En un artículo anterior, discutimos cómo la evidencia del mundo real (RWE) puede facilitar y acelerar importantes avances en los servicios médicos y las ciencias biológicas. También aludimos al desafío que consiste en desencadenar el valor de RWD/RWE preservando al mismo tiempo la privacidad de los datos y cumpliendo con las regulaciones de seguridad que controlan el uso y análisis de conjuntos de datos útiles y, a menudo conjuntos de datos de misión crítica. Las opciones alternativas de trabajo basadas en procesos, como la desidentificación de datos combinadas con tecnologías como la tokenización, funcionan hasta cierto punto, pero aún deben ser más rápidas y amplias. Al asociarse con Duality Technologies, Globant ha tomado la delantera en apoyar a los clientes con una solución RWE que agiliza el uso y maximiza el valor de RWD, sin importar quién lo tenga o dónde resida. A través de alianzas tan innovadoras, Globant está a la altura de su misión de reinventar la industria de la salud y las ciencias biológicas a través de soluciones tangibles impulsadas por la tecnología.
Desafíos: RWD/RWE y regulaciones de privacidad de datos
El gran obstáculo para el éxito de cualquier estudio RWE son los datos. Los estudios de RWE necesitan grandes y diversos volúmenes de RWD para su análisis, pero el acceso y colaboración son obstaculizados e incluso bloqueados por las normas de privacidad de datos y preocupaciones de seguridad y gobernanza. Además, utilizar conjuntos de datos dispares en todo su potencial significa tener plena utilidad (vincular conjuntos de datos dispares, coincidencia de esquemas, etc.) y alta eficiencia para aumentar la velocidad a la que se generan conocimientos. Cuando se trata de los medios tradicionales para satisfacer estos requisitos, existen fricciones que van en contra de las necesidades de los equipos que dependen de RWE para obtener información de misión crítica.
Demasiado tiempo y esfuerzo antes de que comiencen los análisis
Esto es importante por dos razones: la primera es el riesgo asociado al compartir datos de atención médica, que están protegidos por normas de privacidad. Las entidades, como los proveedores de atención médica, que son los custodios de los datos, deben cumplir con las normas de seguridad y privacidad de los mismos. Para ello, tradicionalmente desidentifican al RWD antes de permitir el acceso a él. Sin embargo, el esfuerzo asociado con esto y el riesgo de reidentificación pueden influir en la voluntad de los proveedores de atención médica de participar en el intercambio de datos, especialmente si no tienen la infraestructura, los recursos y los conocimientos tecnológicos para garantizar el cumplimiento.
En segundo lugar, los datos sanitarios pueden ser vastos, complejos y variados. A menudo, se requieren importantes esfuerzos de limpieza y armonización de datos después de la adquisición. Si los agregadores de datos no se encargan de esta tarea, la responsabilidad pasa a los equipos de gestión de datos de la organización patrocinadora. Deben preparar los datos para las herramientas analíticas utilizadas por varios departamentos. En lugar de concentrarse únicamente en el análisis, dedican más tiempo a coordinar estos esfuerzos, lo que afecta el retorno de la inversión (ROI). Además, los retrasos pueden prolongar el tiempo de comercialización, perdiendo tanto ventaja competitiva como ingresos significativos. En última instancia, son los pacientes los que pagan el precio más alto por tales retrasos, con sufrimiento o incluso muertes que podrían haberse evitado.
Disminución de la calidad y utilidad de los datos
Eliminar información identificable de un conjunto de datos reduce el contexto valioso de los datos y, por lo tanto, la calidad, lo que limita su utilidad para la investigación y la generación de conocimientos: reduciendo la granularidad de los datos, generalizando valores únicos, enmascarando valores atípicos o reduciendo el potencial de vinculación de datos. Cuando se intenta conectar datos de diferentes fuentes, por ejemplo, para identificar relaciones entre ciertos tipos de cánceres y marcadores genómicos específicos, la ausencia de identificadores únicos hace que este proceso sea bastante desafiante. Si bien la tokenización es un método útil para vincular RWD no identificados entre fuentes de datos, tiene limitaciones. Algunos inconvenientes incluyen el alto costo de configurar y mantener un sistema de tokenización, especialmente uno que pueda manejar grandes cantidades de RWD, y un riesgo potencial de reidentificación si las claves de tokenización se ven comprometidas. Todo esto afecta el tiempo y el esfuerzo y es posible que aún no supere los requisitos de privacidad más estrictos que se encuentran en el Reglamento General Europeo de Protección de Datos (General Data Protection Regulation en inglés).
HIPAA
La Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA) es una ley federal de EE. UU. cuyo objetivo principal es mejorar la transferencia de la cobertura del seguro médico, mejorar la privacidad y seguridad de la información médica de los pacientes y establecer estándares para el intercambio electrónico de datos médicos. Las reglas de privacidad de HIPAA requieren que la información médica protegida (PHI) sea anonimizada antes de que pueda compartirse con fines de investigación o marketing. Según HIPAA, los datos no identificados no se consideran información médica protegida y, por lo tanto, no están sujetos a las mismas regulaciones de privacidad que la PHI. La desidentificación es el proceso de eliminar identificadores personales como nombre, dirección y número de seguro social del conjunto de datos. Se requiere cuando la PHI se utiliza para un propósito distinto al de brindar servicios de atención médica. Para ser verdaderamente anonimizados, los datos no deben vincularse razonablemente a un individuo y deben verificarse a través de una resolución experta. Este proceso suele ser una larga negociación entre todas las partes interesadas hasta que se encuentra un equilibrio entre los datos que se pueden compartir y la utilidad de esos datos.
RGPD
El Reglamento General Europeo de Protección de Datos (RGPD) es más extenso y estricto que HIPAA. Abarca una gama más amplia de datos personales, enfatiza el consentimiento informado y explícito de los interesados para procesar sus datos y aún puede aplicarse a datos no identificados. En el contexto del RGPD, los datos ya no se consideran datos personales y, por lo tanto, no están sujetos a los mismos requisitos del RGPD, sólo si se han procesado de manera que ya no puedan vincularse a una persona identificable. Por lo tanto, es posible que se requieran procesos más estrictos que la desidentificación tradicional, como la seudonimización o la anonimización, para permitir el intercambio de datos de atención médica según el RGPD. Como se espera, el tiempo, el costo y las limitaciones para desidentificar datos son mucho más pronunciados con datos anonimizados.
La tecnología recomendada por los reguladores
En junio de 2023, la Oficina del Comisionado de Información (ICO) del Reino Unido publicó recomendaciones, junto con estudios de casos (incluido uno desarrollado conjuntamente con Duality Technologies) que muestran un camino claro hacia el cumplimiento (RGPD del Reino Unido) y una mayor eficiencia. En su Guía de PETs , la ICO muestra dónde y cómo varios PET satisfacen o no los componentes principales de los requisitos de privacidad del RGPD. La guía explica cómo el uso de PET puede permitir obtener información de conjuntos de datos sin comprometer la privacidad de las personas cuyos datos están en el conjunto de datos, y cómo los PET apropiados pueden permitir dar acceso a conjuntos de datos que de otro modo serían demasiado sensibles para compartir. Además, el Comisionado de Información del Reino Unido ha recomendado considerar los PET para organizaciones que comparten grandes volúmenes de datos.
Navegando el acceso a RWD hoy y en el futuro
Dadas las rigurosas regulaciones de privacidad de datos, como HIPAA y GDPR, el acceso a RWD y la generación de RWE es una cuestión compleja.
Actualmente, acceder y utilizar RWD para investigaciones a menudo requiere obtener el consentimiento informado de los pacientes, garantizar que los datos sean anonimizados o desidentificados para proteger la privacidad del paciente y, en ocasiones, someterse a una revisión por parte de una junta de revisión ética o de una junta de revisión institucional (IRB). Estas medidas se toman para garantizar que los datos se utilicen de manera responsable y ética, y que se mantenga la confidencialidad del paciente.
Además, se han establecido estructuras de gobernanza de datos para garantizar el cumplimiento de estas leyes de privacidad. Estas estructuras describen quién puede acceder a los datos, dónde, con qué propósito y cómo se protegen los datos. El uso de entornos de datos seguros, también conocidos como enclaves de datos o entornos de investigación confiables (TRE), se ha convertido en un enfoque atractivo para el uso de datos confidenciales en los países. Los enclaves de datos permiten a los investigadores acceder y analizar datos dentro de un entorno seguro sin permitir que los datos abandonen el enclave, manteniendo así la seguridad y la privacidad de los mismos.
De cara al futuro, las tecnologías de mejora de la privacidad (PET) permitirán y optimizarán aún más el uso seguro de RWD. Los PET son un segmento de tecnología y los PET específicos varían según los tipos de software y hardware y los tipos de casos de uso que pueden admitir. En algunos casos, la combinación de PET es el camino a seguir. Los principales tipos de PET incluyen cifrado totalmente homomórfico (FHE), computación multipartita (MPC), aprendizaje federado (FL) y entorno de ejecución confiable (TEE). Para obtener más información, aquí hay algunos ejemplos en los que varias organizaciones de salud han encontrado útil el uso de PET para acelerar y permitir su trabajo:
- Documento PNAS 2020 : Dana Farber Cancer Institute utiliza FHE para vincular datos genómicos con conjuntos de datos oncológicos.
- Comunicado de prensa de DARPA 2020 : DARPA utiliza FL con FHE para la investigación de COVID-19.
- Documento ASCO 2023 : El Centro Médico de Tel Aviv utiliza FHE para desbloquear RWD a través de fronteras y acelerar los avances en la investigación médica.
- Documento PNAS 2023 : El Instituto del Cáncer Dana Farber, el Centro Médico de Tel Aviv y otros combinan FHE y MPC para trabajar en investigación oncológica.
Cómo empezar
El poder de RWD y RWE debe ejercerse con un profundo respeto por la privacidad de los datos y consideraciones éticas. Si bien la tecnología promete nuevas metodologías para garantizar la seguridad y privacidad de los datos, sigue siendo primordial un enfoque integral y compartido de la gobernanza, la ética y el uso responsable. Este equilibrio entre innovación y responsabilidad garantizará que RWD/RWE continúe iluminando los caminos del descubrimiento y la prestación de atención médica en los años venideros. A medida que la intersección entre I+D y la prestación de atención sanitaria continúa evolucionando, está claro que RWD y RWE tienen un papel fundamental que desempeñar para guiar el camino hacia un futuro más basado en datos en las ciencias biológicas.
Globant se ha asociado con Duality Technologies, una empresa que ofrece tecnologías que mejoran la privacidad, para ayudar a nuestros clientes a desbloquear el valor de RWE de una manera segura y compatible. Aprovechamos las tecnologías de mejora de la privacidad de Duality para desarrollar plataformas de RWE que permitan compartir datos de atención médica y colaborar en distintas zonas geográficas, respetando al mismo tiempo la normativa local sobre privacidad de datos.
Ponte en contacto con nosotros para iniciar tu viaje hacia un intercambio de datos seguro y conforme a las normativas y una investigación basada en RWD.