¡Pide presupuesto en 2 min! ✓
SanidadSectores

Pulseras E-Health y la Protección de Datos

8 Mins read

La pulsera inteligente o pulseras healthcare ha pasado desde hace algunos años, a formar parte de nuestro día a día, integrándose con naturalidad en nuestras rutinas e interconectándose con nuestros dispositivos inteligentes.

Dicha conexión se realiza una vez que se han volcado datos personales en la aplicación que la controla. Es en ese momento cuando comienza a ser aplicable la normativa en materia de protección de datos.

A continuación, vamos analizar los efectos del uso de estos dispositivos en materia de seguridad y privacidad.

pulsera inteligente y la proteccion de datos

Normativa Aplicable

La normativa aplicable en las aplicaciones de e-salud, es la siguiente:

Datos personales vs NO personales

La compra de un dispositivo wearable en sí misma, no conlleva la aplicación automática de la normativa en materia de protección de datos. Para que dicha normativa tenga incidencia se requiere por parte del usuario registrarse en la aplicación de funcionamiento introduciendo datos de carácter personal.

Este tratamiento de datos personales, debe ser el estrictamente necesario, útil e informado para el buen funcionamiento de la prestación, que debe aceptar el usuario de manera expresa, ya que sin registro apenas se podrá disfrutar de las opciones y herramientas restantes.

Es en ese momento, al descargarnos la aplicación e incluir nuestros datos en la misma, cuando comenzamos a adentrarnos en el terreno de la e-salud. Una vez que nos registramos, y la aplicación tiene acceso a nuestros hábitos de sueño, actividad física, ritmo cardíaco… emite en base a nuestras costumbres, una serie de consejos médicos y pasos a seguir para mejorar nuestra salud.

Posibles datos que solicita la pulsera healthcare

Es posible que la pulsera inteligente nos solicite una serie de datos, tales como edad, peso, estatura, etc. Dichos datos, como tal, no son considerados como datos personales. El RGPD determina que un dato personal es todo aquel dato mediante el cual se pueda distinguir a una persona física determinada. Este es el caso de datos como el nombre y apellidos o correo electrónico, que incluimos a la hora de registrarnos en la aplicación.

Aunque también es posible que nos muestre una serie de consejos de salud personalizados o herramientas, como la monitorización del ritmo cardíaco, sin necesidad de incluir datos personales en ella, es decir, sin registrarnos en la aplicación, en base al tratamiento de datos no personales y por tanto no identificables como son la edad, peso, estatura o hábitos de sueño.

Además, el campo de la e-salud trata datos sensibles, como son los datos sanitarios, regulados en el RGPD, ya que suelen integrarse información referente a enfermedades que pueda padecer el usuario, alergías, cardiopatías, diabetes, etc.

Debido al tratamiento de datos sensibles, juega especial importancia la seudonimización y anonimización de estos datos.

Los datos seudonimizados, son los que nos permiten identificar a una persona, por medio por ejemplo, de un código asociado a ese nombre o correo electrónico.

La anonimización de estos datos, impediría la identificación de la persona física, de forma directa e indirecta.

Los datos seudonimizados, se regulan en el Reglamento General de Protección de Datos. Sin embargo, los datos personales convertidos en anónimos, anonimizados, están regulados en el Reglamento (UE) 2018/1807 de libre circulación de datos no personales.

Internet de las cosas (IoT) y dispositivos wearables

El denominado Internet de las Cosas o IoT (Internet of Things), es cada vez más recurrente y está cada vez más presente en nuestros días. No sólo nos encontramos con pulseras inteligentes, sino que cada vez son y serán más los objetos e instrumentos de nuestro día a día que disponen de una conexión a Internet.

El concepto de IoT, lleva años presente en el sector de la industria, y está en aumento en el sector sanitario.

La información que proporciona esta pulsera, es de gran ayuda en el seguimiento de distintas afecciones y puede proporcionar tanto al paciente como al profesional de la salud, una información constante y detallada, que facilita el seguimiento y mejora los tratamientos a seguir. Dichas pulseras también son utilizadas para finalidades de monitorización de la actividad física,  fomentar una vida saludable y fomentar el bienestar personal.

Ejemplos de este tipo de dispositivos wearables:

  • Asistentes virtuales que reproducen tu música y responden en el acto a tus preguntas, hasta incluso pueden bromear contigo, si así lo deseas.
  • La chaqueta inteligente de una popular marca vaquera, es una buena prueba de ello. La prenda aparentemente normal y común, cuenta con un dispositivo en la manga desde el que puedes dirigir tu smartphone; conectado mediante sensores a tu teléfono inteligente. Gafas, trajes, pijamas, medias, ropa de baño… son simplemente una pequeña muestra de un largo etcétera de prendas y objetos inteligentes.

Riesgos para la privacidad de dispositivos inteligentes

Esta amalgama de objetos cotidianos interconectados entre sí, extraen nuestros datos y es por ello que debemos ser especialmente cuidadosos con los datos que se introducen, y comprobar que las aplicaciones que se van a utilizar disponen de los textos legales sobre protección de datos.

Pero, ¿qué implicaciones tiene esto para la seguridad de nuestra privacidad?

Los riesgos de esta extracción de datos son múltiples: el rastreo mediante sistemas de posicionamiento global (GPS), incluso cuando el GPS se encuentre desactivado sería posible detectar la ubicación del dispositivo, mediante la extracción de datos; la cesión de estos datos a un proveedor desconocido; elaboración de perfiles de usuario en base a los patrones de conducta que se registren, que pueden tener como resultado la publicidad basada en intereses, también conocida como publicidad personalizada; o el fortalecimiento del avance de la inteligencia artificial, que puede prever nuestro comportamiento, o incluso modificarlo.

La AEPD ha dado algunas medidas a tomar, entre las que se encuentra:

  1. Desactivar la personalización de anuncios, con el fin de evitar que se cree un perfil del usuario. Para ello, resultaría necesario deshabilitar la publicidad personalizada en los ajustes de Google e instalar únicamente apps que garanticen un nivel de seguridad adecuado.
  2. Comprobar que los encargados del tratamiento, deben cumplir con el RGPD.
  3. Para aquellas aplicaciones que tienen acceso a la pantalla de los dispositivos, conforme al artículo 13 del RGPD, estas deben cumplir con el principio de transparencia. Para cumplir con dicho principio, se debe informar previamente al usuario de los tratamientos que se van a realizar. Es por ello, que la grabación de la pantalla no se podrá  producir cuando el usuario no es consciente de dicha grabación. Esta información debería facilitarse al usuario a través de una política de privacidad, en el momento en el que se va a descargar la aplicación, y una vez que esté debidamente informado, que sea el propio usuario el que consienta o no.

Privacidad desde el diseño y por defecto

Es importante, que los usuarios protejamos nuestros dispositivos, para evitar ataques externos, de la misma manera que instalamos en nuestro ordenador personal un antivirus.

Por ello, el Reglamento en su artículo 5, pretende salvaguardar la protección de nuestros datos personales con el principio de privacidad desde el diseño y por defecto.

Es el fabricante del dispositivo, o el desarrollador de la aplicación, quien debe de manera proactiva velar o mantener activadas/desactivadas las distintas opciones de privacidad, con el objetivo de garantizar la seguridad de los datos personales, sin perjuicio de que el usuario pueda activar/desactivar a su antojo las opciones disponibles.

Las medidas proactivas que dichas aplicaciones deberían utilizar, entre otras, serían  transparencia y claridad en la información; acceso sencillo a los textos de políticas de privacidad; identificación de la persona responsable de la organización; confidencialidad de los datos…

Imaginemos una aplicación, en este caso de e-salud. Para estar cumpliendo con la privacidad desde el diseño, en su configuración de privacidad básica debe recoger y tratar el mínimo de datos personales posibles, para la prestación del servicio, así como informar sobre todas las cláusulas estipuladas en la normativa de protección de datos, tales como identificación del Responsable del tratamiento, conservación de datos, finalidad para la cual se recogen, posibilidad de ejercicio de derechos y ante qué sujeto hacerlo, etc.

Necesidad de Evaluación de Impacto

La Evaluación de Impacto (EIDP), recogida en el Reglamento General de Protección de Datos en su artículo 35, está relacionada con el punto anterior, ya que se considera uno de los aspectos básicos de responsabilidad proactiva.

Es siempre recomendable su realización en aquellos casos como el presente, donde entra en juego el uso de nuevas tecnologías y el tratamiento de datos relativos a la salud. No obstante, para valorar su preceptiva realización la AEPD ha establecido una lista de tratamientos que requieren contar con la realización de la Evaluación de Impacto y otra lista de tratamientos que no requerirían de la misma.

El documento de Evaluación de Impacto incluirá una descripción minuciosa de las operaciones de tratamiento, análisis del ciclo de vida de los datos, se evaluarán los potenciales y posibles riesgos que puedan producirse y se implantará un plan de acción en base a dicha evaluación, que posteriormente será revisado, para comprobar su cumplimiento.

Al igual que ocurre con el principio de privacidad desde el diseño y por defecto, el Reglamento hace hincapié en la proactividad del responsable del tratamiento.

Preguntas frecuentes

¿Se comparten con terceros los datos que se recogen?

En el caso de que los datos personales recogidos a través de los dispositivos wearables se vayan a compartir con terceros, se debe informar al usuario en el momento en el que se recogen dichos datos -a través de un formulario de contacto- sobre dicha cesión y además, se debe identificar el tercero al que se vayan a ceder.  Esta información deberá encontrar en la política de privacidad.

¿Siempre es necesario hacer una Evaluación de Impacto?

La Evaluación de Impacto, aunque no es siempre de carácter obligatorio, sí es muy recomendable cuando se realizan tratamientos de datos personales sensibles, ya que con ella nos aseguramos de que que los riesgos que se corre al tratar datos personales están minuciosamente analizados y posteriormente cubiertos.

Dentro del campo de la e-salud, al tratar datos especialmente sensibles, siempre sería recomendable su realización.

¿Cómo  ejercer el derecho de supresión de datos personales ante este tipo de sistemas inteligentes?

Para ejercer el derecho de supresión, también conocido como derecho al olvido y amparado en el artículo 17 del RGPD, el usuario se debe dirigir al Responsable de tratamiento identificándose.  Los datos del Responsable deben encontrarse dentro de los textos legales de la propia aplicación de e-salud.

Lo más habitual es que el Responsable de la aplicación haya habilitado un correo electrónico para que los usuarios puedan ejercitar su derecho de supresión de manera cómoda, sencilla y gratuita.

¿Los datos personales de carácter sanitario son susceptibles de anonimización?

Los datos de salud de los interesados, conforme al art.32 del RGPD, pueden ser seudonimizados o anominizados. Lo correcto es adoptar medidas de seguridad que permitan que los datos identificativos y los datos de salud se encuentren disociados, es decir, separados.

¿Se aplicaría el RGPD si la entidad que gestiona los datos personales se encuentra fuera del Espacio Económico Europeo? 

Aunque el responsable del tratamiento de los datos no se encuentre establecido en la UE, debe igualmente aplicarse la normativa comunitaria, al pertenecer a la misma o encontrarse en ella el usuario.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Related posts
LOPDGDD & RGPDSanidad

Dudas legales sobre la Cartilla Covid y el registro en bares y restaurantes

4 Mins read
Entre las medidas anunciadas por la Comunidad de Madrid para combatir los rebrotes de Covid-19, se encuentra la creación de una cartilla…
Nuevas tecnologiasSanidad

Hispabot COVID-19: Resuelve tus dudas sobre el Coronavirus

6 Mins read
A finales de marzo, el Gobierno encomendó al Ministerio de Asuntos Económicos y Transformación Digital la elaboración de medidas para facilitar la…
Sectores

Protección de datos de las Iglesias y entidades religiosas

7 Mins read
Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.