Nuestra recomendación a los usuarios de aplicaciones es que sean cuidadosos, y que lean siempre la política de privacidad de las apps que se instalan. Es necesario para saber qué permisos están otorgando y que información van a compartir. Pero hoy nos vamos a centrar en las responsabilidades de los desarrolladores de las aplicaciones y de las organizaciones que disponen de una de ellas.
En nuestro anterior artículo hablábamos de la gran importancia de la privacidad en las apps de salud mental. En realidad, podríamos haber estado hablando en casi todo momento del conjunto de las apps de Salud, ya sean sanitarias, o de bienestar, nutrición y deporte. Ya que todas recogen información muy sensible del usuario.
Directrices de la AEPD para las aplicaciones de Salud
Hoy solo vamos a hablar de privacidad, pero hay que recordar que, dentro de las aplicaciones de Salud, una parte de ellas, alrededor del 30% según algunos estudios, son apps sanitarias. Son verdaderos productos sanitarios, sujetos, por tanto, a legislaciones específicas que ya hemos comentado.
Hablando ya de privacidad, como decíamos en el artículo dedicado a las aplicaciones de salud mental, existen diversos documentos que pueden servir de guía para las empresas que quieren lanzar una app de Salud. O para las que, como en nuestro caso, somos especialistas en el desarrollo de proyectos para el sector farmacéutico o de Salud.
Nosotros vamos a comentar hoy brevemente la nota técnica que publicó la Agencia Española de Protección de Datos, en noviembre de 2019. Esta nota incluye directrices sobre “el deber de informar y otras medidas de responsabilidad proactiva en aplicaciones móviles del ámbito educativo y el de la actividad física, bienestar y salud”. Si la AEPD actualiza esta información os lo contaremos por esta misma vía.
Esta nota técnica se desarrolló en colaboración con la Universidad Politécnica de Madrid. Se dirige tanto a las organizaciones responsables del tratamiento de datos de aplicaciones móviles, como a los encargados de desarrollarlas. Vamos a hacer un breve resumen de algunas de las directrices. Para ampliar la información es conveniente dirigirse al enlace propuesto.
- La información que se proporcione a los usuarios sobre el tratamiento de sus datos personales tiene que cumplir la legislación. Tanto el Reglamento General de Protección de Datos (RGPD) como la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- Esta información constituye la política de privacidad, que ha de estar disponible tanto en la propia app, como en las diversas tiendas de aplicaciones.
- El acceso a la política de privacidad ha de ser sencillo. Y se ha de poder consultar antes de instalar la app y después en cualquier momento.
- El responsable del tratamiento de los datos tiene que estar claramente identificado en la política de privacidad.
- La información sobre el tratamiento de los datos ofrecida en la propia app y en la tienda de aplicaciones tiene que ser la misma. Y tiene que ser completa.
- El lenguaje en el que se redacta la política de privacidad tiene que ser el adecuado para el público objetivo. Hay que tener en cuenta aspectos con la edad y el idioma habitual del usuario.
- Lo que se cuenta en la política de privacidad ha de ser concreto y especifico sobre el tratamiento que se va a hacer con los datos. Dicho de forma coloquial, hay que ir al grano y no “marear al usuario” con información genérica.
- La política de privacidad ha de incluir toda la información sobre el tratamiento de los datos personales que se va a realizar. Hay que concretar qué datos son imprescindibles para un funcionamiento básico de la web y cuáles son opcionales. Hay que precisar qué permisos puede solicitar la app y con qué finalidad, y para qué tratamiento se piden. El usuario ha de tener claro cómo gestionar estos permisos, es decir, cómo otorgarlos y cómo revocarlos.
- Si la legitimación para el tratamiento de los datos personales se pide a través del consentimiento, se tiene que solicitar de forma independiente para cada tratamiento y finalidad. No se debe condicionar el uso y la instalación de la app a que el usuario otorgue un consentimiento que no sea necesario para el funcionamiento básico de la app.
- No hay que incluir cláusulas ambiguas o que no signifiquen nada en concreto.
- Por el contrario, sí que hay que incluir información concreta sobre el periodo de retención de los datos y sobre qué sucede con ellos una vez ese periodo finaliza.
- También hay que incluir información precisa “relativa a la lógica aplicada en la elaboración de perfiles y toma de decisiones automatizadas”. Se refiere, por ejemplo, a qué información se utiliza para mostrar anuncios personalizados.
- Hay que definir con claridad las finalidades del tratamiento de los datos. También hay que indicar qué tipo de datos se recogen para cada una de las finalidades. Y las bases legales del tratamiento de los datos.
- Hay que informar a los usuarios sobre sus derechos en materia de protección de datos.
- Si existen, hay que informar de las transferencias internacionales de datos.
La nota técnica que estamos desgranando también incluye directrices para el caso en el que los responsables del tratamiento de los datos encarguen “el desarrollo, puesta en producción y/o explotación de aplicaciones a terceras partes con acceso a datos personales”. Obviamente, un acuerdo de este tipo pasa por la adecuada redacción de un contrato de encargo, para que un tercero cumpla con todo lo mencionado con la misma precisión.
Más información sobre política de privacidad y apps de Salud
Sin salir de la web de la Agencia Española de Protección de Datos, y desde la propia nota técnica que hemos analizado, se puede acceder a cuatro documentos más de gran interés si se quiere profundizar más en el tema de la privacidad. Una parte importante es, como hemos visto, informar de la forma más correcta posible a los usuarios a través de la precisa redacción de la política de privacidad de la aplicación. Los documentos son:
- Guía para el cumplimiento del deber de informar
- Decálogo para la adaptación al RGPD de las políticas de privacidad en internet
- Guía del RGPD para responsables de tratamiento
- Directrices para elaborar contratos entre responsables y encargados de tratamiento
Recomendamos también la consulta del documento que comentamos en el artículo anterior: Código de conducta de privacidad en aplicaciones móviles de salud. Este documento fue elaborado en el seno de la Comisión Europea, aunque finalmente fue aparcado en 2018 porque no se abordaban correctamente los requisitos del RGPD. Pero toca aspectos muy interesantes como Uso de datos personales para fines secundarios y la Divulgación de datos a terceros para las operaciones de tratamiento.
