TELEMEDICINA | y el uso de aplicaciones móviles: ¿Riesgo para la privacidad del paciente?

Categories Artículos
Telemedicina

Por Ana Caballero | abogada en CÓDIGO LEGAL (expertos en e-health). www.codigolegal.com

La prestación de servicios sanitarios en remoto consistentes en: el diagnóstico, la atención de especialistas, segundas opiniones médicas, educación a profesionales sanitarios, asistencia a zonas desfavorecidas o con falta de profesionales sanitarios, constituyen -entre otras-, la nueva realidad en el sector salud.

Esta realidad es viable por la utilización e integración, en el mundo de la salud, de tecnologías tales como: dispositivos móviles, aplicaciones y la utilización de redes de datos y de comunicación ajenos al entorno sanitario.

Es evidente que, para diagnosticar o prestar un servicio de asistencia sanitaria, la información es un recurso fundamental que le permite al profesional sanitario la toma de decisiones, y que además, si la prestación del servicio se materializa mediante la telemedicina, puede constituir y ofrecer múltiples beneficios siempre que se mantenga el respecto por los derechos de las personas, su privacidad y la protección de sus datos personales.

¿Se puede utilizar un dispositivo móvil para la prestación de este tipo de servicios preservando la privacidad del paciente? La respuesta es sí, cuando el ecosistema digital (dispositivo, aplicación y red de comunicación) por el que viajan los datos de salud del paciente, sea un entorno seguro que cumple con los requisitos y la normativa de privacidad, y al que se le aplican medidas de seguridad adecuadas para proteger datos sensibles, especialmente protegidos.

Ahora bien, teniendo que cuenta que lo que se presta es un servicio en remoto, la seguridad de la red de comunicación por donde viajan los datos es de vital importancia. En este sentido, la normativa vigente exige, cuando la transmisión de datos de carácter personal se realice a través de redes públicas o redes inalámbricas de comunicaciones electrónicas, que se lleve a cabo cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Otro aspecto a tener en cuenta es si la red de comunicación almacena los datos de salud o sólo los transmite, y –para el caso de que se almacene- habrá que considerar si los servidores, donde se almacenan los datos, están fuera -o no-, del espacio económico europeo y si la categoría de las medidas de seguridad que aplican son similares a las exigidas por España, por existir tratados internacionales de puerto seguro en este sentido, o bien, y para el caso de Estados Unidos, si las empresas proveedoras del servicio de comunicación o de descarga de la aplicación, se han adherido al “Private Shield”. Recordemos que hay sanciones económicas que pueden ir hasta los seiscientos mil euros.

En la actualidad, el empleo de Apps en el entorno sanitario, debe adecuarse a la reciente normativa aprobada en la Unión Europea mediante el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“GDPR”, en adelante), a la Directiva 93/42/CE sobre Productos Sanitarios, y al borrador del código de conducta de privacidad para aplicaciones móviles de salud, que en la actualidad se encuentra bajo el análisis del Grupo del Artículo 29.

Este código de conducta, que se basa en los mismos principios incluidos en el GDPR, exige a las aplicaciones m-health que:

  1. El Consentimiento sea explicito, que los pacientes lo otorguen antes de la instalación de la aplicación y que previamente hayan sido informados con una política compresible, clara, eliminando grandes textos legales y presentada “user-frienly”;
  2. La Información al Usuario establezca la finalidad, la identidad del desarrollador, información de contacto (preguntas, ejercicio de derechos incluyendo el derecho de portabilidad), los destinatarios de los datos y dónde se almacenan (si no se quedan en el propio dispositivo);
  3. En caso de Retención de Datos que existan criterios claros sobre cómo se borran los datos sin acción del paciente, o si en el caso de desinstalación de la App, al paciente se le pregunte si quiere borrar los datos, local o remotamente, o los dos;
  4. Que se garantice la Seguridad (confidencialidad, integridad y disponibildiad) mediante un proceso de gestión del riesgo de brechas de seguridad que permitan identificar las medidas de seguridad apropiadas para la prestación del servicio de telemedicina que se este prestando; y que existan procedimientos de monitorización, reporte y gestión de incidencias y notificación de brechas de seguridad.

En resumen, un nuevo reto para el profesional sanitario u hospital, quien -como responsable del fichero y/o el tratamiento de datos de salud del paciente-, deberá garantizar que sus proveedores tecnológicos cumplen estrictamente con la normativa marcada en el GDPR, siendo en caso contrario, responsable del uso inadecuado, ilegal y de los daños producidos en la esfera de la privacidad del paciente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *