Seudonimización en ensayos clínico: disociación vs cifrado

Descubre las ventajas e inconvenientes de estos dos métodos de seudominización usados en la investigación clínica.

Seguro que ya lo sabes:

Los datos de los participantes de los estudios clínicos se consideran datos personales sensibles. Y los promotores y centros participantes de los estudios tienen obligaciones legales al recoger y gestionar estos datos personales.

Puede que te suenen algunas de las normativas reguladoras más conocidas: RGPD en la Unión Europea o HIPAA en los Estados Unidos, pero hay muchas otras, y aunque todas tienen diferencias, hay muchas cuestiones en las que coinciden.

Déjame adelantarte que mi intención no es explicar de manera profunda todas las leyes y cuestiones legales sobre estas normas, para eso hay montones de páginas en internet que lo explican.

Mi propósito es explicar, de manera práctica, dos métodos de seguridad que se aplican en los estudios clínicos respecto a los datos personales identificables, es decir, aquellos datos que permiten relacionar los datos clínicos con la persona física.

Vamos a explicar y comparar dos maneras diferentes de conseguir que los datos identificativos no estén relacionados con los datos clínicos.

¿A qué nos referimos por seudonimización?

Este término lo hemos cogido “prestado” de RGPD de la UE, y la definición del mismo es el siguiente:

“el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;” (Artículo 4.5)

Y traducido a un lenguaje más simple y teniendo en cuenta que estamos hablando de estudios clínicos, significa:

“para lograr la seudonimización no se pueden guardar los datos clínicos de una persona, junto con datos que lo identifiquen”

Más claro todavía: No se debe guardar el número de identificación oficial de la persona (o cualquier otro dato identificable: nombre y apellidos, número de seguridad social...etc) junto con sus datos clínicos.

La seudominización se puede alcanzar de diferentes formas, y aquí os mostraremos dos formas que se pueden usar en ensayos y estudios clínicos. Además de explicarlas os indicaremos las ventajas y desventajas:

Disociación: Separación de la información personal identificable. Cifrado: Encriptación de la información personal identificable.

Disociación: Separación de la información personal identificable

Esta es sin duda la forma más usada dentro de los estudios clínicos para conseguir la seudonimización. Y es la más usada, entre otras cuestiones, porque técnicamente es la más sencilla de conseguir y porque ofrece un alto grado de seguridad.

La técnica de disociación se bada en mantener separados los datos clínicos de los datos identificativos de los participantes.

El objetivo de esta medida es lograr que en la base de datos del EDC no se pueda identificar a las personas físicas a las cuales pertenecen los datos clínicos. Un ejemplo sencillo (muy muy sencillo realmente ;-)) de una base de datos disociada, sería algo como esto:

Tabla 1

El campo ID EDC es un campo que se genera cuando se crea un nuevo registro de un participante, y por lo tanto con solo ese dato no es posible identificar a la persona física a la que pertenecen los datos clínicos.

En la mayoría de estudios clínicos es necesario poder identificar dentro del EDC a los participantes para tareas tales como: añadir nueva información en visitas posteriores o revisar de los datos origen durante la monitorización, estos son solo algunos de los ejemplos en los que se necesita realizar esta identificación.

¿Y cómo se logra identificar la persona si no hay ningún dato identificable?

Para lograrlo se usa un sistema en el que la información de identificación de las personas está separado de la información clínica de la persona.

Para ello cada centro cuenta con una base de datos alternativa (en otro sistema distinto a la base de datos clínica del ensayo) donde se almacena la identificación física de los participantes relacionado con el identificador interno asociado al participante. La columna “ID EDC” será el elemento clave que permitirá relacionar ambos sistemas para poder identificar los datos de las personas dentro del EDC.

El sistema externo al EDC puede tener muchos formatos: papel, fichero de hoja de cálculo, o incluso mantener esa información en la historia clínica del paciente del centro. Al final lo importante es que en algún sitio, que no sea el EDC, se almacene la información de identificación de la persona (DNI, número de la SS) y el identificador interno en el EDC, en el caso de ejemplo el campo o columna “ID EDC”.

Continuando con el ejemplo anterior, existiría otra base de datos distinta al EDC que tendría estos datos:

Tabla 2

De esta manera los datos clínicos quedan separados de los datos identificativos de las personas. Y si queremos acceder a los datos clínicos de algún participante necesitamos consultar el sistema externo al EDC para conocer el ID EDC asociado. Con el valor del campo ID EDC, podría ir a la base de datos del estudio clínico y acceder a los datos de esa persona.

En el ejemplo anterior, podríamos decir que “John Mars” es el paciente número 01-001 dentro del EDC. Y con esa información, podríamos irnos al EDC y buscar al participante con ID EDC igual a 01-001, y de ese modo localizar la información clínica relacionada con John Mars dentro del EDC.

Ventajas

Desventajas

Cifrado: Encriptación de la información personal identificable.

Existe una manera alternativa de mantener la seguridad de los datos sin tener que sufrir las 3 desventajas de los sistemas disociados indicados anteriormente.

La solución se basa en tener todos los datos dentro del EDC, incluidos los personales, de manera que todo se gestione en un solo sistema.

Tabla 3

Como seguro que te has dado cuenta, esto es justo lo que intentábamos evitar con el anterior método. No tener juntos los datos clínicos y los datos que identifican a la persona.

¿Entonces?

La diferencia de este método se basa en cifrar los datos que permiten identificar a las personas.

¿Qué significa y para qué sirve cifrar los datos que permiten identificar a las personas?

Lo que significa es que el EDC tiene que poder convertir los datos identificativos en una cadena de caracteres irreconocible. Para ello se usa una clave de cifrado tanto en el proceso de cifrado, como el de descifrado.

Esta clave de cifrado es muy importante que no se guarde junto con los datos del EDC, sino en un sistema externo a ellos. De este modo, se logrará la seudonimización, ya que para poder identificar los datos clínicos necesito la clave que se encuentra en un sistema distinto.

Continuando con el ejemplo anterior, tendríamos que cifrar los campos Nombre e ID Personal que son los que identifican a las personas relacionadas con los datos clínicos:

Tabla 4

Una vez que los campos que permiten la identificación de las personas (marcados en rojo) están encriptados en la base de datos, ya no es posible identificar a las personas si no se tienen las claves de cifrado.

Ventajas

Desventajas

Conclusiones

En general la disociación es un método más seguro que el cifrado, pero en cambio el cifrado permite tener un sistema mucho más rápido y cómodo, que además ayuda a minimizar los errores en los ensayos clínicos.

No obstante es importante destacar que con el cifrado se pueden conseguir niveles de seguridad similares al de la disociación, siempre y cuando el sistema esté correctamente configurado y diseñado.

El cifrado puede usarse no solo en campos identificativos directos, sino también en campos identificativos indirectos, es decir, en campos que pudieran permitir identificar indirectamente a los participantes, usando esos datos para dicha identificación.

ShareCRF permite usar ambos métodos de seudonimización en los estudios, y permite usar el método de cifrado de manera segura, ya que permite excluir de la exportación los campos que desees, así como definir las personas y roles que tienen acceso a estos campos identificables.

Con ShareCRF, sería posible configurar un estudio con los datos personales identificables encriptados y no exportables, y que además solo pueda tener acceso a los datos identificables el personal del centro asociado al participante. Este tipo de configuración tendría un nivel de seguridad ligeramente inferior al del sistema de disociación, pero a cambio, no tendría las desventajas de la disociación: trabajar con dos sistema distintos, que además de hacer más lenta la identificación de los datos clínicos de los participantes, aumenta las probabilidades de error al introduir los datos.

Si necesitas un EDC para un ensayo o estudio clínico, solicita una demostración gratuita.