MsC. Yarina Amoroso Fernández
Profesora y Líder del Grupo de Investigaciones de Informáticas Jurídica del Centro de Gobierno Electrónico de la Universidad de las Ciencias Informáticas
1. Desde la informática jurídica, un sentido homenaje…
Aproximación a una ontología para la protección de privacidad en Historias Clínicas Electrónicas basada en los siete principios de protección por diseño es una modesta contribución al homenaje a la obra del Dr. D Miguel Ángel Davara Rodríguez, atendiendo a la convocatoria de este Libro: «Protección de Datos: Lo que nunca te han contado».
Por tal motivo, si bien desde que comencé en estos temas en el año 1987 he abordado temas de legislación de protección de datos desde la perspectiva legislativa, he preferido socializar esta experiencia práctica que conduje y que hace parte de un ejercicio de investigación-desarrollo-innovación del año 2018 en el seno del Grupo de Investigaciones de Informática Jurídica que lidero en el Centro de Gobierno Electrónico de la Universidad de las Ciencias Informáticas y que bien se corresponde con las dos formaciones básicas del maestro Davara: la Ingeniería y el Derecho. En esta ocasión en una conjura de realización para abordar un tema en el que él ha sentado cátedra: La protección de los datos personales, especialmente la privacidad.
2. Ontología: marco conceptual
El término ontología tiene su origen en la filosofía. Para su creador, Cristián Wolf, es la parte de la filosofía que se ocupa del examen de las propiedades de los seres. La Filosofía del Derecho se ocupa de estudiar la Ontología Jurídica.
No obstante, este concepto se ha adaptado a distintos contextos. Derivado de su significado original y con una proyección más pragmática y aplicada, llegó el término ontología a la inteligencia artificial y la ingeniería del conocimiento a finales de la década de los años 80. En este ámbito, tiene como propósito principal representar un conjunto de conceptos jerárquicamente organizados, descritos en algún sistema informático, como medio para compartir el conocimiento en los distintos dominios.
Según Gruber: «Una ontología es una representación formal del conocimiento donde los conceptos, las relaciones y las restricciones conceptuales se explicitan mediante formalismos en un determinado dominio. Por consiguiente, la ontología es uno de los módulos asociados a un sistema de conocimientos que apoya semánticamente las unidades léxicas; estas se describen como objetos lingüísticos en una base de datos léxica que se relacionan con una jerarquía conceptual localizada en una ontología» (1) . Algunos de los objetivos que se tienen en cuenta para desarrollar ontologías son los siguientes:
— Compartir entendimiento común de la estructura del conocimiento, entre personas o agentes de software . La ontología pone a disposición de los miembros de una comunidad los términos y conceptos del dominio de interés, lo cual permitirá a las personas o agentes de software extraer y agregar información según sus necesidades.
— Permitir reutilizar el dominio de conocimiento. Es posible que muchos dominios hagan uso de un conocimiento específico, si este conocimiento está constituido en una ontología podrá ser reutilizado por aquellos individuos que la necesiten sin necesidad de desarrollar una ontología propia.
— Permitir separar conocimiento de dominio del conocimiento operacional. Una ontología expresa el conocimiento del dominio de manera general de forma tal que pueda ser utilizado y manipulado por diversas técnicas o algoritmos.
— Analizar el conocimiento del dominio. Específicamente en lo que se refiere al estudio de los términos y relaciones que lo configuran, ya sea formalmente o no.
— Los componentes de una ontología varían de acuerdo al dominio de interés y a las necesidades de los desarrolladores. Por lo general entre los componentes se encuentran los siguientes:
Clases: Las clases son la base de la descripción del conocimiento en las ontologías ya que describen los conceptos (ideas básicas que se intentan formalizar) del dominio. Las clases usualmente se organizan en taxonomías a las que por lo general se les aplican mecanismos de herencia.
Relaciones: Representan las interacciones entre los conceptos del dominio. Las ontologías por lo general contienen relaciones binarias; el primer argumento de la relación se conoce como el dominio y el segundo como el rango.
Funciones: Son un tipo concreto de relación donde se identifica un elemento mediante el cálculo de una función que considera varios elementos de una ontología.
Instancias: Representan objetos determinados de un concepto.
Taxonomía: Conjunto de conceptos organizados jerárquicamente. Las taxonomías definen las relaciones entre los conceptos pero no los atributos de éstos.
Axiomas: Se usan para modelar sentencias que son siempre ciertas. Los axiomas permiten, junto con la herencia de conceptos, inferir conocimiento que no esté indicado explícitamente en la taxonomía de conceptos. Los axiomas definidos en una ontología pueden ser estructurales o no estructurales: un axioma estructural establece condiciones relacionadas con la jerarquía de la ontología, conceptos y atributos definidos; un axioma no estructural establece relaciones entre atributos de un concepto y son específicos de un dominio. Los axiomas se utilizan también para verificar la consistencia de la ontología.
Propiedades (Slots): Son las características o atributos que describen a los conceptos. Las especificaciones, rangos y restricciones sobre los valores de las propiedades se denominan facets. Para un concepto dado, las propiedades y las restricciones sobre éstos son heredadas por las subclases y las instancias de la clase.
Claridad y Objetividad: Definir los conceptos en forma clara y objetiva utilizando lenguaje natural para evitar ambigüedades.
Al momento de diseñar una ontología, es necesario considerar algunas de las características deseables que éstas deberían exhibir. Los principios de diseño a considerar son los siguientes:
Coherencia: Garantizar que todas las inferencias derivadas sean consistentes con los axiomas.
Completitud: Los conceptos deben ser expresados en términos necesarios y suficientes.
Estandarización: Siempre que sea posible, los nombres asignados a los términos deberán seguir un estándar, definiendo y respetando reglas para la formación de los mismos.
Máxima extensibilidad monótona: Deberá ser posible incluir en la ontología especializaciones o generalizaciones, sin requerir una revisión de las definiciones existentes.
Principio de distinción ontológica: Las clases de la ontología con diferente criterio de identidad, deberán ser disjuntas.
Diversificación de las jerarquías: Para que la ontología se vea favorecida con los mecanismos de herencia múltiple, es conveniente usar tantos criterios de clasificación como sea posible, de manera de representar la mayor cantidad de conocimiento.
Minimización de la distancia semántica: Conceptos similares deberán ser agrupados y representados utilizando las mismas primitivas.
Modularidad: Al especificar una ontología se hacen definiciones de diferentes elementos como clases, relaciones y axiomas; tales definiciones se pueden agrupar en teorías que reúnen los objetos de una ontología más relacionados entre sí. Se puede lograr una organización altamente modular con máxima cohesión en cada módulo y mínima interacción, considerando que cada teoría es un módulo en la organización de la ontología. La modularidad permite flexibilidad y posibilidad de rehúso de algunos módulos de la ontología.
Mínima dependencia con respecto a la codificación: Una ontología debería permitir que los agentes que compartan los conocimientos, puedan ser implementados en diferentes sistemas y estilos de representación.
Un diseño ontológico ideal debería cumplir con todos estos criterios, pero no siempre es posible.
3. Problemática
En la actualidad, el mundo se encuentra sumido en un apogeo digital, dado por el avance de los países hacia la digitalización en cada uno de sus sectores; industria, sociedad, docencia, salud. La creciente evolución y aplicación de las Tecnologías de la Información y las Comunicaciones (TIC), ha jugado un papel decisivo en este sentido, y las organizaciones van incorporando paulatinamente a su funcionamiento sistemas informáticos que tributan al desarrollo. Las TIC acarrean innegables ventajas con su aplicación, reportando beneficios en diversas esferas de la vida del hombre, pero estos sistemas están lejos de ser perfectos y tienen un largo camino por recorrer hacia la eficiencia que la sociedad actual aspira y necesita.
Los sistemas informáticos gestionan información en base a datos de naturaleza numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a las personas físicas. El tratamiento de estos datos permite identificar o que las personas sean identificables dado que los datos personales describen y proporcionan identidad, precisan su origen, edad, lugar de residencia, trayectoria académica, laboral o profesional. Formando parte de los datos personales estarían, también, aquellos que describen los aspectos más sensibles o delicados sobre el individuo, como es el caso de su origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, forma de pensar, estado de salud o vida sexual, por eso éstos son los denominados datos sensibles.
La digitalización de la Historia Clínica (HC), conocida como Historia Clínica Electrónica (HCE) es uno de los aportes de la informática al sector de la salud. La Historia Clínica Electrónica permite la gestión sobre el estado de salud de las personas; favorece la accesibilidad de las autoridades a la información y gestión de los tratamientos de la enfermedad; e involucra en su elaboración a todos los profesionales de la salud que en algún momento atendieron a la persona.
Presenta ventajas en la atención al paciente, en la docencia e investigación, así como en la gestión y la planificación sanitaria; significa no solo la informatización del registro médico, sino de todo el proceso asistencial.
La HCE contiene información relativa a los individuos en base a datos personales y de carácter sensible, por eso, hay que desarrollar soluciones que permitan resguardar los contenidos de la HCE como una tarea de primer orden.
El proyecto eVitae pretende desarrollar una plataforma que garantice la formalización, gestión y almacenamiento de la HCE en Cuba y la presente investigación tributa a él. Por tal motivo, el Grupo de Investigaciones de Informática Jurídica del Centro de Gobierno aunó esfuerzos con el Centro de Informática Médica (CESIM) para desarrollar una ontología para contribuir a asegurar la privacidad de los datos presentes en la Historia Clínica Electrónica a desarrollar por el Proyecto eVitae.
Considerando lo antes expuesto se definió como problema general: ¿Cómo proteger adecuadamente la privacidad de los datos personales contenidos en las Historias Clínicas Electrónicas? Y se le dio solución al desarrollar una ontología para la Historia Clínica Electrónica cubana que contribuya a proteger adecuadamente la privacidad de los datos personales contenidos en ella, arrojando entre sus conclusiones: que la veracidad de los resultados vistos en la ontología de sensibilidad desarrollada a partir de la combinación del uso de ontologías y el paradigma de Privacidad por Diseño demuestran la efectividad de esta combinación; posibilitando su posible aplicación en otras áreas fuera de la salud; sentando las bases para las siguientes interrogantes: ¿Cómo se evidencian los principios de la Privacidad por Diseño en la ontología creada? y ¿Es funcional esta solución en otros ambientes de trabajo?
4. Desarrollo de solución
El concepto Privacidad por Diseño fue acuñado en la década de los noventa por Ann Cavoukian, Comisionada de Información y Privacidad de Ontario, Canadá. Según Ann Cavoukian, la privacidad desde el diseño «… se extiende a una trilogía de aplicaciones que engloban: Sistemas de tecnologías de la información, Prácticas de negocio responsables y Diseño físico e infraestructura en red».
El paradigma de Protección por Diseño plantea los siguientes principios fundacionales (2) :
1. Proactivo, no Reactivo; Preventivo no Correctivo
El enfoque de Privacidad por Diseño anticipa y previene eventos de invasión de privacidad antes de que estos ocurran. No espera a que los riesgos se materialicen, ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron, su finalidad es prevenir que ocurran.
2. Privacidad como la Configuración Predeterminada
La Privacidad por Diseño busca entregar el máximo grado de privacidad asegurándose de que los datos personales estén protegidos automáticamente en cualquier sistema de información dado o en cualquier práctica de negocios. No se requiere acción alguna de parte de la persona para proteger la privacidad, está construida en el sistema, como una configuración predeterminada.
3. Privacidad Incrustada en el Diseño
La Privacidad por Diseño está incrustada en el diseño y la arquitectura de los sistemas de información y en las prácticas de negocios. La privacidad se convierte en un componente esencial de la funcionalidad central que está siendo entregada. La privacidad es parte integral del sistema, sin disminuir su funcionalidad.
4. Funcionalidad Total — «Todos ganan», no «Si alguien gana, otro pierde»
La Privacidad por Diseño busca acomodar todos los intereses y objetivos legítimos de una forma «ganar-ganar», evita la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, demostrando que sí es posible tener ambas al mismo tiempo.
5. Protección de Ciclo de Vida Completo — Seguridad Extremo-a-Extremo
Habiendo sido incrustada en el sistema antes de que el primer elemento de información haya sido recolectado, la Privacidad por Diseño se extiende con seguridad a través del ciclo de vida completo de los datos involucrados — las medidas de seguridad robustas son esenciales para la privacidad, de inicio a fin del ciclo de vida de la información.
6. Visibilidad y Transparencia — Mantenerlo Abierto
En la Privacidad por Diseño las partes componentes y operaciones del sistema de información permanecen visibles y transparentes, a usuarios y a proveedores, permitiendo su verificación en todo momento.
7. Respeto por la Privacidad de los Usuarios — Mantener un Enfoque Centrado en el Usuario
Por encima de todo, la Privacidad por Diseño requiere que los arquitectos y operadores mantengan en una posición superior los intereses de las personas, ofreciendo medidas tales como predefinidos de privacidad robustos, notificación apropiada, y facultando opciones amigables para el usuario.
5. Resultados
Interrogante 1: ¿Cómo se evidencian los principios de la Privacidad por Diseño en la ontología creada?
1. Proactivo, no Reactivo; Preventivo no Correctivo: El enfoque de Privacidad por Diseño anticipa y previene eventos de invasión de privacidad antes de que estos ocurran.
— La ontología creada constituye una guía para los desarrolladores de la HCE, donde se define la accesibilidad de los campos en base a su sensibilidad, de forma que una vez que la HCE cubana esté implementada incorpore estas reglas y se prevengan futuras irregularidades.
2. Privacidad como la Configuración Predeterminada: La Privacidad por Diseño busca entregar el máximo grado de privacidad asegurándose de que los datos personales estén protegidos automáticamente en cualquier sistema de información dado o en cualquier práctica de negocios. La privacidad, está construida en el sistema, como una configuración predeterminada.
— La ontología creada plantea integrar las reglas definidas en ella desde las primeras etapas de desarrollo, quedando así, incrustadas en el diseño de la HCE y convirtiéndose en una configuración por defecto.
3. Privacidad Incrustada en el Diseño: La Privacidad por Diseño está incrustada en el diseño y la arquitectura de los sistemas de información y en las prácticas de negocios. La privacidad se convierte en un componente esencial de la funcionalidad central que está siendo entregada. La privacidad es parte integral del sistema, sin disminuir su funcionalidad.
— La ontología creada brinda un conjunto de reglas de accesibilidad de los datos a ser tenidas en cuenta por los desarrolladores de la HCE, tal que queden incluidas en el sistema y formen parte de él sin disminuir su funcionalidad.
4. Suma positiva: La Privacidad por Diseño busca acomodar todos los intereses y objetivos legítimos de una forma «ganar-ganar», evita la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, demostrando que sí es posible tener ambas al mismo tiempo.
— En la ontología creada no se sacrificó ninguna funcionalidad o aspecto en pos de favorecer otro, en ella la accesibilidad y confidencialidad van de la mano.
5. Protección de Ciclo de Vida Completo: Habiendo sido incrustada en el sistema antes de que el primer elemento de información haya sido recolectado, la Privacidad por Diseño se extiende con seguridad a través del ciclo vital de procesamiento de los datos hasta su eliminación; las medidas de seguridad robustas son esenciales para la privacidad, de inicio a fin del ciclo de vida de la información.
— La antología creada incorpora las condiciones de uso de los datos presentes en la HCE desde las etapas tempranas del desarrollo, incrustándolas de esta forma en el diseño antes que comience la recogida de información; estas reglas se mantendrán vigentes desde su creación hasta que la información sea borrada.
6. Visibilidad y Transparencia: En la Privacidad por Diseño las partes componentes y operaciones del sistema de información permanecen visibles y transparentes, a usuarios y a proveedores, permitiendo su verificación en todo momento.
— En la ontología creada, tanto la información como sus condiciones de uso permanecen visibles permitiendo su verificación en todo momento.
7. Enfoque Centrado en el Usuario: Por encima de todo, la Privacidad por Diseño requiere que los arquitectos y operadores mantengan en una posición superior los intereses de las personas, ofreciendo medidas tales como predefinidos de privacidad robustos, notificación apropiada, y facultando opciones amigables para el usuario.
— La ontología creada tiene como prioridad el respeto a las personas y sus intereses al predefinir las condiciones de uso de los datos a aplicar desde las etapas tempranas de desarrollo sin que la información haya sido introducida al sistema y de esa forma proteger la privacidad de los usuarios.
Interrogante 2: ¿Es funcional esta solución en otros ambientes de trabajo?
Con las correspondientes adecuaciones la solución es funcional en otros ambientes de trabajo, el modelo ontológico propuesto debería ser adecuado en base a los campos presentes en dicho ambiente de trabajo, ya que la solución dada propone una guía para los desarrolladores en cuanto a la accesibilidad de los campos en base a su sensibilidad, para de esta forma proteger la privacidad de los datos.
Una vez, la solución sea adecuada en base a los campos existentes en ese ambiente y su accesibilidad en base a su sensibilidad sea definida, la ontología resultante podrá servir a los desarrolladores como una guía para definir la accesibilidad de los campos atendiendo a su sensibilidad y de esta manera proteger la privacidad de los datos presentes.
6. A modo de conclusión
El funcionamiento y desarrollo de ontologías y el paradigma de Privacidad por Diseño presentan una sincronía ideal a la hora de poner en práctica el segundo mediante el primero.
La ontología obtenida contiene los campos de la HCE cubana clasificados adecuadamente según su sensibilidad y permitiendo su acceso o no en base a la misma; posibilitando la confidencialidad sin comprometer la accesibilidad, brinda información valiosa acerca de su estructura y contenido, permitiéndole ser también fácilmente actualizada y servir como base para futuras ontologías evidenciando los siete principios enunciados por Cavoukian.
GRUBER, T. R., Towards Principles of the Design of Ontologies Used for Knowledge Sharing. International Journal of Human Computer Studies , 1995.
Cavoukian, Ana. «Privacidad por Diseño: Los 7 Principios Fundamentales». Information and Privacy Commissioner of Ontario. Toronto. Canadá. 2011.