Cómo garantizar la seguridad de los datos en una app de salud

26/11/2021

Diana Bedoya

(Subdirectora de Emobotics)

1. Las apps de salud 

El desarrollo de apps en el ámbito de la telemedicina, eHealth o mHealth se encuentra en auge, habiendo cada vez un número mayor de aplicaciones disponibles que están transformando la concepción tradicional de los servicios sanitarios.

Pese a todos los beneficios y comodidades que pueden significar este tipo de aplicaciones en la vida de los usuarios, es necesario adquirir conciencia sobre el tratamiento de la información y los graves problemas que podría acarrear la mala gestión de los datos.

En la compleja arquitectura de estas apps de salud, cabe destacar que existen importantes exposiciones en la privacidad y la seguridad de la información personal de los usuarios; causadas en gran medida por la falta de transparencia hacia los usuarios, la enorme cantidad de datos masivos a tratar, los múltiples fines a los que son sometidos y, en algunos casos, por las deficiencias en las medidas de control, gestión y seguridad.

2. Reglamento General de Protección de Datos

RGDP Emobotics

Ya que mediante las e-health el registro y almacenamiento de la información personal de un usuario identificado o identificable, la reglamentación en materia de seguridad y protección de información debe aplicarse desde el primer momento en que la aplicación hace tratamiento y tráfico de los datos personales. Así pues, es necesario aplicar rigurosamente el Reglamento General de Protección de Datos (RGPD), incluso aunque la empresa o encargado del tratamiento de datos no se encontrara en la UE.

El reglamento establece que la información personal será tratada siempre de manera leal, transparente y lícita; recopilada con unos fines determinados, explícitos y legítimos; de forma que no pueden ser tratados subsiguientemente con otros fines ajenos a los ya establecidos, los cuales deben ser limitados y exactos a lo explícitamente necesario.

Deben ser respetados y conservados de forma que permita la identificación del interesado, nunca durante más tiempo del necesario para los fines del tratamiento de la información personal, y garantizando en todo momento la protección y seguridad adecuada contra la pérdida, acceso no autorizado, destrucción o daño accidental; haciendo uso de medidas técnicas o administrativas pertinentes.

De igual manera, el RGPD incluye importantes aportaciones como los conceptos de responsabilidad proactiva y privacidad pensados desde el diseño, siendo la base de la concepción del desarrollo de la estructura de la app, de forma que los programadores tengan presente la seguridad, privacidad y el cumplimiento del reglamento de protección de datos desde el principio de la conceptualización de la aplicación. Igualmente, realizando una Evaluación de Impactos sobre la Protección de Datos antes de recabar ninguna información.

Así mismo, es necesario revisar con las autoridades pertinentes las obligaciones a cumplir, como la designación de un delegado de protección de datos y/o realizar una concienzuda selección de encargados del tratamiento de la información, siendo necesario establecer un contrato con los más capacitados.

3. Responsabilidad proactiva

En cuanto a la responsabilidad proactiva que menciona la RGPD se debe acreditar el correcto cumplimiento de la normativa, de forma que es aconsejable la implementación de un Sistema de Gestión de Seguridad de la Información e igualmente, aplicar a procesos estandarizados que permitan la transmisión de confiabilidad a todos los usuarios como la publicación de la app en las tiendas oficiales como Google Play, App Store, Huawei, entre otros, y adherirse a códigos de conducta autorregulables, auditorías externas, y principalmente, acreditar la calidad de la aplicación mediante sellos de calidad como “AppSaludable” o la certificación CE de conformidad de la app como producto sanitario.

De igual manera, se debe informar al usuario acerca del tipo de datos que recopila la app, el tratamiento de datos y la política de privacidad, todo esto antes de que se inicie el proceso de instalación. Es necesario tener presente que esta obligación de informar, debe estar regida en todo momento por los principios de transparencia y lealtad; añadiendo toda información pertinente (incluso datos técnicos) que sea relevante. En todo momento, de forma clara, concisa, legible y de fácil entendimiento, sin saturar al usuario con textos extendidos, pudiendo hacer uso de iconos e imagen que faciliten la estructuración de la información.

El tratamiento de la información personal debe estar legitimado mediante la firma digital del consentimiento informado. Este procedimiento igualmente debe ser transparente, libre y específico para la finalidad prevista antes de que el usuario haga cualquier registro de información, de forma que debe incluirse en la aplicación un procedimiento de acción positiva para que el usuario acepte de forma explícita su otorgación. Igualmente, en el caso de los menores de edad, el consentimiento debe realizarlo el titular o responsable de su tutela, por lo que es necesario esforzarse en verificar que este proceso se ha llevado a cabo correctamente. De igual manera, deben de implementarse estrategias y mecanismos que permitan demostrar fehacientemente que el usuario ha otorgado su consentimiento, ofreciéndole además la posibilidad de retirarlo si así lo desea.

Los datos que se recolectan a través de la app debe ser de calidad, recopilando única y exclusivamente aquella información que sea pertinente para el propósito del tratamiento y reduciendo la recopilación de la misma, especialmente en los mecanismos de recogida automatizada de los datos. Igualmente, en base a los pilares de usabilidad, deben de establecerse controles y mecanismos de ayuda en los formularios de recopilación de información para garantizar que no se introduzcan datos equivocados o erróneos, intentando implementar sistemas que velen por que los datos sean ingresados una única vez, reduciendo los errores por duplicidades y permitiendo a los usuarios la modificación de estos en caso de detectar algún error.

4. Seguridad, encriptación y tratamiento de la información.

Las medidas de seguridad a implementar deben ser adecuadas, especialmente en la infraestructura del sistema de datos y en el tratamiento de la información personal, garantizando protección durante todo el tiempo, previniendo las vulnerabilidades e identificando y analizando las brechas de seguridad que pueden presentarse en la aplicación para poder actuar y mitigar desde la primera fase del desarrollo y diseño.

Entre los principales mecanismos a implementar se encuentra el cifrado en la información tanto en el almacenamiento como en la transmisión, definir un mecanismo robusto de autenticación (basado en la medida de lo posible en el doble factor y en las políticas de contraseñas seguras) y usar instrumentos para la anonimización y seudonimización como estrategias de protección válidas y seguras para los tratamientos ulteriores y la conservación de información requerida, evitándose utilizarlas como medidas para evadir el cumplimiento del reglamento.

Si pese a todos estos mecanismos de seguridad, se produjera alguna violación en la protección de la información personal, debe de seguirse un protocolo de actuación en el que se incluye la notificación a las autoridades de control y a los usuarios de la aplicación que pudieran haber sido afectados.

Además debe facilitarse a los usuarios toda la información relacionada con los derechos previstos en el RGPD mediante opciones en la misma aplicación e implementar opciones automatizadas que permitan a los usuarios conocer a detalle, con veracidad y en tiempo real todos los procedimientos y tratamientos que se llevan a cabo sobre su información personal sin necesidad de iniciar ningún acto administrativo, especialmente en el de acceso, portabilidad y en el de supresión.

Para finalizar, es necesario que los desarrolladores tomen conciencia de la importancia que tiene el garantizar el cumplimiento de la normativa sobre privacidad y protección de datos y transmitir confianza a sus usuarios, entendiendo este deber como una oportunidad para optimizar y mejorar sus procedimientos, haciendo del usuario el foco en todos los aspectos, e incluso instruyendolos en el valor de su información personal y la importancia de que ellos mismos participen activamente en la protección de sus datos.