Las listas de datos de UK Biobank en China profundizan las dudas sobre la seguridad de la investigación

Una base de datos de investigación emblemática enfrenta otra prueba de confianza

Los historiales de salud confidenciales de medio millón de voluntarios británicos fueron anunciados para la venta en Alibaba mediante tres anuncios distintos, según una declaración del ministro británico de tecnología, Ian Murray, ante la Cámara de los Comunes. Los datos estaban vinculados a UK Biobank, uno de los recursos biomédicos de investigación más importantes del mundo y una piedra angular de la ciencia británica.

Los anuncios ya han sido retirados después de que el gobierno británico trabajara con Alibaba y con el gobierno chino, y Murray dijo al Parlamento que no se cree que se haya concretado ninguna venta. Pero el episodio ha intensificado las preocupaciones sobre la seguridad de los datos que posee UK Biobank, que contiene parte de la información de investigación más sensible reunida en el país.

El proyecto almacena datos de salud de 500.000 voluntarios, incluidas secuencias genómicas, escáneres cerebrales, muestras de sangre y registros diagnósticos. El acceso se concede a científicos de universidades y empresas privadas de todo el mundo mediante un proceso de solicitud. Ese valor científico es precisamente lo que hace que la última exposición sea tan relevante: cuanto más rico y más utilizado se vuelve el conjunto de datos, mayor es la necesidad de confianza en que está siendo protegido adecuadamente.

Qué quedó expuesto y qué dijeron los funcionarios

Murray dijo que la organización benéfica UK Biobank informó al gobierno el lunes 20 de abril de que sus datos habían sido anunciados para la venta por varios vendedores en las plataformas de comercio electrónico de Alibaba en China. Según su relato, al menos uno de los tres conjuntos de datos parecía contener información de participación de los 500.000 voluntarios.

El ministro describió la información como “desidentificada”, lo que significa que se retiraron los identificadores personales obvios. Pero desidentificado no significa inocuo. El valor de UK Biobank reside en la profundidad y riqueza de su información sanitaria vinculada. Incluso sin identificadores directos, esos datos pueden seguir generando graves preocupaciones éticas y de seguridad si se gestionan fuera de los canales autorizados.

UK Biobank se ha remitido a sí misma a la Oficina del Comisionado de Información. Esa remisión indica el reconocimiento oficial de que el asunto va más allá de la moderación rutinaria de plataformas o de la reventa no autorizada. Ahora se trata de una cuestión regulatoria con implicaciones para la gobernanza, la supervisión y la confianza pública en los sistemas de datos de salud a gran escala.

Por qué esta filtración resuena más allá de una sola base de datos

El incidente llega en un momento especialmente sensible para la política de datos del Reino Unido. El mes pasado, The Guardian informó que datos sensibles de UK Biobank habían quedado expuestos en línea decenas de veces, lo que planteó dudas sobre si las salvaguardas en torno al recurso eran demasiado laxas. Por ello, las últimas listas no parecen surgir en el vacío. Encajan en un patrón emergente de preocupación sobre cómo se está asegurando uno de los activos científicos más celebrados de Gran Bretaña.

Esto importa porque UK Biobank no es una base de datos de nicho. Se la describe habitualmente como una joya de la ciencia británica, y con razón. Los investigadores la utilizan para estudiar el riesgo de enfermedades, la genética, el envejecimiento y la salud poblacional a escala. Si los participantes o el público llegan a creer que la seguridad de los datos no se está gestionando con rigor, el daño no se limitará a una sola institución. Podría afectar a la confianza más amplia en el intercambio de datos biomédicos y en la investigación digital de salud.

Chi Onwurah, que preside el comité de ciencia, innovación y tecnología de la Cámara de los Comunes, calificó la filtración de “increíblemente grave” y la describió como otro golpe a la confianza pública. Su enfoque captura lo que está en juego en términos más amplios. La infraestructura de investigación depende no solo de la capacidad técnica, sino también de la legitimidad social. Los participantes necesitan creer que sus datos serán usados de manera responsable y protegidos con competencia.

Política, gobernanza de datos y fricción internacional

El hecho de que las listas aparecieran en una plataforma china añadió una dimensión internacional a una historia ya difícil. Murray agradeció al gobierno chino por actuar con rapidez para ayudar a retirar los anuncios. Onwurah, en cambio, aprovechó el momento para destacar la incómoda imagen de que Gran Bretaña dependa de autoridades extranjeras para ayudar a suprimir la exposición de datos sanitarios británicos.

La política del caso se agudiza por lo que contiene UK Biobank. No son registros ordinarios de clientes. Incluyen información sanitaria profundamente sensible recogida de voluntarios que se inscribieron en un proyecto de investigación a largo plazo con la expectativa de que el acceso a los datos estaría gobernado, no comerciado.

La historia también se cruza con cambios recientes en los flujos de datos hacia el proyecto. En febrero, el secretario de Salud, Wes Streeting, emitió una instrucción legal que permitía por primera vez compartir con UK Biobank los datos codificados de médicos de cabecera de todos los voluntarios. Esa ampliación aumenta el valor científico de la base, pero también eleva el coste de cualquier fallo de gobernanza. Cuanto más rico se vuelve el conjunto de datos, mayor es la necesidad de garantías de que los controles, la supervisión y los sistemas de respuesta son adecuados.

Los límites de la tranquilidad que ofrece “desidentificado”

Los funcionarios han subrayado que los datos anunciados estaban desidentificados, pero la confianza pública rara vez depende solo de la terminología. En los sistemas de datos modernos, la desidentificación es una salvaguarda importante, no una garantía absoluta. Los conjuntos de datos ricos aún pueden implicar riesgos indirectos, sobre todo cuando hay información sanitaria vinculada y cuando la exposición no autorizada afecta a toda una cohorte de participantes.

Esa es una razón por la que el último incidente puede prolongarse incluso si no se produjo ninguna venta. El problema no es solo si se cerró una transacción. Es que existieron anuncios no autorizados y que al menos uno parecía implicar datos relacionados con los 500.000 participantes. Para un proyecto basado en la participación voluntaria, ese umbral ya es alarmante por sí mismo.

Un desafío de credibilidad para la infraestructura científica británica

UK Biobank sigue siendo uno de los recursos más poderosos de la investigación en salud poblacional. Nada en este incidente cambia eso. Lo que sí cambia es la carga que recae sobre la institución y el gobierno para demostrar que la gobernanza de la base de datos está a la altura de su importancia científica.

La cuestión inmediata puede ser la aplicación de las normas por parte de la plataforma y el seguimiento regulatorio. La cuestión a más largo plazo es la confianza. Si el público ve preocupaciones repetidas de exposición alrededor de una base de datos tan destacada, las garantías dejarán de ser persuasivas. Lo que importará será la evidencia visible de que las prácticas de seguridad, los controles de acceso, las auditorías y la rendición de cuentas se han reforzado.

El Reino Unido ha pasado años posicionando la investigación biomédica rica en datos como una ventaja nacional estratégica. Para mantener esa ventaja, tendrá que demostrar que la ambición científica y la custodia de los datos se tratan como responsabilidades igualmente serias.

Este artículo se basa en un reportaje de The Guardian. Leer el artículo original.