La Comisión Europea presenta el borrador del código de conducta de privacidad para aplicaciones móviles de salud

Written on 26 Oct 2016

La adhesión al código de conducta finalmente aprobado representará una ventaja competitiva para sus miembros ya que las aplicaciones que éstos desarrollen serán incluidas en un registro de consulta pública acreditando que éstas respetan la normativa europea de protección de datos.

El incesante crecimiento de las aplicaciones móviles de salud (o más popularmente conocidas como mHealth apps) y la desconfianza que éstas suelen generar en el mercado ha provocado que los organismos europeos promuevan la creación de un código de conducta de privacidad para aplicaciones móviles de salud, dirigido a sus desarrolladores.

La elaboración de códigos de conducta en materia de protección de datos ya se preveía en la Directiva 95/46/CE, aunque el Reglamento General de Protección de Datos de la Unión Europea (el “RGPD“) parece otorgar a éstos un mayor protagonismo en lo que se refiere, en particular, a su ámbito subjetivo y territorial, así como en los procedimientos de elaboración, adopción y supervisión.

La Comisión Europea destaca los beneficios sociales que proporcionan las mHealth apps, pero al mismo tiempo es consciente de sus particularidades y de la tipología de datos que tratan y, en consecuencia, de la protección que debe otorgárseles. Por ello, el código de conducta pretende configurarse como una herramienta que, por un lado, motive el desarrollo de aplicaciones que respeten y garanticen la privacidad de sus usuarios y, por otro, fomente la confianza de los usuarios de que sus datos serán tratados respetando los principios establecidos en la normativa europea de protección de datos.

Los principios en los que se basa el código de conducta no son más que el reflejo de aquellos incluidos explícitamente en el RGPD. De hecho, no es casualidad que el código esté dirigido únicamente a los desarrolladores de aplicaciones, pues son éstos quienes en el diseño de las mismas deben garantizar el pleno respeto a los principios de privacidad desde el diseño y por defecto, entre otros.

Conscientes de la gran variedad de aplicaciones existentes en el ámbito de la salud que pueden generar dudas en torno a la tipología de datos objeto de tratamiento, el borrador del código de conducta define qué debe entenderse por datos relativos a la salud y proporciona ejemplos para distinguirlos de datos básicos que divulgan el estilo de vida.

El borrador del código clarifica lo que viene a denominarse “tratamiento para fines secundarios” y en qué situaciones pueden utilizarse los datos personales para fines distintos a los que fueron recabados. En este sentido, el código resalta que únicamente podrán utilizarse los datos para fines distintos a los que fueron inicialmente recabados si los mismos son compatibles, como podría ser el tratamiento de datos con fines de investigación científica o histórica o para fines estadísticos en la medida en que dichos tratamientos se realicen de conformidad con la legislación nacional que sea de aplicación a este segundo tratamiento. Este concepto debe interpretarse restrictivamente, ya que no todo análisis de big data puede considerarse compatible. Así, en la medida en que el tratamiento secundario diste del contexto en el que se recabaron los datos (por ejemplo, el análisis de los datos para fines comerciales) deberá recabarse el consentimiento del sujeto afectado con carácter previo.

Destacan asimismo los requisitos que deben observarse cuando los desarrolladores de mHealth apps inserten publicidad relacionada con el contexto de la salud. Si la publicidad se muestra sin utilizar datos personales de los usuarios ni implica la cesión de los mismos a terceros, será suficiente con que el desarrollador de la aplicación faculte al usuario a manifestar su negativa a que se le muestre tal publicidad. En caso contrario, se requerirá el previo consentimiento explícito y separado de los usuarios para mostrarles dicha publicidad contextual.

Aunque el borrador del código de conducta es objeto de revisión por el Grupo de Trabajo del Artículo 29, el texto ya proporciona unas pautas y herramientas que pueden servir de guía para que los desarrolladores creen aplicaciones respetuosas con la normativa europea de protección de datos. En consecuencia, una vez el código de conducta haya sido finalmente aprobado, es recomendable que los desarrolladores de las aplicaciones de salud se adhieran al mismo pues esta circunstancia mostrará el cumplimiento con unas correctas prácticas de protección de datos, otorgándole valor añadido a la aplicación. No obstante, los desarrolladores deben ser conscientes de la necesidad de prestar atención a otras normativas igualmente importantes, como lo son la legislación de comercio electrónico y de productos sanitarios.