Código de conducta de privacidad en aplicaciones móviles de salud

El código de conducta de privacidad en las aplicaciones móviles de salud tiene como objetivo promover la confianza entre los usuarios y proporcionar una ventaja competitiva para aquellos que se inscriben en él.

Persona sosteniendo un teléfono con iconos que representan aplicaciones de salud móviles flotando por encima de él — © iStock by Getty Images - 1141201617 marchmeena29

Las primeras versiones del código de conducta para aplicaciones móviles de salud se prepararon en el contexto de la consulta del Libro Verde sobre la salud móvil de 2014 de la Comisión Europea. La consulta reveló que las personas a menudo no confían en las aplicaciones móviles de salud debido a preocupaciones de privacidad.

Tras esta consulta, la Comisión Europea alentó a las partes interesadas del sector a crear un código de conducta de privacidad en las aplicaciones móviles de salud con el fin de aumentar la confianza.

El objetivo era que el código de conducta obtuviera la aprobación formal de las autoridades europeas de protección de datos. En virtud del actual Reglamento General de Protección de Datos (RGPD), el papel de la evaluación de los códigos corresponde al mandato del Consejo Europeo de Protección de Datos. Los códigos aprobados por el Consejo Europeo de Protección de Datos pueden tener validez general en toda la UE a través de un acto de ejecución.

Historia y estado actual

El trabajo sobre un código de conducta de salud móvil comenzó en abril de 2015, cuando un equipo de redacción de miembros de la industria comenzó a desarrollar el texto del código. La Comisión Europea actuó como facilitadora, proporcionando conocimientos y recursos jurídicos y políticos y supervisando el desarrollo de este trabajo.

Este equipo de redacción incluyó la App Association (ACT), App developer Alliance, Apple, COCIR, Digital Europe, ECHA, DHACA, EFPIA, Google, Intel, Microsoft, Qualcomm y Samsung. Trabajaron a través de reuniones regulares y presentaron el trabajo en varios eventos con el fin de obtener más información. La visión era que el código debería ser fácilmente comprensible para las pymes y los desarrolladores individuales que tal vez no tengan acceso a conocimientos jurídicos.

El equipo de redacción presentó una primera versión del trabajo al Grupo de Trabajo del Artículo 29 en junio de 2016 para una primera ronda de observaciones. A raíz de varias sugerencias de mejora del Grupo, el Código se reelaboró (.pdf), y se presentó formalmente el 7 de diciembre de 2017, solicitando su aprobación en virtud de la Directiva sobre protección de datos.

El Grupo publicó su evaluación en abril de 2018. Constató que debían aplicarse los criterios del RGPD y que el código existente aún no abordaba adecuadamente estos requisitos. En consecuencia, el Código no fue aprobado.

Próximos pasos

La Comisión colabora con una serie de partes interesadas del sector con el fin de fomentar el desarrollo del actual proyecto de código, de modo que pueda presentarse en el futuro al Consejo Europeo de Protección de Datos para solicitar una aprobación formal.

Disposiciones principales para los desarrolladores de aplicaciones

El borrador actual del Código consiste en una guía práctica para los desarrolladores de aplicaciones sobre los principios de protección de datos mientras desarrolla aplicaciones móviles de salud. El Código aborda en particular los siguientes temas:

Consentimiento del usuario

El consentimiento del usuario para el tratamiento de datos personales debe ser libre, específico e informado. Es necesario obtener un consentimiento explícito para el tratamiento de datos sanitarios. Cualquier retirada del consentimiento tiene que dar lugar a la supresión de los datos personales del usuario.

Limitación de la finalidad y minimización de los datos

Los datos solo podrán ser tratados para fines específicos y legítimos. Solo se pueden procesar los datos estrictamente necesarios para la funcionalidad de la aplicación.

Privacidad por diseño y por defecto

Las implicaciones de privacidad de la aplicación deben tenerse en cuenta en cada paso del desarrollo y dondequiera que el usuario tenga una opción. El desarrollador de la aplicación tiene que preseleccionar la opción menos invasiva de privacidad por defecto.

Derechos de los interesados y requisitos de información

El usuario tiene derecho a acceder a sus datos personales, a solicitar correcciones y a oponerse a un tratamiento posterior. El desarrollador de la aplicación debe proporcionar al usuario cierta información sobre el procesamiento.

Retención de datos

Los datos personales no pueden almacenarse más tiempo del necesario.

Medidas de seguridad

Deben aplicarse medidas técnicas y organizativas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales tratados y para proteger contra la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación, el acceso u otras formas ilícitas de tratamiento.

Publicidad en aplicaciones móviles de salud

Existe una distinción entre la publicidad basada en el tratamiento de datos personales (requiere el consentimiento de aceptación) y la publicidad que no se basa en datos personales (consentimiento de exclusión voluntaria).

Uso de datos personales para fines secundarios

Cualquier tratamiento con fines secundarios debe ser compatible con el propósito original. El procesamiento posterior con fines de investigación científica e histórica o estadística se considera compatible con el propósito original. El tratamiento secundario para fines no compatibles requiere un nuevo consentimiento.

Divulgación de datos a terceros para las operaciones de tratamiento

El usuario debe ser informado antes de la divulgación y el desarrollador de la aplicación debe celebrar un acuerdo legal vinculante con el tercero.

Transferencias de datos

Para las transferencias de datos a una ubicación fuera de la UE/EEE, deben existir garantías jurídicas que permitan dicha transferencia, por ejemplo, una decisión de adecuación de la Comisión Europea, contratos modelo de la Comisión Europea o normas corporativas vinculantes.

Violación de datos personales

El código proporciona una lista de verificación a seguir en caso de violación de datos personales, en particular la obligación de notificar a una autoridad de protección de datos.

Datos recopilados de niños

En función del límite de edad definido en la legislación nacional, debe adoptarse el enfoque de tratamiento de datos más restrictivo y debe ponerse en marcha un proceso para obtener el consentimiento de los padres.

Últimas noticias

NOTICIAS | 21 noviembre 2022

Licitación: atención integrada a las personas con multimorbilidad

El objetivo de esta convocatoria es impulsar el ensayo y el desarrollo de nuevas soluciones para anticipar y abordar las necesidades de las personas que padecen multimorbilidad, garantizando el acceso oportuno a los servicios, los viajes de cuidados gestionados conjuntamente y las transiciones entre especialidades y sectores. Plazo de presentación de ofertas: 10 de enero de 2023

NOTICIAS | 17 octubre 2022

Semana Europea del Envejecimiento Activo y Saludable 2022

La Semana Europea del Envejecimiento Activo y Saludable (EWAHA) reúne a socios de toda Europa que tienen interés en promover y apoyar el envejecimiento saludable y aprovechar las oportunidades que ofrece el envejecimiento de la población europea en nuestro mundo digital.

NOTICIAS | 15 octubre 2022

Licitación: Autoasistencia basada en datos para pacientes con enfermedades crónicas en zonas rurales

Los compradores sanitarios de Suecia, España, Dinamarca y Noruega invitan a licitadores interesantes a presentar ofertas para su contratación precomercial. El objetivo es impulsar la innovación en toda Europa para permitir unos servicios basados en datos eficaces, eficientes y de fácil uso que permitan la autoasistencia de enfermedades crónicas para la población rural europea.

NOTICIAS | 13 abril 2022

Consulta abierta del mercado: PCP sobre pacientes crónicos en zonas rurales

El grupo de compradores CRANE de prestadores de asistencia sanitaria (SE, ES, NO) invita a los licitadores potencialmente interesados a participar en la consulta abierta del mercado de abril-mayo de 2022 como preparación de su próxima contratación precomercial.

Navegar @tema

Contenidos relacionados

Visión general

salud electrónica

La Comisión Europea está trabajando para proporcionar a los ciudadanos acceso a servicios digitales seguros y de alta calidad en el ámbito de la salud y la atención.

Véase también

Iniciativa Europea de Imagen del Cáncer

La Iniciativa Europea de Imagen de Cáncer desbloqueará el poder de las imágenes y la inteligencia artificial en beneficio de pacientes, médicos e investigadores con cáncer.

La Asociación Europea de Innovación sobre el Envejecimiento Activo y Saludable (EIP sobre AHA)

La Asociación Europea para la Innovación en el Envejecimiento Activo y Saludable es una iniciativa cuyo objetivo es fomentar el uso de la innovación digital para el envejecimiento activo y saludable.

Iniciativa europea «1+ Millones de Genomas»

La iniciativa 1+ Million Genomes tiene el potencial de mejorar la prevención de enfermedades, permitir tratamientos más personalizados y apoyar la investigación innovadora.

Gestión de datos de salud

La Comisión Europea adoptó una Comunicación y un documento de trabajo de los servicios de la Comisión sobre la transformación digital de la salud y la asistencia para impulsar la acción de la Unión Europea.

Intercambio de historiales médicos electrónicos en toda la UE

La Comisión Europea ha adoptado una Recomendación sobre un formato europeo de intercambio de registros médicos electrónicos para desbloquear el flujo transfronterizo de datos sanitarios.

expertos en salud electrónica

La Comisión Europea creó dos grupos de expertos que trabajan en el ámbito de la salud electrónica: el Grupo de partes interesadas de la salud electrónica y un grupo de trabajo temporal sobre salud electrónica.