Un chat con un doctor o doctora en una app, el historial médico digital, las grabaciones de videollamadas… Son muchos los datos que pueden generarse tras una consulta médica en tiempos de telemedicina, también en esas aplicaciones que seguro que tienes descargadas en tu teléfono donde habrás tenido que rellenar campos con tus datos personales y, una vez dentro, tienes almacenadas desde tus recetas electrónicas a tus próximas citas. ¿Cómo se protege toda esa información personal?
Los datos médicos son especialmente sensibles y su protección requiere de un nivel de seguridad alto
“Los datos generados en telemedicina son parte de la historia clínica, por lo que deben guardarse siguiendo las mismas normas que el resto de contenidos del historial, teniendo en cuenta que son datos de categoría especial, según el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)”, explica Alfonso Villegas, coordinador del Grupo de Trabajo de Innovación Tecnológica y Sistemas de Información de semFYC (Sociedad Española de Medicina de Familia y Comunitaria).
Por eso, “el tratamiento de datos de salud requiere que se diseñen unas medidas organizativas y de seguridad de nivel alto, plasmadas en un documento de seguridad que se debe poner a disposición de la Agencia Española de Protección de Datos”, detalla Jaime Alapont, responsable de Social Media de SEMERGEN (Sociedad Española de Médicos de Atención Primaria). Dentro estas medidas se encuentra la evaluación de impacto, “un análisis del riesgo cuyo objetivo es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos”.
Además, las recomendaciones básicas de seguridad digital siempre son claves: “Las administraciones tienen sus planes de ciberseguridad en los que aplican tecnologías para tener sistemas menos vulnerables. Se revisa la correcta actualización del software y hardware y se realizan acciones de concienciación sobre el uso responsable de los sistemas, claves y correos electrónicos por parte de los usuarios”, dice Carmen Aguilera, abogada especialista en protección de datos y responsable del departamento Jurídico de Protección de Datos del Grupo Atico34.
Claves para saber cuándo una 'app' o web es de fiar: ojo a los permisos de acceso y a no dar más datos de los estrictamente necesarios
¿Cómo saber cuándo una aplicación móvil relacionada con el ámbito de la salud, un programa de ordenador o una página web que recoge datos personales cumple con los requisitos legales exigidos y, por tanto, es fiable? Alapont de SEMERGEN nos da algunas claves para estar atentos cuando las utilicemos:
- Los usuarios deben tener el derecho a ser informados sobre qué se hará con los datos que proporcionan al registrarse, qué datos son necesarios para el funcionamiento básico de la aplicación y qué datos son opcionales.
- Se debe poder identificar de manera clara e inequívoca en la política de privacidad quién es el responsable del tratamiento y, en caso de estar ubicado fuera del espacio europeo, se debe facilitar la identificación de un representante en Europa.
- La política de privacidad debe permitir al usuario conocer cuáles son los permisos de acceso que se le pueden solicitar, detallando claramente de qué manera se pueden gestionar estos permisos, modificarlos o denegarlos en cualquier momento.
- Ninguna instalación de software o aplicación debe estar condicionada por la obtención del consentimiento del usuario para acceder u obtener datos que no sean necesarios para prestar el servicio que se está ofreciendo. Por ejemplo, debemos desconfiar de una aplicación que, para ofrecer una orientación médica gratuita, a distancia y por escrito, solicite permiso para acceder a la ubicación del usuario, al micrófono, a la galería de fotos o a la lista de contactos.
- Por último y en resumen, hay que tener en cuenta el principio de minimización de datos: solamente se pueden solicitar aquellos datos que resulten estrictamente necesarios para prestar el servicio que se ofrece.
En cualquier caso, si tenéis algún problema con una infracción relacionada con vuestros datos personales, en Maldita.es os hemos explicado cómo puede denunciarse a la Agencia Española de Protección de Datos.
Primera fecha de publicación de este artículo: 22/09/2022