La pulsera inteligente o pulseras healthcare ha pasado desde hace algunos años, a formar parte de nuestro día a día, integrándose con naturalidad en nuestras rutinas e interconectándose con nuestros dispositivos inteligentes.
Dicha conexión se realiza una vez que se han volcado datos personales en la aplicación que la controla. Es en ese momento cuando comienza a ser aplicable la normativa en materia de protección de datos.
Normativa Aplicable
La normativa aplicable en las aplicaciones de e-salud, es la siguiente:
- El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos General de Protección de Datos (RGPD),
- La Ley Orgánica 3/2018, de 5 de Diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales LOPDGDD.
Datos personales vs NO personales
La compra de un dispositivo wearable en sí misma, no conlleva la aplicación automática de la normativa en materia de protección de datos. Para que dicha normativa tenga incidencia se requiere por parte del usuario registrarse en la aplicación de funcionamiento introduciendo datos de carácter personal.
Posibles datos que solicita la pulsera healthcare
Es posible que la pulsera inteligente nos solicite una serie de datos, tales como edad, peso, estatura, etc. Dichos datos, como tal, no son considerados como datos personales. El RGPD determina que un dato personal es todo aquel dato mediante el cual se pueda distinguir a una persona física determinada. Este es el caso de datos como el nombre y apellidos o correo electrónico, que incluimos a la hora de registrarnos en la aplicación.
Aunque también es posible que nos muestre una serie de consejos de salud personalizados o herramientas, como la monitorización del ritmo cardíaco, sin necesidad de incluir datos personales en ella, es decir, sin registrarnos en la aplicación, en base al tratamiento de datos no personales y por tanto no identificables como son la edad, peso, estatura o hábitos de sueño.
Además, el campo de la e-salud trata datos sensibles, como son los datos sanitarios, regulados en el RGPD, ya que suelen integrarse información referente a enfermedades que pueda padecer el usuario, alergías, cardiopatías, diabetes, etc.
Debido al tratamiento de datos sensibles, juega especial importancia la seudonimización y anonimización de estos datos.
Los datos seudonimizados, son los que nos permiten identificar a una persona, por medio por ejemplo, de un código asociado a ese nombre o correo electrónico.
La anonimización de estos datos, impediría la identificación de la persona física, de forma directa e indirecta.
Los datos seudonimizados, se regulan en el Reglamento General de Protección de Datos. Sin embargo, los datos personales convertidos en anónimos, anonimizados, están regulados en el Reglamento (UE) 2018/1807 de libre circulación de datos no personales.
- Asistentes virtuales que reproducen tu música y responden en el acto a tus preguntas, hasta incluso pueden bromear contigo, si así lo deseas.
- La chaqueta inteligente de una popular marca vaquera, es una buena prueba de ello. La prenda aparentemente normal y común, cuenta con un dispositivo en la manga desde el que puedes dirigir tu smartphone; conectado mediante sensores a tu teléfono inteligente. Gafas, trajes, pijamas, medias, ropa de baño… son simplemente una pequeña muestra de un largo etcétera de prendas y objetos inteligentes.
Riesgos para la privacidad de dispositivos inteligentes
Esta amalgama de objetos cotidianos interconectados entre sí, extraen nuestros datos y es por ello que debemos ser especialmente cuidadosos con los datos que se introducen, y comprobar que las aplicaciones que se van a utilizar disponen de los textos legales sobre protección de datos.
Pero, ¿qué implicaciones tiene esto para la seguridad de nuestra privacidad?
Los riesgos de esta extracción de datos son múltiples: el rastreo mediante sistemas de posicionamiento global (GPS), incluso cuando el GPS se encuentre desactivado sería posible detectar la ubicación del dispositivo, mediante la extracción de datos; la cesión de estos datos a un proveedor desconocido; elaboración de perfiles de usuario en base a los patrones de conducta que se registren, que pueden tener como resultado la publicidad basada en intereses, también conocida como publicidad personalizada; o el fortalecimiento del avance de la inteligencia artificial, que puede prever nuestro comportamiento, o incluso modificarlo.
La AEPD ha dado algunas medidas a tomar, entre las que se encuentra:
- Desactivar la personalización de anuncios, con el fin de evitar que se cree un perfil del usuario. Para ello, resultaría necesario deshabilitar la publicidad personalizada en los ajustes de Google e instalar únicamente apps que garanticen un nivel de seguridad adecuado.
- Comprobar que los encargados del tratamiento, deben cumplir con el RGPD.
- Para aquellas aplicaciones que tienen acceso a la pantalla de los dispositivos, conforme al artículo 13 del RGPD, estas deben cumplir con el principio de transparencia. Para cumplir con dicho principio, se debe informar previamente al usuario de los tratamientos que se van a realizar. Es por ello, que la grabación de la pantalla no se podrá producir cuando el usuario no es consciente de dicha grabación. Esta información debería facilitarse al usuario a través de una política de privacidad, en el momento en el que se va a descargar la aplicación, y una vez que esté debidamente informado, que sea el propio usuario el que consienta o no.