Noticias

May 27, 2023

Asuntos reglamentarios

Buscar artículo

Buscar artículo

Los neurodatos de identificación personal siempre se consideran información personal, independientemente de su propósito. Sin embargo, no existe una definición explícita de neurodatos como una forma específica de información personal o datos de categoría especial según el RGPD del Reino Unido. Por lo tanto, las organizaciones deben considerar cuidadosamente ambos:

Los desafíos clave incluyen:

Cuando los neurodatos se recopilan y procesan con fines médicos, por ejemplo, es probable que sean datos de salud de categoría especial (SCD) según el artículo 9 (1) del RGPD del Reino Unido. Por lo tanto, requiere una base legal para el procesamiento según el Artículo 6 y el cumplimiento de una condición para el procesamiento de datos de categoría especial según el Artículo 9. Las organizaciones pueden identificar una base adecuada para el procesamiento y el consentimiento puede ser la base legal adecuada y la condición de categoría especial.

Algunos grupos, como la empresa privada Neurorights Foundation, han recomendado que se brinde un consentimiento explícito antes de que se procesen los datos neurológicos en todos los casos.14 Debemos manejar este tipo de llamadas con cuidado; Si bien el consentimiento médico sigue siendo un tema distinto e importante, el consentimiento explícito para el procesamiento de datos es solo una de una variedad de condiciones de categoría especial apropiadas según el RGPD del Reino Unido. No es inherentemente 'mejor' que otras condiciones; las organizaciones deben considerar cuidadosamente qué es lo más apropiado.

Cualquier confianza automática más amplia en el consentimiento para usar información personal con fines de consumo también podría causar confusión y puede ser inapropiada según el RGPD del Reino Unido. El diálogo más amplio y los llamados al uso del consentimiento pueden llevar a las personas a asumir que tienen derecho a retirar automáticamente el consentimiento a las organizaciones que usan su información. De hecho, las organizaciones pueden usar otras bases apropiadas para el procesamiento y les corresponde ser transparentes sobrecual base que han utilizado y qué derechos son aplicables. En lugar de centrarse siempre en el consentimiento, la transparencia del procesamiento puede resultar más eficaz para ayudar a las personas a comprender cómo las organizaciones utilizan su información.

En casos excepcionales, las organizaciones pueden usar directamente los neurodatos para identificar o verificar a una persona física. En este caso, es de categoría especial.biométrico datos que también se incluyen en el artículo 9, apartado 1, del RGPD. Sin embargo, aunque técnicamente factible, es probable que la mayoría de los usos sean clasificatorios, como se explora en los escenarios. Esto se debe al costo y la complejidad de identificar a las personas de esta manera en comparación con otras metodologías biométricas sólidas. donde la informaciónpuede permitir que las organizaciones identifiquen a las personas, los neurodatos también pueden ser datos biométricos según el Artículo 4(14) del RGPD del Reino Unido. Se trata por tanto de información personal pero no de datos de categoría especial. (Los datos biométricos de categoría especial requieren que las organizaciones procesen información personal con el fin de una identificación única). Las organizaciones que procesan información personal deben considerar cuándo y cómo la información que están utilizando puede permitir identificar a una persona y cuál puede ser el impacto probable.

Por el contrario, las organizaciones pueden utilizar ampliamente algunos neurodatos a gran escala sin aplicar las salvaguardas adicionales para el procesamiento de datos de categorías especiales.

Por ejemplo, muchos de los escenarios anteriores analizan la clasificación emocional y conductual de las personas, con fines que incluyen el empleo, el bienestar o el entretenimiento. Por lo tanto, existe el riesgo de una mayor elaboración de perfiles o incluso de la seudonimización. Esto se debe a la complejidad de la información recopilada y la mayor facilidad con la que se puede asociar la información con una persona. Las organizaciones podrían vincular intencionalmente la información a una persona después de la identificación o verificación para obtener su máximo beneficio.

En estos casos, las organizaciones pueden tener información que puede no cumplir con la definición del Artículo 9 del RGPD del Reino Unido de datos de categoría especial, pero aún así podría causar un daño sustancial si se usa indebidamente. (En particular, pérdida de autonomía, discriminación, efectos intimidatorios y angustia personal a nivel personal).15 Es probable que el procesamiento a gran escala de dicha información plantee un desafío para fomentar las mejores prácticas. Esto destaca la necesidad de considerar los neurodatos como de alto impacto y alto riesgo incluso cuando se usan en contextos que no cuentan explícitamente como datos de categoría especial. Finalmente, las organizaciones también deben ser conscientes de si la información personal puede convertirse en datos de categoría especial. Por ejemplo, el seguimiento de la información de los empleados, como la concentración que podría revelar datos de salud mental.

Existen protecciones sólidas para procesar toda la información personal según el RGPD del Reino Unido. Para las organizaciones que procesan neurodatos, es importante tener claro cuándo los neurodatos se consideran datos sobre salud a los efectos del artículo 9 del RGPD del Reino Unido. Este es un problema que hemos explorado más a fondo en nuestro reciente Informe Technology Horizons. Las organizaciones no deben asumir que los neurodatos son inmediatamente datos de salud simplemente porque se derivan de la fisiología de una persona. Las organizaciones también deben tener claro cuándo el procesamiento complejo implica el procesamiento de datos biométricos y las situaciones en las que los datos biométricos son datos de categoría especial.

El procesamiento de neurodatos es particularmente novedoso y presenta un riesgo significativo debido a la naturaleza íntima de la información personal que podría revelar. La neurotecnología puede recopilar información de la que las personas no son conscientes. Los neurodatos pueden incluir estimaciones de estados emocionales, efectividad y compromiso en el lugar de trabajo o educativo, e información médica sobre salud mental, entre muchos otros tipos de datos. Las organizaciones pueden arriesgar significativamente los derechos de protección de datos de las personas al recopilar y procesar estas categorías de información personal.

Las neurotecnologías presentan un riesgo particular si analizan la emoción o el comportamiento complejo (en lugar del nivel de concentración o la indicación de una patología neurodegenerativa, por ejemplo). La ciencia que sustenta el análisis de las emociones humanas es muy debatida (como hemos explorado en nuestro informe Biometrics Foresight). Muchas partes interesadas y académicos tienen preocupaciones importantes sobre la capacidad de los algoritmos para detectar con precisión las señales emocionales. Se espera que el proceso de extraer inferencias tan complejas a partir de conjuntos de datos cuantitativos del cerebro humano siga siendo un enorme desafío.

A medida que las organizaciones derivan y analizan conjuntos de datos cada vez más grandes, pueden surgir nuevas formas de discriminación que no han sido reconocidas previamente por la legislación asociada, como la Ley de Igualdad de 2010. Sin una verificación sólida e independiente de estos modelos, existe el riesgo de que estos enfoques estar arraigado en un sesgo sistémico y es probable que proporcione información inexacta y discriminatoria sobre las personas y las comunidades. Esta información puede alimentar sistemas automatizados en muchos casos. Luego puede plantear más preguntas sobre el procesamiento y la transparencia del artículo 22 (que establece los derechos relacionados con el procesamiento automatizado y la elaboración de perfiles discutidos anteriormente). En particular, las personas neurodivergentes pueden correr el riesgo de ser discriminadas por sistemas y bases de datos inexactos que han sido entrenados en patrones neuronormativos.

Alternativamente, puede surgir una discriminación activa, en lugar de sistémica. Las organizaciones pueden ver determinados neuropatrones e información como indeseables, si no se consideran una característica protegida según la legislación actual, como la Ley de Igualdad de 2010. Las personas pueden experimentar un trato injusto en el trabajo o los servicios que se les ofrecen en función de sus estados emocionales percibidos. o incluso condiciones físicas o mentales no reconocidas o diagnosticadas previamente.

La discriminación también puede ocurrir a través de dispositivos; no solo a través de organizaciones que recopilan y utilizan sus datos personales (descrito anteriormente). Los expertos han señalado que pueden surgir riesgos cuando los dispositivos no se prueban y evalúan en una amplia variedad de personas para garantizar que la recopilación de datos siga siendo precisa y confiable. Esto puede ser tan simple como asegurarse de que los dispositivos se sientan de manera adecuada y cómoda para recopilar información precisa y adecuada. Si esto no ocurre, existe un mayor riesgo de que los conjuntos de datos estén sesgados e incompletos debido a problemas de calibración del dispositivo.

Como se señaló anteriormente, en contextos no médicos, los neurodatos no pueden clasificarse como datos de categoría especial. Esto reduce las garantías legales y las restricciones en torno a su procesamiento. Esto puede resultar en que las organizaciones no implementen las mejores prácticas. Por ejemplo, en torno a la seguridad técnica, para garantizar que los neurodatos permanezcan a salvo de pérdidas o robos. Este riesgo en torno a la naturaleza clasificatoria de la información también se discutió anteriormente.

¿Existe alguna circunstancia en la que una persona pueda dar su consentimiento plenamente informado a las organizaciones para que utilicen su información personal cuando no son conscientes de ello?qué la naturaleza exacta de esta información es? Esta es la pregunta fundamental al considerar si las organizaciones pueden obtener un consentimiento válido para procesar neurodatos. Cuando se utilizan neurodatos que no alcanzan el umbral para datos de categoría especial, las organizaciones aún deben identificar una base legal para procesar datos personales según el artículo 6 del RGPD del Reino Unido. Las bases potencialmente relevantes que las organizaciones deberían considerar para fines comerciales son el consentimiento, el interés legítimo y la ejecución de un contrato.

Por ejemplo, si una persona está usando un auricular EEG para mejorar su rendimiento en los juegos en línea, ¿puede realmente conocer y comprender la naturaleza precisa de la información que es probable que revele? ¿La organización también puede saber esto? Lo que aumenta aún más los riesgos de usar el consentimiento es el hecho de que es poco probable que muchas personas posean los conocimientos técnicos sobre la recopilación y el uso de neurodatos para comprender completamente los flujos de información. Sin embargo, las organizaciones pueden considerar si pueden proporcionar garantías específicas sobre las inferencias que pretenden extraer de la información que recopilan para obtener un consentimiento válido. Cuando las organizaciones se basen en esto, deben revisar nuestra guía sobre el uso del consentimiento como base para el procesamiento.

Incluso dentro de escenarios sobre empleo, las organizaciones deben demostrar una clara necesidad de utilizar neurodatos sobre otras técnicas para recopilar la información. Dado el desequilibrio de poder entre el empleador y el empleado, es probable que el consentimiento no sea la base adecuada para el procesamiento en la mayoría de los casos.

Cuando el consentimiento para el procesamiento es inapropiado, las organizaciones también deben considerar cuándo es apropiado utilizar el interés legítimo o la obligación contractual. Esto puede resultar particularmente importante para el procesamiento de entretenimiento o bienestar. Puede resultar difícil pasar la prueba de tres partes para el interés legítimo en tales casos. Esto se debe al alto riesgo y la naturaleza íntima de la información derivada de los dispositivos, así como a la dificultad de establecer expectativas y entendimientos claros para las personas sobre la información que pueden proporcionar.

Como se señaló anteriormente, ya brindamos orientación sobre las bases para el procesamiento bajo el RGPD del Reino Unido que cualquier organización que planee procesar neurodatos debe revisar.

Las partes interesadas expertas nos han expresado su preocupación de que el procesamiento de circuito cerrado se volverá cada vez más frecuente en los dispositivos de neurotecnología emergentes. Estos dispositivos utilizarán un procesamiento algorítmico automatizado que evalúa la información personal en forma de patrones eléctricos del cerebro. Llevarán a cabo acciones automatizadas sin que el usuario las solicite y sin intervención humana significativa. Se está explorando el procesamiento de circuito cerrado para mejorar la función clínica de las neurotecnologías, en particular los dispositivos implantables. La neurotecnología de circuito cerrado, que a menudo utiliza IA o aprendizaje automático (ML), puede aumentar el riesgo de un procesamiento automatizado inapropiado. De conformidad con el artículo 22 del RGPD del Reino Unido, las personas "tienen derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos que le conciernen o que le afecte significativamente de modo similar", a menos que se den las condiciones adecuadas para ello. procesamiento se cumplen en virtud del Artículo 22 (2). Si bien una de las condiciones es el consentimiento explícito, como se señaló anteriormente, esto no deja de tener sus propios desafíos.

Nuestra guía sobre la toma de decisiones automatizada y la creación de perfiles establece que una decisión que tiene un 'efecto igualmente significativo es algo que tiene un impacto equivalente en las circunstancias, el comportamiento o las elecciones de una persona. Como se explora a través de los escenarios anteriores, las neurotecnologías y su procesamiento asociado pueden tener un impacto significativo en el comportamiento de las personas (por ejemplo, al afectar la concentración, la productividad o el sueño). Donde existen las condiciones apropiadas para el procesamiento de información únicamente automatizado, esto presenta un desafío significativo. La intervención humana significativa según el RGPD del Reino Unido debe ser capaz de impugnar y, si es necesario, revertir las decisiones. Esto puede no ser posible con la neuroestimulación o las salidas del cerebro al habla, por ejemplo. Las organizaciones deben considerar cómo puede ser una intervención adecuada para los neurodatos y las neurotecnologías.

Por ejemplo, los parámetros del dispositivo pueden haber sido establecidos previamente (y modificados en el futuro) por los usuarios para definir cómo se procesa su información. Pueden ser revisados ​​periódicamente por la organización con fines de calidad e investigación. Sin embargo, es poco probable que esto cumpla con los requisitos para una intervención significativa bajo el Artículo 22. Esto se debe a que ocurre antes del procesamiento, y no después. Las organizaciones también deben considerar el papel de la persona en los flujos de datos; Es probable que la introducción de datos o parámetros por sí solo conduzca a un procesamiento únicamente automatizado.

En otros usos, como el bienestar, el empleo o el entretenimiento, es posible que las organizaciones deban implementar la participación humana adecuada como alternativa al procesamiento únicamente automatizado.

Además, existe la posibilidad de que el procesamiento de la neuroestimulación o la neuromodulación altere fundamentalmente la capacidad de una persona para evaluar su información personal y tomar decisiones al respecto. Quizás, más relevante en términos generales, es el hecho de que muchas personas pueden sentir que carecen de experiencia para comprender y tomar decisiones sobre cómo interactuar con un sistema complicado, especialmente cuando el dispositivo es el único o el mejor tratamiento disponible para ellos.

Finalmente, la complejidad del procesamiento de circuito cerrado puede afectar tanto la transparencia como la precisión de la información personal. Las organizaciones que utilizan únicamente la toma de decisiones automatizada deben asegurarse de no infringir el Artículo 22. Incluso cuando hay una intervención humana significativa en un sistema, las organizaciones deben considerar nuestra guía de IA. Esto explica que un procesamiento algorítmico suficientemente complejo pueda ser considerado como un procesamiento únicamente automatizado debido a su complejidad y falta de transparencia para los usuarios del dispositivo.

La recopilación y el uso de neurodatos podría desafiar la capacidad de las organizaciones para cumplir con los requisitos de precisión del RGPD del Reino Unido. La precisión reducida puede resultar de:

Según el artículo 5 (1) (d) del RGPD del Reino Unido, los datos personales deben ser "exactos y, cuando sea necesario, mantenerse actualizados; se deben tomar todas las medidas razonables para garantizar que los datos personales que sean inexactos, teniendo en cuenta los propósitos para los que se tratan, se suprimen o rectifican sin dilación ('exactitud')".

Esto plantea una pregunta importante para los neurodatos y la neuroplasticidad. ¿Cuánto tiempo se mantienen precisos los neurodatos? Cierta información es permanente o intrínseca, como la fecha de nacimiento, la información genética o ciertos datos biométricos duros. Sin embargo, los datos neuronales están cambiando de un momento a otro. Los neurodatos pueden volverse más detallados y precisos con los avances en las capacidades de registro y detección. Si se combina con otros tipos de datos biométricos, también puede revelar nuevos conocimientos que actualmente no son posibles. Las organizaciones deben consultar nuestra guía de IA al considerar los umbrales de precisión en comparación con el impacto de las inferencias que están extrayendo.

Debido a esto, las organizaciones que utilizan neurodatos deben asegurarse de no basar sus decisiones en instancias singulares o instantáneas de neurodatos. Esto se debe a que muchas, si no la mayoría, de las técnicas para interpretar neurodatos se basan en cantidades significativas de datos comparativos recopilados a lo largo del tiempo para lograr la precisión.

Si bien las organizaciones deben recopilar suficiente información para fines de procesamiento, deben dejar en claro que toman decisiones en un momento específico. Por ejemplo, cualquier decisión o resultado que alcancen las organizaciones en un momento determinado puede haber sido preciso en esa etapa, pero puede que no lo sea en una fecha posterior debido a la neuroplasticidad del cerebro.

Puede haber una razón adecuada para conservar esta información, en particular en lo que respecta a los datos de salud y el tratamiento médico. Pero esto se conecta con los requisitos para la minimización de datos. Las organizaciones deben tratar de retener la menor cantidad de información necesaria para proporcionar resultados precisos y justos. Necesitan lograr un equilibrio entre la retención de información para garantizar la precisión y la imparcialidad, sin retener información excesiva.

Las partes interesadas nos han informado que la investigación en neurociencia requiere información longitudinal de fuentes adicionales, y especialmente de fuera del laboratorio, debido a su estado de desarrollo. Los investigadores médicos, en particular, están ansiosos por acceder a la información de los dispositivos comerciales para comprender mejor las condiciones neurodegenerativas y especialmente la salud mental. Esto presenta flujos de datos potencialmente complejos que podrían dificultar que las organizaciones proporcionen información de transparencia.

Las organizaciones que buscan compartir su información para este propósito deben leer nuestra guía sobre las disposiciones de investigación bajo el RGPD del Reino Unido.

Las neurotecnologías emergentes pueden crear nuevos desafíos para las personas que ejercen sus derechos de la ley de información. Esto es algo que cualquier organización que procese información personal utilizando estas tecnologías debe tener en cuenta y responder. Los siguientes ejemplos destacan algunos de los problemas relacionados con los derechos de datos en virtud del RGPD del Reino Unido:

14 Proponen exigir un 'juramento hipocrático' a los tecnólogos (lavanguardia.com)

15 regulatorio-política-metodología-marco-versión-1-20210505.pdf (ico.org.uk)