Código de conducta de privacidad en aplicaciones móviles de salud

El código de conducta de privacidad en las aplicaciones móviles de salud tiene como objetivo promover la confianza entre los usuarios y proporcionar una ventaja competitiva para aquellos que se suscriben a él.

Las primeras versiones del código de conducta para las aplicaciones sanitarias móviles se prepararon en el contexto de la consulta del Libro Verde sobre salud móvil de 2014 de la Comisión Europea. La consulta reveló que las personas a menudo no confían en las aplicaciones móviles de salud debido a preocupaciones de privacidad.

Tras esta consulta, la Comisión Europea animó a las partes interesadas de la industria a crear un código de conducta sobre privacidad en las aplicaciones móviles de salud con el fin de aumentar la confianza.

El objetivo era que el código de conducta obtuviera la aprobación formal de las autoridades europeas de protección de datos. En virtud del actual Reglamento General de Protección de Datos (RGPD), la función de evaluación de los códigos recae en el mandato del Comité Europeo de Protección de Datos. Los códigos aprobados por el Consejo Europeo de Protección de Datos pueden tener validez general en toda la UE mediante un acto de ejecución.

Historia y estado actual

El trabajo sobre un código de conducta de salud móvil comenzó en abril de 2015, cuando un equipo de redacción de miembros de la industria comenzó a desarrollar el texto del código. La Comisión Europea actuó como facilitadora, proporcionando conocimientos y recursos jurídicos y políticos y supervisando el desarrollo de este trabajo.

Este equipo de redacción incluyó la App Association (ACT), App developers Alliance, Apple, COCIR, Digital Europe, ECHA, DHACA, EFPIA, Google, Intel, Microsoft, Qualcomm y Samsung. Trabajaron a través de reuniones regulares y presentaron el trabajo en varios eventos para obtener más comentarios. La visión era que el código debería ser fácilmente comprensible para las pymes y los desarrolladores individuales que pueden no tener acceso a conocimientos jurídicos.

El equipo de redacción presentó una primera versión del trabajo al Grupo de Trabajo del Artículo 29 en junio de 2016 para una primera ronda de comentarios. A raíz de varias sugerencias de mejora del Grupo, el Código se reelaboró (.pdf) y se presentó formalmente el 7 de diciembre de 2017, solicitando su aprobación con arreglo a la Directiva sobre protección de datos.

El Grupo publicó su evaluación en abril de 2018. Consideró que debían aplicarse los criterios del RGPD y que el código existente aún no abordaba adecuadamente estos requisitos. Como resultado, el Código no fue aprobado.

Próximos pasos

La Comisión está colaborando con una serie de partes interesadas del sector con el fin de fomentar un mayor desarrollo del actual proyecto de Código, de modo que pueda presentarse al Consejo Europeo de Protección de Datos en el futuro para solicitar una aprobación formal.

Disposiciones principales para los desarrolladores de aplicaciones

El borrador actual del Código consiste en una guía práctica para los desarrolladores de aplicaciones sobre los principios de protección de datos al desarrollar aplicaciones móviles de salud. El Código aborda, en particular, los siguientes temas:

Consentimiento del usuario

El consentimiento del usuario para el tratamiento de datos personales debe ser libre, específico e informado. Es necesario obtener el consentimiento explícito para el tratamiento de los datos sanitarios. Cualquier retirada del consentimiento tiene que dar lugar a la eliminación de los datos personales del usuario.

Limitación de la finalidad y minimización de los datos

Los datos pueden ser procesados solo para fines específicos y legítimos. Solo se procesarán los datos estrictamente necesarios para la funcionalidad de la aplicación.

Privacidad por diseño y por defecto

Las implicaciones de privacidad de la aplicación deben considerarse en cada paso del desarrollo y donde sea que se le dé al usuario una opción. El desarrollador de la aplicación tiene que preseleccionar la opción menos invasiva para la privacidad de forma predeterminada.

Derechos de los interesados y requisitos de información

El usuario tiene derecho a acceder a sus datos personales, solicitar correcciones y oponerse a un tratamiento posterior. El desarrollador de la aplicación debe proporcionar al usuario cierta información sobre el procesamiento.

Conservación de datos

Los datos personales no pueden almacenarse más tiempo del necesario.

Medidas de seguridad

Deben aplicarse medidas técnicas y organizativas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales tratados y para proteger contra la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación, el acceso u otras formas ilícitas de tratamiento.

Publicidad en aplicaciones móviles de salud

Existe una distinción entre la publicidad basada en el tratamiento de datos personales (que requiere el consentimiento de inclusión voluntaria) y la publicidad que no se basa en datos personales (consentimiento de exclusión voluntaria).

Uso de datos personales con fines secundarios

Cualquier tratamiento para fines secundarios debe ser compatible con el propósito original. El procesamiento posterior con fines de investigación científica e histórica o estadística se considera compatible con el propósito original. El tratamiento secundario para fines no compatibles requiere un nuevo consentimiento.

Divulgación de datos a terceros para operaciones de tratamiento

El usuario debe ser informado antes de la divulgación y el desarrollador de la aplicación debe celebrar un acuerdo legal vinculante con el tercero.

Transferencias de datos

Para las transferencias de datos a un lugar fuera de la UE / EEE, es necesario que existan garantías legales que permitan dicha transferencia, por ejemplo, una decisión de adecuación de la Comisión Europea, modelos de contratos de la Comisión Europea o normas corporativas vinculantes.

Violación de datos personales

El código proporciona una lista de control a seguir en caso de violación de datos personales, en particular la obligación de notificar a una autoridad de protección de datos.

Datos obtenidos de los niños

Dependiendo del límite de edad definido en la legislación nacional, es necesario adoptar el enfoque de tratamiento de datos más restrictivo y poner en marcha un proceso para obtener el consentimiento de los padres.

Últimas noticias

The IT system is accessed by a Doctor's fingerprint on the virtual screen.

Comunicado de prensa
15 enero 2025

La Comisión presenta un plan de acción para proteger al sector sanitario de los ciberataques

La Comisión ha presentado un plan de acción de la UE destinado a reforzar la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria. Este Plan de Acción se anunció en las orientaciones políticas de la presidenta Von der Leyen como una prioridad clave en los primeros cien días del nuevo mandato.

Noticias
21 noviembre 2022

Licitación: atención integrada a las personas con multimorbilidad

El objetivo de esta convocatoria es impulsar el ensayo y el desarrollo de nuevas soluciones para anticipar y abordar las necesidades de las personas que padecen multimorbilidad, garantizando el acceso oportuno a los servicios, los viajes de cuidados gestionados conjuntamente y las transiciones entre especialidades y sectores. Plazo de presentación de ofertas: 10 de enero de 2023

Image of houses on a street overlooking a canal in Gdansk, Poland. Graphics reads 'The European Week of Active and Healthy Ageing 18-20 October Gdansk Poland'.

Noticias
17 octubre 2022

Semana Europea del Envejecimiento Activo y Saludable 2022

La Semana Europea del Envejecimiento Activo y Saludable (EWAHA) reúne a socios de toda Europa que tienen interés en promover y apoyar el envejecimiento saludable y aprovechar las oportunidades que ofrece el envejecimiento de la población europea en nuestro mundo digital.

Noticias
15 octubre 2022

Licitación: Autoasistencia basada en datos para pacientes con enfermedades crónicas en zonas rurales

Los compradores sanitarios de Suecia, España, Dinamarca y Noruega invitan a licitadores interesantes a presentar ofertas para su contratación precomercial. El objetivo es impulsar la innovación en toda Europa para permitir unos servicios basados en datos eficaces, eficientes y de fácil uso que permitan la autoasistencia de enfermedades crónicas para la población rural europea.

Navegar @tema

Contenidos relacionados

Visión general

Sanidad electrónica

La Comisión Europea está trabajando para proporcionar a los ciudadanos acceso a servicios digitales seguros y de alta calidad en el ámbito de la salud y la asistencia.