Com anonimitzar historials clínics per a recerca mèdica segons el RGPD

La recerca mèdica és una de les activitats on més clarament s’exigeix anonimitzar: els historials clínics contenen dades de categoria especial —salut— i el RGPD els aplica el nivell més alt de protecció. Alhora, les dades de pacients són una matèria primera essencial per a la ciència. Aquesta guia explica, pas a pas, com anonimitzar historials clínics per a projectes de recerca complint el RGPD, la LOPDGDD i la normativa sanitària estatal i autonòmica.

Què exigeix la llei quan es manegen historials clínics

El marc normatiu aplicable és més dens que en altres sectors perquè concorren diverses normes:

• RGPD — art. 9: les dades de salut són categoria especial i requereixen una de les excepcions de l’apartat 2 (consentiment explícit, interès públic en l’àmbit de la salut, recerca científica…).
• LOPDGDD — arts. 6.bis i 9: reforça la necessitat d’avaluació d’impacte i mesures de seguretat específiques en tractaments amb dades de salut.
• Llei 41/2002 reguladora de l’autonomia del pacient — fixa el contingut mínim de l’historial i les condicions d’accés.
• Llei 14/2007 de Recerca Biomèdica — regula específicament els projectes amb mostres biològiques i dades clíniques.
• Normativa autonòmica — cada comunitat té la seva pròpia llei de salut amb requisits addicionals per a la cessió de dades.

El denominador comú: l’anonimització real i irreversible és la porta de sortida del règim reforçat. Un cop anonimitzada, la dada clínica es pot utilitzar per a recerca sense consentiment explícit. Mentre continuï sent personal (pseudonimitzada o en clar), cal base legal específica i mesures tècniques reforçades.

Quines dades conté un historial clínic i quines cal eliminar

Un historial clínic estàndard conté moltes més capes d’informació identificable de les que se sol assumir:

Identificadors directes (obligatori eliminar):

• Nom i cognoms del pacient
• DNI, NIE, passaport, targeta sanitària
• Número de la Seguretat Social
• Número d’història clínica
• Telèfon i email de contacte
• Adreça postal

Identificadors de l’entorn assistencial:

• Nom del centre (de vegades és identificador, p. ex. un hospital de zona petita)
• Nom del metge o equip
• Planta, habitació, llit
• Dates exactes d’ingrés, alta, consulta

Quasi-identificadors (obligatori generalitzar):

• Data de naixement → substituir per grup d’edat (quinquenni)
• Codi postal → generalitzar a província o CCAA
• Professió → agrupar per sectors amplis
• Dades de familiars (si apareixen)

Contingut narratiu:

• Informes d’ingrés, evolució i alta
• Notes d’infermeria
• Judici clínic
• Dades referides pel pacient (“la meva veïna també va tenir això”)

És en el contingut narratiu on fallen els processos d’anonimització simples. Els camps estructurats són fàcils de netejar; els textos lliures requereixen processament de llenguatge natural perquè contenen noms, referències a tercers, ubicacions i dates inserides en prosa.

El risc de reidentificació en dades clíniques

La literatura acadèmica ha documentat nombrosos casos on conjunts de dades suposadament anònims van poder reidentificar-se:

• Un famós estudi del MIT va demostrar que amb quatre dades de localització aproximada d’un telèfon mòbil, el 95% de les persones són úniques en una ciutat mitjana.
• En sanitat, combinar edat quinquennal, sexe, codi postal i una condició rara n’hi ha prou sovint per identificar una persona en una comarca de 50.000 habitants.
• Els diagnòstics codificats en CIM-10 agrupats amb data aproximada permeten reidentificació quan el diagnòstic és inusual.

Per això l’anonimització clínica requereix un enfocament més agressiu que la d’altres documents: no n’hi ha prou amb esborrar noms, cal generalitzar quasi-identificadors i, en ocasions, eliminar o modificar dates i diagnòstics rars perquè un episodi no sigui singularitzable.

Procés recomanat d’anonimització clínica

1. Definir el cas d’ús — l’investigador necessita seguiment longitudinal? Només dades agregades per a un estudi transversal? El nivell d’anonimització depèn de l’ús previst.
2. Classificar els camps — separa els tres tipus anteriors: identificadors directes, identificadors de l’entorn i quasi-identificadors.
3. Aplicar eliminació total als identificadors directes. No substituir per codis (això seria pseudonimització).
4. Generalitzar els quasi-identificadors — data exacta → mes; edat exacta → quinquenni; codi postal → província.
5. Processar el text narratiu — utilitzar NLP entrenat en espanyol clínic per detectar noms, referències i ubicacions en els camps lliures.
6. Eliminar metadades del fitxer — autor, data de creació, nom del dispositiu, historial de canvis.
7. Avaluar el risc k-anonimat — per a cada combinació de quasi-identificadors, assegurar que hi ha almenys k registres iguals (recomanat k≥5 per a dades clíniques).
8. Documentar el procediment — data, responsable, tècniques aplicades, resultat del test de reidentificació.

Diferència amb la pseudonimització per a recerca longitudinal

No sempre es pot anonimitzar. Alguns projectes requereixen seguiment a llarg termini, lligar mostres biològiques amb noves dades clíniques, o contactar el pacient si apareix una troballa clínicament rellevant.

En aquests casos, la tècnica correcta és la pseudonimització amb doble clau:

• El pacient rep un codi aleatori (ID d’estudi).
• La taula de correspondència entre ID d’estudi i identitat real es custodia per un responsable independent (normalment el CEIm o el departament de qualitat de l’hospital), mai per l’equip investigador.
• L’investigador només pot sol·licitar la revinculació a través d’un procediment formal i justificat.

Aquest esquema s’anomena safe haven i és el que exigeix la Llei de Recerca Biomèdica per a projectes amb mostres biològiques.

El paper del Comitè d’Ètica de la Recerca amb medicaments (CEIm)

Cap projecte de recerca biomèdica no hauria d’iniciar-se sense passar pel CEIm corresponent. El comitè avalua:

• La necessitat de l’accés a dades personals davant la possibilitat de treballar amb anonimitzades.
• La suficiència de les mesures d’anonimització o pseudonimització proposades.
• El contingut del consentiment informat (si aplica).
• Les garanties davant reidentificació.

Un informe favorable del CEIm és també un factor clau si un dia calgués defensar davant l’AEPD la licitud del tractament.

Errors que observem amb freqüència

Error 1 — “Exportem a Excel i ja està” — els noms queden, les dates exactes també, i les metadades del fitxer delaten quin metge el va generar.

Error 2 — Esborrar el nom però deixar el DNI — sembla obvi, però passa quan s’edita manualment i la columna queda oculta però no eliminada.

Error 3 — Confiar que “el text lliure no el llegeix ningú” — les notes d’evolució contenen tantes dades personals com els camps estructurats, i són les que més casos de reidentificació faciliten.

Error 4 — Utilitzar la mateixa tècnica per a tots els estudis — un estudi sobre hipertensió no requereix la mateixa agressivitat en l’anonimització que un sobre una malaltia rara on una persona pot ser única en tota la comunitat autònoma.

Preguntes freqüents

Cal consentiment del pacient per utilitzar el seu historial en recerca si s’anonimitza?

Un cop la dada està correctament anonimitzada, no hi ha dada personal, i per tant no aplica el consentiment del RGPD. Tanmateix, la Llei de Recerca Biomèdica i normativa autonòmica exigeixen, en molts casos, informar el pacient amb antelació sobre l’ús secundari de les seves dades, encara que sigui anonimitzat.

Puc compartir historials anonimitzats amb investigadors de fora de la UE?

Sí, un cop anonimitzats es poden compartir sense les restriccions del capítol V del RGPD. Si són pseudonimitzats, apliquen les regles de transferències internacionals (clàusules contractuals tipus, decisió d’adequació, etc.).

Quant triga anonimitzar un historial de 50 pàgines manualment?

Entre 2 i 4 hores, i el resultat és inconsistent perquè cada operari aplica criteris diferents. Amb una eina especialitzada el mateix historial es processa en segons i amb criteris homogenis.

Els sistemes d’història clínica electrònica (HCE) tenen anonimització integrada?

Alguns ofereixen exportació amb esborrat d’identificadors directes, però gairebé cap aplica generalització de quasi-identificadors ni avalua el risc de reidentificació. Per a recerca seriosa cal una capa addicional.

Conclusió

Anonimitzar historials clínics correctament és la diferència entre un projecte de recerca viable i un expedient sancionador. Requereix criteri tècnic, eines adequades i documentació rigorosa. Els hospitals i grups de recerca que professionalitzen aquest procés no només compleixen la norma: també acceleren els seus projectes i redueixen el temps que passen discutint amb el DPO i el CEIm.

Si necessites anonimitzar historials clínics amb garanties, prova anonimiza.do. L’eina reconeix identificadors propis del sistema sanitari espanyol (targeta sanitària, número d’HC, CIAS) i aplica anonimització amb log auditable.