La información médica confidencial ha sido expuesta en línea en docenas de ocasiones, según puede revelar una investigación de The Guardian, lo que plantea dudas sobre la protección de los registros de pacientes por parte de uno de los principales proyectos de investigación médica del Reino Unido.
El Biobanco del Reino Unido, que conserva los registros médicos de 500.000 voluntarios británicos, es uno de los depósitos de datos de salud más completos del mundo y se le atribuyen avances en la investigación del cáncer, la demencia y la diabetes. Pero los científicos autorizados a acceder a los datos confidenciales del biobanco a veces parecen arrogantes respecto de su seguridad.
Los archivos, que parecen haber sido publicados en línea sin darse cuenta por investigadores que utilizaron los datos, no incluyen nombres ni direcciones, pero aún así podrían plantear preocupaciones sobre la privacidad. Un conjunto de datos obtenido por The Guardian contiene millones de diagnósticos hospitalarios y fechas asociadas de más de 400.000 participantes.
Con el consentimiento de un voluntario en el biobanco, los padres pudieron identificar un registro completo de los diagnósticos hospitalarios del voluntario, utilizando solo su mes y año de nacimiento y los detalles de una cirugía mayor a la que se habían sometido.
Un experto en datos dijo que la escala y la persistencia del problema eran “asombrosas” en un momento en que la inteligencia artificial y las redes sociales facilitaban las referencias cruzadas de información en línea.
UK Biobank desestimó las preocupaciones y dijo que no se proporcionaron datos de identificación, como nombres y direcciones, a los investigadores.
En una declaración, el profesor Sir Rory Collins, director ejecutivo del Biobanco del Reino Unido, dijo: “Nunca hemos visto evidencia de que ningún participante del Biobanco del Reino Unido haya sido reidentificado por otros”.
‘Dijeron que mantendrían nuestros datos seguros’
Creado en 2003 por el Departamento de Salud y organizaciones benéficas de investigación médica, el Biobanco del Reino Unido contiene secuencias del genoma, escaneos, muestras de sangre y datos sobre el estilo de vida de 500.000 voluntarios. El mes pasado, el gobierno amplió el acceso del biobanco a los registros de los médicos de cabecera a los voluntarios.
Científicos de universidades y empresas privadas de todo el mundo solicitaron acceso y, hasta finales de 2024, podían descargar los datos directamente a sus propios sistemas informáticos.
Antes de este punto, los datos se publicaron en línea sin darse cuenta y Biobank todavía parece estar lidiando con el problema.
El problema ha surgido a medida que las revistas y los financiadores exigen cada vez más que los investigadores revelen el código utilizado para analizar grandes conjuntos de datos. Al intentar cargar código, algunos investigadores publicaron accidentalmente conjuntos de datos parciales o completos del Biobanco en GitHub, una popular plataforma en línea para compartir códigos. UK Biobank prohíbe a los investigadores compartir datos fuera de su sistema y dice que ha introducido más capacitación para todos los investigadores.
El año pasado, la fuga de datos parece haberse convertido en una preocupación más apremiante para los biobancos del Reino Unido. Entre julio y diciembre de 2025, emitió 80 avisos legales a GitHub, cumpliendo con Solicitud de eliminación de datos de Internet. Sin embargo, hay mucho por encontrar.
Algunos archivos de datos contienen sólo identificaciones de pacientes o resultados de pruebas para un pequeño número, mientras que otros son más completos. The Guardian encontró un conjunto de datos en línea en enero Los diagnósticos hospitalarios y las fechas de diagnóstico asociadas estaban disponibles para aproximadamente 413.000 participantes, incluido su sexo, mes y año de nacimiento.
Un experto en datos, que revisó el archivo, dijo: “Me provocó escalofríos incluso con solo abrirlo. Inmediatamente eliminé el archivo. Era muy detallado e incluso echarle un vistazo me pareció una gran invasión de la privacidad”.
Para examinar el riesgo de reidentificación, The Guardian se puso en contacto con varios voluntarios del biobanco, dos de los cuales se habían sometido a procedimientos médicos en el período transcurrido entre los datos y acordaron compartir estos detalles con un científico de datos externo.
Un voluntario que proporcionó fechas de tratamiento para fracturas y convulsiones no se encontró en el conjunto de datos. Una segunda voluntaria, una mujer de unos 70 años, compartió el mes y año de su nacimiento y el mes y año de su histerectomía. Sólo una persona en el conjunto de datos coincidía con esta descripción. La aparente coincidencia de los registros que el voluntario no reveló inicialmente fue confirmada por otros cinco diagnósticos.
“Efectivamente estás ensayando partes claves de mi historial médico sin darme ninguna información. No me esperaba eso”, dijo el voluntario.
La mujer dijo que no estaba demasiado preocupada por la exposición de sus propios datos y que tenía la intención de participar, diciendo que consideraba el trabajo del Biobanco del Reino Unido como “enormemente importante”. Pero añadió: “Me preocupa más si Biobank ha roto su contrato con la gente. Dijeron que mantendrían nuestros datos de forma segura… Creo que eso tiene que entrar en la ecuación”.
UK Biobank dijo que el escenario de reidentificación probado por The Guardian no resaltaba los riesgos de privacidad porque sería imposible identificar a las personas sin información adicional.
Un portavoz del Biobanco dijo: “Como nos hemos comunicado con nuestros participantes, incluidos nosotros sitio web: “Si un participante coloca información que revela algo sobre su salud e identidad, como información genética, en un sitio web público, esto puede hacer posible descubrir su identidad mediante referencias cruzadas de datos de investigación del Biobanco del Reino Unido”.
“Simplemente ha demostrado por qué pedimos a los participantes que no hagan esto”.
La portavoz agregó que Biobank ha tomado amplias medidas para proteger la privacidad de los participantes, incluida la búsqueda activa en GitHub, el contacto directo con los investigadores y la emisión de avisos legales de eliminación, y agregó que las acciones han resultado en la eliminación de alrededor de 500 repositorios. Muchos de ellos, dijo, sólo contienen identificaciones de pacientes, no datos de salud.
‘Existe una tensión entre la investigación de datos y la protección de la privacidad’
Los expertos en privacidad dijeron que el enfoque del biobanco del Reino Unido estaba en desacuerdo con la realidad de que muchas personas, razonablemente, han compartido cierta información de salud en línea y que se puede rastrear y hacer referencias cruzadas fácilmente en la era de la IA.
“¿Estas personas son conscientes de que Internet existe?” preguntó el profesor Felix Ritchie, economista de la Universidad del Oeste de Inglaterra. “La idea de que puedan confiar en que sus voluntarios no revelarán ninguna otra información sobre ellos mismos es completamente irrazonable”.
El profesor asociado Dr. Luke Rocher del Oxford Internet Institute, que ha revisado varios conjuntos de datos de biobancos disponibles en línea, dice que eliminar identificadores a menudo no garantiza el anonimato y simplemente el cumpleaños de una persona y, digamos, la fecha en que se rompió la pierna pueden ser suficientes para identificar sus registros con alta confianza.
“Una vez identificado, ese registro puede revelar información sensible como un diagnóstico psiquiátrico, el resultado de una prueba de VIH o un historial de abuso de drogas”, dicen.
Niels Peak, profesor de ciencia de datos y mejora de la atención sanitaria en la Universidad de Cambridge, dijo que la magnitud del problema era “asombrosa”. “Si sucediera una o diez veces, probablemente diría: ‘No es nada bueno que haya sucedido, pero al mismo tiempo el riesgo cero es imposible'”, dijo. “Cientos. Eso es un poco demasiado.”
En opinión de Peek, las acciones del Biobanco demuestran que se ha tomado la cuestión en serio y ha “hecho todo lo que razonablemente podía esperarse”. Pero añadió: “La escala y la persistencia con la que esto ha sucedido muestra que existe una enorme tensión entre la ambición de realizar investigaciones de salud con datos y el imperativo legal y ético de proteger la privacidad de las personas”.
Los expertos se preguntan si los biobancos podrán recuperar totalmente el control sobre los datos publicados en línea. Aunque la mayoría de los repositorios infractores se eliminaron en respuesta a solicitudes de investigadores y GitHub Biobank, muchos de los archivos relevantes permanecen disponibles en un sitio web de archivo de códigos.
Información adicional de Luke Hoyland
