El código de conducta de privacidad de las aplicaciones móviles de salud tiene como objetivo promover la confianza entre los usuarios y proporcionar una ventaja competitiva para aquellos que se inscriben en él.
Las primeras versiones del código de conducta para las aplicaciones móviles de salud se prepararon en el contexto de la consulta del libro verde de salud móvil de 2014 de la Comisión Europea. La consulta reveló que la gente a menudo no confía en las aplicaciones de salud móvil debido a problemas de privacidad.
Tras esta consulta, la Comisión Europea alentó a las partes interesadas de la industria a crear un código de conducta de privacidad en las aplicaciones móviles de salud con el fin de aumentar la confianza.
El objetivo era que el código de conducta obtuviera la aprobación formal de las autoridades europeas de protección de datos. En virtud del actual Reglamento General de Protección de Datos (RGPD), la función de evaluación de los códigos entra dentro del mandato del Consejo Europeo de Protección de Datos. A los códigos aprobados por el Consejo Europeo de Protección de Datos se les puede conceder validez general en toda la UE a través de un acto de ejecución.
Historial y estado actual
El trabajo sobre un código de conducta de salud móvil comenzó en abril de 2015, cuando un equipo de redacción de miembros de la industria comenzó a desarrollar el texto del código. La Comisión Europea actuó como facilitadora, proporcionando conocimientos y recursos jurídicos y políticos y supervisando el desarrollo de este trabajo.
Este equipo de redacción incluía a la App Association (ACT), App developers Alliance, Apple, COCIR, Digital Europe, ECHA, DHACA, EFPIA, Google, Intel, Microsoft, Qualcomm y Samsung. Trabajaron a través de reuniones periódicas y presentaron el trabajo en varios eventos con el fin de obtener más comentarios. La visión era que el código debería ser fácilmente comprensible para las PYME y los desarrolladores individuales que pueden no tener acceso a conocimientos jurídicos.
El equipo de redacción presentó una versión temprana del trabajo al Grupo de Trabajo del Artículo 29 en junio de 2016 para una primera ronda de comentarios. Tras varias sugerencias de mejora del Grupo de Trabajo, el Código se reelaboró (.pdf) y se presentó formalmente el 7 de diciembre de 2017, solicitando la aprobación en virtud de la Directiva de Protección de Datos.
El Grupo de Trabajo publicó su evaluación en abril de 2018. Encontró que debían aplicarse los criterios del RGPD y que el código existente aún no abordaba adecuadamente estos requisitos. Como resultado, el Código no fue aprobado.
Próximos pasos
La Comisión está comprometida con una serie de partes interesadas de la industria con el fin de fomentar un mayor desarrollo del actual proyecto de Código, de modo que pueda presentarse al Consejo Europeo de Protección de Datos en el futuro para solicitar una aprobación formal.
Disposiciones principales para los desarrolladores de aplicaciones
El borrador actual del Código consiste en una orientación práctica para los desarrolladores de aplicaciones sobre los principios de protección de datos mientras desarrollan aplicaciones móviles de salud. El Código aborda, en particular, los siguientes temas:
Consentimiento del usuario
El consentimiento del usuario para el tratamiento de datos personales debe ser libre, específico e informado. Es necesario obtener el consentimiento explícito para el procesamiento de datos de salud. Cualquier retirada del consentimiento debe dar lugar a la eliminación de los datos personales del usuario.
Limitación de la finalidad y minimización de datos
Los datos solo pueden procesarse con fines específicos y legítimos. Solo se pueden procesar los datos estrictamente necesarios para la funcionalidad de la aplicación.
Privacidad por diseño y por defecto
Las implicaciones de privacidad de la aplicación deben tenerse en cuenta en cada paso del desarrollo y dondequiera que se le dé la opción al usuario. El desarrollador de la aplicación tiene que preseleccionar la opción menos invasiva de privacidad de forma predeterminada.
Derechos del interesado y requisitos de información
El usuario tiene derecho a acceder a sus datos personales, a solicitar correcciones y a oponerse a su posterior procesamiento. El desarrollador de la aplicación debe proporcionar al usuario cierta información sobre el procesamiento.
Retención de datos
Los datos personales no pueden almacenarse más tiempo del necesario.
Medidas de seguridad
Es necesario implementar medidas técnicas y organizativas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales procesados y para proteger contra la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación, el acceso u otras formas ilegales de procesamiento.
Publicidad en aplicaciones móviles de salud
Hay una distinción entre la publicidad basada en el procesamiento de datos personales (que requiere el consentimiento de inclusión voluntaria) y la publicidad que no depende de datos personales (consentimiento de exclusión voluntaria).
Uso de datos personales con fines secundarios
Cualquier procesamiento con fines secundarios debe ser compatible con el propósito original. El procesamiento posterior con fines de investigación científica e histórica o estadísticos se considera compatible con el propósito original. El procesamiento secundario para fines no compatibles requiere un nuevo consentimiento.
Divulgación de datos a terceros para operaciones de procesamiento
El usuario debe ser informado antes de la divulgación y el desarrollador de la aplicación debe celebrar un acuerdo legal vinculante con el tercero.
Transferencias de datos
Para las transferencias de datos a un lugar fuera de la UE/EEE, debe haber garantías legales que permitan dicha transferencia, por ejemplo, una decisión de adecuación de la Comisión Europea, contratos modelo de la Comisión Europea o normas corporativas vinculantes.
Violación de datos personales
El código proporciona una lista de verificación a seguir en caso de violación de datos personales, en particular la obligación de notificar a una autoridad de protección de datos.
Datos recopilados de niños
Dependiendo del límite de edad definido en la legislación nacional, es necesario adoptar el enfoque de procesamiento de datos más restrictivo y establecer un proceso para obtener el consentimiento de los padres.
Fuente: https://digital-strategy.ec.europa.eu/en/policies/privacy-mobile-health-apps
