La violación del Biobanco del Reino Unido es una señal de advertencia para el nuevo régimen de datos de Gran Bretaña, escribe el Dr. Raj Joshi. Si un proyecto científico emblemático puede perder el control de la información personal confidencial, la Ley de Datos (Uso y Acceso) de 2025 exige salvaguardias mucho más estrictas
Hace más de 20 años, cientos de miles de personas en toda Gran Bretaña se inscribieron en uno de los proyectos de investigación médica más ambiciosos jamás intentados.
Dieron muestras de sangre y orina, respondieron preguntas sobre su dieta, sueño, trabajo, estilo de vida, salud mental y antecedentes familiares, y permitieron que se realizara un seguimiento de su salud a lo largo del tiempo. Muchos también aceptaron análisis genéticos, exploraciones y acceso a registros médicos. La promesa era clara: sus datos podrían ayudar a los científicos a comprender, prevenir y tratar algunas de las enfermedades más graves del mundo.
Ese proyecto fue el Biobanco del Reino Unido, una vasta base de datos biomédica que ahora utilizan investigadores de todo el mundo para estudiar enfermedades como la demencia, el cáncer, la enfermedad de Parkinson, el dolor crónico y la inmunidad al Covid-19.
Todo iba bastante bien hasta que aparecieron a la venta en Alibaba detalles confidenciales relacionados con los 500.000 voluntarios.
Según se informa, la información incluía género, edad, mes y año de nacimiento, detalles del centro de evaluación, fechas de asistencia, estado socioeconómico, hábitos de estilo de vida, sueño, dieta, entorno laboral, salud mental, resultados de salud y medidas de muestras biológicas relacionadas con hematología, biología y química.
A diferencia de muchas violaciones de datos corporativos, esto parece haberse producido a través de un acceso autorizado y no de un ciberataque hostil o un intento de extorsión. Se cree que tres instituciones académicas chinas, todas ahora suspendidas de la plataforma, accedieron legítimamente a los datos del Biobanco del Reino Unido antes de que los datos puestos a su disposición llegaran a tres listas separadas en Alibaba, incluida una que se dice que contiene información relacionada con el medio millón de participantes.
Como era de esperar, el gobierno ha tratado de restar importancia al incidente y al mismo tiempo destaca las medidas adoptadas para contenerlo. Los ministros han enfatizado que no hay evidencia actual de que los datos fueron comprados antes de que se eliminaran los listados, y que los archivos no estaban identificados y no contenían nombres, direcciones, detalles de contacto, números de teléfono o números del NHS.
Al parecer, se supone que debemos estar tranquilos.
La incómoda verdad es que los mismos sistemas de acceso diseñados para hacerlos útiles pueden poner en riesgo los datos confidenciales. Las instituciones aprobadas, los investigadores acreditados y los permisos otorgados de buena fe pueden convertirse en puntos críticos de fracaso.
Ya he argumentado en estas páginas que la Ley (Uso y Acceso) a Datos de 2025 plantea serias dudas sobre el poder ministerial, la toma de decisiones automatizada, la privacidad financiera y los límites futuros de la vigilancia estatal. En esencia, la Ley amplía las circunstancias en las que se puede acceder, compartir y reutilizar datos en partes de la economía y los servicios públicos.
Crea un marco más permisivo para la toma de decisiones automatizada, otorga a los ministros poderes significativos para poner en vigor disposiciones y remodelar partes del régimen a través de regulaciones, y otorga mayor peso al juicio institucional sobre qué búsquedas y salvaguardas son “razonables y proporcionadas”.
Pero si una base de datos científica emblemática como el Biobanco del Reino Unido, construida sobre el consentimiento, la acreditación y estrictos controles de investigación, puede ver información confidencial copiada de su entorno previsto por usuarios autorizados, entonces cualquier régimen basado en un acceso más amplio debe responder a una pregunta más difícil: ¿qué impide que ocurra el mismo fracaso en otros lugares?
Los tribunales han reconocido repetidamente que la información personal íntima se encuentra cerca del núcleo de la vida privada, y la desidentificación no elimina la necesidad de un control estricto cuando los datos son profundos, sensibles y potencialmente vinculables.
Por tanto, la lección es limitada, pero seria. El Biobanco del Reino Unido sigue siendo un recurso científico extraordinario y su contribución a la investigación sanitaria mundial es sustancial. Su violación no socava los argumentos a favor de la investigación de interés público, pero sí expone el peligro de construir un régimen nacional de datos en torno a un acceso ampliado antes de que los sistemas de contención, auditoría y rendición de cuentas sean lo suficientemente fuertes como para soportar el peso.
Para los voluntarios que confiaron parte de su información más íntima a un proyecto científico emblemático, la palabra “desidentificado” sólo llegará hasta cierto punto.
El Dr. Raj Joshi es un abogado senior y destacado defensor de los derechos civiles cuya carrera abarca la práctica jurídica de primera línea, la reforma regulatoria y la justicia internacional. Nombrado dos veces entre los ’10 mejores abogados asiáticos del Reino Unido’ y incluido entre los ‘100 asiáticos más influyentes del Reino Unido’, ha comparecido ante investigaciones importantes, incluida la presentación de pruebas en el caso Stephen Lawrence, y se desempeñó como presidente de la Sociedad de Abogados Negros. El Dr. Joshi, ex juez de la Autoridad de Regulación de Abogados, ha asesorado a ministros, ayudado a dar forma a protocolos legales y representado al Reino Unido en foros legales internacionales.
LEER MÁS: Lo que nos dice la gigantesca filtración de datos de México sobre la nueva era del hacking. Un enorme ataque a los sistemas del gobierno mexicano expuso casi 195 millones de identidades y mostró cómo se utilizan herramientas cotidianas de inteligencia artificial para crear ataques paso a paso. ¿ChatGPT y otras plataformas han abierto la piratería a las masas, pregunta Ian Copeland, corresponsal de Tecnosociología y Futuros?
¿Tiene noticias para compartir o experiencia para contribuir? El europeo acoge con agrado las opiniones de líderes empresariales y especialistas del sector. Póngase en contacto con nuestro equipo editorial para obtener más información.
Imagen principal: Pavel Danilyuk/Pexels