Derecho general

La seguridad de los datos en aplicaciones de la salud

En la era tecnológica en la que vivimos, en la que el ser humano está cada vez más en contacto por las múltiples plataformas que utilizamos para estar en contacto con nuestros seres queridos, o las aplicaciones que utilizamos para conseguir nuestros objetivos de dieta y ejercicio. En este punto cabe señalar que, aunque siempre tendemos a utilizar las aplicaciones mejor valoradas, debemos preguntarnos si realmente nuestros datos están a salvo con estas aplicaciones.

Tras esto, cabe señalar, en primer lugar, que “las plataformas móviles han impulsado millones de aplicaciones con una gran variedad de funciones, entre ellas, la mejora de la calidad de vida de pacientes o la promoción de salud. Así, estas aplicaciones aprovechan grandes cantidades de datos personales de los usuarios. En el caso de las apps de salud, éstas recopilan información relacionada con la salud de los usuarios con el fin de ayudarles a mejorar su estado de salud y promover su bienestar. Sin embargo, se trata de una información sensible y, por tanto debe proporcionarse una protección adecuada.

Así comienza un nuevo estudio europeo, iniciado en el año 2016 entre la Universidad de Piraeus (Grecia) y la Universidad Rovira i Virgili en Tarragona, donde se pone en evidencia  graves problemas de seguridad en las 20 aplicaciones móviles más populares de salud disponible en Android. Y es que el 80% de las aplicaciones de salud no cumplen con muchos de los estándares destinados a evitar el uso y la divulgación de datos sensibles de los usuarios.

80% de las aplicaciones de salud no cumplen con muchos de los estándares destinados a evitar el uso y la divulgación de datos sensibles de los usuarios

“Nuestros hallazgos revelan que la mayoría de las aplicaciones analizadas no siguen prácticas y pautas bien conocidas, ni siquiera las restricciones legales de protección de datos, lo que pone en peligro la privacidad de millones de usuarios” señala el estudio. De esta forma, el trabajo ha consistido en analizar y poner en conocimiento de los desarrolladores los problemas de seguridad detectados, y comprobar posteriormente si se habían resuelto.

Las aplicaciones seleccionadas por los investigadores tenían de 100.000 a 10 millones de descargas cada una y una calificación mínima de 3,5. Así, los investigadores analizaron las comunicaciones de las aplicaciones, como almacenaban la información,  qué permisos requerían al usuario para poder funcionar o como administraban los datos. De este modo, demostraron la existencia de graves deficiencias de seguridad de los datos personales.

Algunas de las apps solicitaban el acceso a la geolocalización, micrófonos, cámara o lista de contactos sin que fuera necesario para su buen funcionamiento

Así, solo un 20% de las apps de salud almacenan los datos en el teléfono de los usuarios y una de cada dos aplicaciones administra la contraseña de inicio de sesión sin utilizar una conexión segura. En el caso de compartir datos con terceros, la mitad de las 20 aplicaciones analizadas comparte la información del usuario: imágenes de rayos X, texto o archivos multimedia, entre otros”.

Tras decir esto, cabe señalar la necesidad de modificar estas conductas que provocan una vulneración de la normativa española y europea de protección de datos, pues hay que recordar que ningún Estado que se tilde de democrático puede permitir que sus ciudadanos se vean privados de su privacidad y no puede permitirse que los datos más íntimos de la persona puedan ser conocidos por personas ajenas o que no tengan autorización del titular de los datos de carácter personal.

En segundo lugar, cabe señalar el problema que surge por no adaptar las aplicaciones de la salud a la nueva normativa sobre protección de datos. Aquí hay que destacar que “la eficacia y utilidad de estas aplicaciones, no sólo depende de que estén bien hechas, y de que sean seguras técnica y jurídicamente, sino del porcentaje de la población o grupo de personas que la utilizan, es decir, que un factor esencial para el éxito de estas aplicaciones es que las personas den el consentimiento, porque, en muy raros casos se puede imponer su uso como obligatorio. En principio, siempre se debe requerir el consentimiento individual, y la posibilidad de retirarlo en cualquier momento, así como, el posterior borrado o bloqueo de los datos facilitados, independientemente de que estas aplicaciones informáticas traten datos personales, o datos anonimizados y agregados (estadísticos). Y tampoco debemos minusvalorar que, el uso de estas aplicaciones puede provocar un efecto negativo en la sociedad, como el de la estigmatización de personas, hecho que influirá decisivamente en la operativa final de los sistemas.

Además, para que la aplicación se acepte por el ciudadano y tenga alcance a nivel transfronterizo y global, es preciso que su política y gestión sean aplicados de forma coordinada por las autoridades sanitarias nacionales responsables, no sólo en el ámbito de la EU sino internacional. Como es sabido, el mercado siempre produce muchas alternativas de productos con servicios similares; pero para la lucha contra el COVID-19 y otras pandemias es conveniente prever la interoperabilidad entre todas las aplicaciones (enfoque paneuropeo o internacional). Pero, ¿hemos pensado en las transmisiones transfronterizas de ciudadanos de distintas nacionalidades? ¿Sería lícito intercambiar información de distintos Estados, regiones, o distintas aplicaciones? ¿Cómo? ¿Siempre se me ha de pedir el consentimiento? Desde hace tiempo, algunas empresas de telefonía móvil ya han puesto a disposición de los Estados datos de la geolocalización de nuestros dispositivos móviles (básicamente por las tarjetas SIM), que han sido muy útiles para controlar el cumplimiento de las medidas de distanciamiento social y confinamiento. Cuando nos movemos con estos dispositivos, el Estado puede saber si somos buenos y obedientes, y en el caso de cumplimiento por parte de la ciudadanía, sí es una medida efectiva (siempre comparando con otros datos a disposición de la administración pública, como el número de infectados). No obstante, hay que tener presente que este intercambio de información sólo ha sido posible, sin un consentimiento directo nuestro, por la declaración de estado de alarma y por tratarse de datos anonimizados o agregados, por lo que, el Estado no sabe a quién pertenece esa información de movimientos, al no poder cruzar ficheros de titularidad de las tarjetas SIM. Eso sí, no olvidemos que desde siempre el proveedor de servicios de telecomunicación y las grandes plataformas tecnológicas saben nuestra identidad y movimientos.

Pero qué pasa en la actualidad y cuál es la tendencia de los Gobiernos. Los Estados necesitan y quieren más información individualizada e identificativa nuestra, de salud o de costumbres, porque la información es poder y la información permite tomar medidas más ajustadas a la realidad de cada individuo. Como se ha comentado más arriba, esto supondría claramente una limitación del ejercicio de los derechos y libertades reconocidos en la Carta de los Derechos Fundamentales, por lo que ese tratamiento de información sólo será lícito si se cumple todas y cada una de las siguientes condiciones, para cada medida a adoptar:

  1. Ha de ser temporal, revisada periódicamente durante su funcionamiento y garantizando la destrucción de los datos en todos los lugares de tratamiento o acceso de la información (deben conservarse como máximo 90 días o en el periodo de duración de la pandemia);
  2. Enfocarse estrictamente a lo necesario para combatir la crisis sanitaria, y no mantenerse en vigor con posterioridad;
  3. Ha de ser justificada;
  4. Ha de ser proporcional;
  5. Ha de ser lo menos intrusiva a la privacidad;
  6. No ha de existir otra alternativa;
  7. Adecuada tecnológicamente en relación a usos y fines;
  8. Minimizar los datos tratados (adecuados y pertinentes, limitándose a lo necesario para combatir la crisis sanitaria), en la recogida, tratamiento y en el posible archivo por interés científico-estadístico; y anonimizar de forma real e irreversible los datos;
  9. Siempre tiene que informarse de forma clara, directa y transparente al ciudadano. Los datos deben ser proporcionados sólo por mayores de 16 años.
  10. Ciberseguridad: garantizando la disponibilidad, autenticidad, integridad y confidencialidad de los datos; y otras medidas de seguridad, como las evaluaciones de impacto, análisis continuos de riesgos, o la restricción de quienes acceden a la información.

Quizás todo suene muy abstracto, pero el imperativo legal existe. Todos los Estados miembros tienen esa obligación de trabajar conjuntamente y crear mecanismos urgentes de gobernanza, para garantizar:

  • la efectividad y legalidad de las aplicaciones móviles que traten datos de salud, y evitar las malas prácticas o la proliferación de otras aplicaciones no compatibles con nuestro Derecho;
  • el intercambio anonimizado y agregados de datos entre ellos para, modelizar, cartografiar, programar y optimizar la eficacia de las medidas a adoptar”.

Por tanto, se debe de garantizar que estas aplicaciones gozan de estándares de seguridad y privacidad suficientes para aplicar la nueva normativa sobre protección de datos de la Unión Europea.

En tercer lugar, hay que selalar que “las negligencias en la protección de datos personales de clientes o la incorrecta gestión de estos han motivado multas multimillonarias para empresas de sectores tan diferentes como el transporte aéreo, la hostelería, las telecomunicaciones o la gestión inmobiliaria desde que el GDPR entró en vigor. En España, la agencia reguladora, la Agencia Española de Protección de Datos (AEPD), ha sido más moderada a la hora de aplicar su capacidad sancionadora, aunque también ha habido penalizaciones. “Las sanciones han venido motivadas por que las empresas no han aplicado los criterios de protección de datos personales con la suficiente diligencia o por que no han sabido justificar o delimitar la finalidad del tratamiento de los datos”, explica Javier Aznar, director de Technology Risk y responsable de los servicios de privacidad de KPMG Asesores de KPMG en España.

Solo en 2019, la AEDP publicó 76 guías para facilitar a empresas a ciudadanos el cumplimiento del GDPR, que se suman a las lanzadas por las agencias nacionales de otros países, así como a las realizadas por el Consejo Europeo de protección de datos. Por tanto, el margen de interpretación de la normativa es cada vez más limitado. “La agencia ha sido muy flexible en esta etapa de transición, pero las empresas tienen que ser conscientes de que dos años después de la fecha de aplicación del RGPD, su posición va a ser más estricta”, señala Martín.

En ese proceso de adecuación progresiva al GDPR, las empresas se han visto sacudidas por el COVID-19, que trae consigo nuevos riesgos y oportunidades en la gestión protección de datos personales.

Desde que la enfermedad se convirtió en pandemia, algunos gobiernos han llevado a cabo estudios de movilidad de los ciudadanos basados en la geolocalización de sus terminales móviles, se ha puesto en marcha el desarrollo de aplicaciones que a través de Bluetooth permitirían identificar a las personas con las que había estado en contacto un enfermo y algunas empresas han adoptado medidas para limitar la propagación del virus entre sus empleados como la realización de tests o la medición de la temperatura corporal. Estas decisiones han levantado las suspicacias de algunos ciudadanos.

Para Javier Aznar, los pilares sobre los que se deben desarrollar este tipo de proyectos son la transparencia y la proporcionalidad. “Saber qué datos se van a analizar, los motivos por los que se analizan, el tratamiento que se les va a aplicar o las personas que van a tener acceso a esa información promueve que los ciudadanos estén más dispuestos a compartir sus datos, especialmente si sienten que con ello se va a lograr un beneficio del que van a ser partícipes. Además, cuanto más anónimos sean esos datos, más confianza generarán en aquellas personas que los comparten”, explica.

Bartolomé Martín hace también hincapié en la legitimidad. “Existe cierta desorientación en lo que respecta al COVID-19 que la AEPD no ha aclarado completamente hasta el momento. Hay dudas sobre qué tratamientos de datos son legítimos y cuáles no. Es muy importante determinar cómo habré de tratar los datos personales, pero, antes de eso, es preciso confirmar la base legitimadora del tratamiento que voy a realizar”, señala.

El impacto de la pandemia en la protección de datos va más allá de la información relacionada estrictamente con la salud. Las empresas que se han visto más golpeadas por esta crisis son aquellas que desarrollan actividades que requieren de un mayor contacto físico con sus clientes. Estas compañías están apostando por acelerar sus procesos de digitalización con el fin de adaptar sus servicios y productos al nuevo escenario que se abre tras la pandemia.

Javier Aznar destaca que el nuevo escenario va a traer consigo nuevos modelos disruptivos e innovadores que van a multiplicar los datos que se comparten. “Pensemos en las empresas de retail, que, por motivos de salud, van a desarrollar soluciones basadas en realidad aumentada para limitar el contacto del cliente con el producto. Los usuarios van a compartir sus datos para poder disfrutar de esa experiencia. Hay que garantizar que lo van a hacer de una forma informada, con claras de garantías de privacidad y protección”, explica.

Los riesgos y oportunidades ya estaban ahí

La pandemia ha puesto el foco sobre riesgos a los que ya debía responder la estrategia de protección de datos de las empresas, derivados principalmente de la progresiva digitalización de la sociedad y que se verán incrementados con la aplicación de la tecnología 5G, que posibilitará la generalización de productos y servicios basados en el llamado Internet de las Cosas (IoT).

La AEPD ha alertado recientemente de algunos de los riesgos vinculados al 5G, entre los que figuran el aumento de las amenazas a la privacidad, al incrementarse los servicios, la conectividad, la interoperabilidad y los puntos de entrada y gestión a la red; vulnerabilidades y problemas de privacidad heredados de sistemas anteriores; y la pérdida de control por parte de los usuarios sobre sus flujos de datos, con posibles implicaciones transfronterizas, así como en el ejercicio de sus derechos. La agencia aconseja a las empresas que consideren estos riesgos desde el diseño de los tratamientos de datos, con el fin de que sus productos y servicios cumplan con lo establecido en el GDPR.

Esa postura la comparte Bartolomé Martín. “Es crucial que las empresas conciban la privacidad como algo esencial en su actividad. Todos los procesos de transformación digital deben tener en cuenta la protección de la privacidad desde su diseño para que sean viables. No es recomendable empezar fijando un objetivo para después analizar el marco regulatorio. Lo más aconsejable es analizar primero el marco normativo para saber hasta dónde puedo llegar y qué puedo hacer, porque quizá mi primera idea dejará de ser rentable o resultará imposible de monetizar”, expone Martín.

La AEPD también aconseja que las empresas lleven a cabo estudios de impacto y auditorías externas. “La auditoría de todos los procesos implicados en el tratamientos de datos estimula la responsabilidad proactiva de las empresas, que es la base del GDPR. Las empresas están demandando en los últimos meses contar con una opinión experta externa sobre su grado de cumplimiento del reglamento”, destaca Javier Aznar.

El escenario de servicios y productos que abre la tecnología 5G ofrece la oportunidad de desarrollar esquemas de certificación previstos en el GDPR, algo que aún no ha ocurrido al nivel que sería deseable. “Las certificaciones darían a los usuarios la seguridad de que los productos o servicios que adquieren cumplen desde su origen con los criterios de privacidad que establece el reglamento, generando un clima de mayor confianza”, apunta Bartolomé Martín.

Este tipo de certificaciones, además, reduciría la vulnerabilidad de los países europeos en el despliegue de la tecnología 5G, derivada de su dependencia tecnológica con respecto a Asia o Estados Unidos. “En Europa no producimos hardware. Los dispositivos vienen de otros mercados. Si vamos a dotarnos de una red 5G, debería ser bajo unos parámetros exigentes de seguridad. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha establecido estándares de ciberseguridad a los que deberán ajustarse todos los productos utilizados en comunicaciones. Sería conveniente hacer lo mismo con la privacidad”, aconseja Javier Aznar.

Pero en el escenario 5G no todo son riesgos. El nuevo contexto permitirá a las empresas optimizar al máximo el rendimiento de los datos, siguiendo criterios de transparencia y proporcionalidad.  Aznar señala que en un mundo que va a estar hiperconectado la información va a fluir y que las empresas deben tomar ya conciencia de que esa información deben destinarla a mejorar los productos y servicios que ofrecen a sus usuarios. “Si el cliente percibe proporcionalidad entre los datos que facilita y la calidad de su experiencia de usuario, los niveles de fidelización serán mayores”, apostilla Aznar”.

Por tanto, cabe señalar que todavía queda mucho por hacer para garantizar la protección de datos de la Unión Europea y española en las aplicaciones de la salud y no nos podemos relajar en este sentido.

FUENTES:

  1. Un 80% de las ‘app’ de salud incumple estándares de seguridad de datos según un estudio. EUROPAPRESS: https://www.europapress.es/catalunya/noticia-80-app-salud-incumple-estandares-seguridad-datos-estudio-20180214150849.html
  2. 5 aspectos sobre la aplicación de la RGPD -GDPR- en el sector de la salud y los laboratorios que debes considerar. VIAFIRMA: https://www.viafirma.com/blog-xnoccio/es/aplicacion-gdpr-salud-laboratorios/
  3. APPs: tratamiento excepcional de nuestros datos de salud. A2SECURE: https://www.a2secure.com/blog/apps-tratamiento-excepcional-de-nuestros-datos-de-salud/
  4. La AEPD publica unas directrices para el desarrollo de apps móviles de educación y salud. IT DIGITAL SECURITY: https://www.itdigitalsecurity.es/normativa/2019/09/la-aepd-publica-unas-directrices-para-el-desarrollo-de-apps-moviles-de-educacion-y-salud
  5. GDPR: retos y oportunidades dos años después de su fecha de aplicación. KPMG TENDENCIAS: https://www.tendencias.kpmg.es/2020/05/gdpr-segundo-aniversario-aplicacion/
  6. Los datos personales, ¿en peligro por las aplicaciones móviles de salud? CON SALUD: https://www.consalud.es/saludigital/102/los-datos-personales-en-peligro-por-las-aplicaciones-moviles_47823_102.html
  7. La AEPD publica unas directrices orientadas a aplicaciones móviles educativas y de actividad física, bienestar y salud. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-unas-directrices-orientadas-aplicaciones
  8. Las apps de salud y la protección de datos. PSN SERCON: https://blog.psnsercon.com/las-apps-de-salud-y-la-proteccion-de-datos/
  9. Apps de salud y la protección de datos. GESPRODAT: https://gesprodat.com/apps-de-salud-y-la-proteccion-de-datos/
  10. Protección de Datos comprobará si las aplicaciones móviles sobre coronavirus son legales. CONFILEGAL: https://confilegal.com/20200318-proteccion-de-datos-comprobara-si-las-aplicaciones-moviles-sobre-coronavirus-son-legales/

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s