre albedrío y a la libertad de pensamiento.
Los neuro datos pueden definirse como “toda información captada directa o indirectamente de un patrón de actividad neuronal, que es incorporada al cerebro humano a través de la utilización de neuro tecnologías avanzadas, incluyendo las técnicas de captación de señales neurofisiológicas, tanto invasivas como no invasivas. Dicha información decodificada representa la actividad psíquica consciente o subconsciente y forma parte del aspecto más intrínseco de la persona humana, la privacidad mental” .
Así mismo, pueden incluir información sobre la identidad de la persona, su estado de salud, sus pensamientos, sentimientos o emociones. Por lo tanto, son datos sensibles que pueden dar lugar a un mayor riesgo para la privacidad de las personas.
¿Cómo se obtienen estos datos?
Los neuro datos se recogerían a través de un sistema de Interfaz Cerebro Computadora (BCI, por sus siglas en inglés). También puede darse el caso de sistemas BCI híbridos, en el caso del uso combinado de técnicas de recogida de señales neuronales y biométricas. En el supuesto en que los datos cerebrales puedan ser almacenados hay que diferenciar entre aquellos que son susceptibles de ser protegidos por el Reglamento General de Protección de Datos (RGPD) o no. Respecto el potencial grado de identificación de una persona, podemos clasificarlos en:
- Datos que no permitan conocer la identidad de los sujetos establecidos en el RGPD.
- Datos que permitan el reconocimiento de una persona, ya sea de forma directa o indirecta.
¿Cuáles son los avances normativos en la materia?
En el ámbito internacional, uno de los primeros países en establecer una aproximación por lo que refiere a los neuro derechos ha sido Chile, donde se llevó a cabo el Proyecto de Reforma Constitucional, Boletín Nº 13827-19, que modifica el artículo 19.1 de la Carta Fundamental chilena. Mediante dicha reforma, se incluyó en el articulado del texto una mención a los desarrollos tecnológicos y científicos, que ‘’estarán al servicio de las personas y se llevará a cabo con respeto a la vida y a la integridad física y psíquica. La ley regulará los requisitos, condiciones y restricciones para su utilización en las personas, debiendo resguardar especialmente la actividad cerebral, así como la información proveniente de ella’’.
Siguiendo el caso de Chile en la iniciativa legal N°13828-19, se ofrece lo que podría ser una definición más concreta sobre los neuro datos. Según el artículo 2 del Proyecto de Ley del Estado de Chile, los datos neuronales son ‘’aquella información obtenida, directa o indirectamente, a través de los patrones de actividades de las neuronas, cuyo acceso está dado por neuro tecnología avanzada, incluyendo sistemas de registro cerebrales tanto invasivos como no invasivos. Estos datos contienen una representación de la actividad psíquica, tanto consciente como subconsciente, y que corresponden al más íntimo aspecto de la privacidad humana.
Teniendo en cuenta la legislación europea en materia de protección de datos, el RGPD nos ofrece una serie de definiciones dentro de la categoría de datos personales que, sin definir explícitamente los datos relativos al cerebro, podemos encontrar:
- Datos personales: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona
- Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona
- Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
- Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud
¿Qué debería tener en cuenta si pretendo realizar un tratamiento sobre neuro datos?
La Agencia Española de Protección de Datos (AEPD) considera que existe más similitud de conceptos entre los neuro datos y los datos genéticos, entendiendo el cerebro como un identificador único tal y como las huellas dactilares o un genoma. En esta línea, ambos ofrecerían la posibilidad de predecir o inferir otra información, y pueden desvelar indicios sobre el pasado y sobre su futuro, así como exponer aspectos únicos y personales que no podrían ser observables por el propio individuo.
Considera también la AEPD que los neuro datos son datos personales, y que, por su condición, podrían considerarse datos sensibles o muy personales atendiendo a las directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679. . Añade la Agencia que los identificadores neuronales permiten recoger información que puede tener distinta naturaleza en el tratamiento: biometría para identificación, datos de salud, datos muy personales (emociones y pensamientos), información de perfilado, decisiones automatizadas u otros tipos de categorías especiales de datos.
La empresa, autoridad pública u otra entidad que pretenda realizar intervenciones utilizando estos mecanismos, deberá tener en cuenta que, en virtud del principio de responsabilidad proactiva (accountability) establecido en el art. 24 RGPD, deberá aplicar las medidas técnicas y organizativas adecuadas para garantizar y demostrar que el tratamiento de los datos obtenidos es conforme al RGPD. Del mismo modo, el responsable del tratamiento deberá llevar un Registro de la Actividad del Tratamiento (RAT), debidamente documentado y a disposición de la Autoridad de Control, que incluya la siguiente información:
– Nombre y datos de contacto del responsable
– Fines del tratamiento
– Descripción de los interesados (clientes, proveedores, usuarios etc.)
– Categorías de datos (datos identificativos, datos fiscales, datos sensibles, etc.)
– Categorías de destinatarios a quienes se comunicarán los datos.
– Transferencias internacionales previstas
– Medidas técnicas y organizativas de seguridad
– Plazos de supresión para las diferentes categorías de datos.
0 comentarios