Código de conduta de privacidade em aplicações móveis de saúde

As primeiras versões do código de conduta para as aplicações móveis de saúde foram elaboradas no contexto da consulta da Comissão Europeia sobre o Livro Verde sobre saúde móvel de 2014. A consulta revelou que, muitas vezes, as pessoas não confiam em aplicações móveis de saúde devido a preocupações de privacidade.

Na sequência desta consulta, a Comissão Europeia incentivou as partes interessadas do setor a criarem um código de conduta sobre a privacidade das aplicações móveis de saúde, a fim de aumentar a confiança.

O objetivo era que o código de conduta obteria a aprovação formal das autoridades europeias de proteção de dados. Nos termos do atual Regulamento Geral sobre a Proteção de Dados (RGPD), o papel da avaliação dos códigos é abrangido pelo mandato do Comité Europeu para a Proteção de Dados. Os códigos aprovados pelo Comité Europeu para a Proteção de Dados podem beneficiar de uma validade geral em toda a UE através de um ato de execução.

Histórico e estado atual

O trabalho sobre um código de conduta móvel de saúde começou em abril de 2015, quando uma equipa de redação de membros da indústria começou a desenvolver o texto do código. A Comissão Europeia atuou como facilitadora, fornecendo conhecimentos e recursos jurídicos e políticos e supervisionando o desenvolvimento deste trabalho.

Esta equipa de redação incluiu a App Association (ACT), App Developer Alliance, Apple, COCIR, Digital Europe, ECHA, DHACA, EFPIA, Google, Intel, Microsoft, Qualcomm e Samsung. Trabalharam em reuniões regulares e apresentaram o trabalho em vários eventos, a fim de obter mais feedback. A visão era que o código deveria ser facilmente compreensível para as PME e os promotores individuais que podem não ter acesso a conhecimentos jurídicos especializados.

Em junho de 2016, a equipa de redação apresentou ao Grupo do Artigo 29.º uma versão inicial dos trabalhos para uma primeira ronda de reações. Na sequência de várias sugestões de melhoria por parte do Grupo de Trabalho, o Código foi reformulado (.pdf), e formalmente apresentado em 7 de dezembro de 2017, solicitando a aprovação ao abrigo da Diretiva Proteção de Dados.

O Grupo publicou a sua avaliação em abril de 2018. Concluiu que os critérios do RGPD devem ser aplicados e que o código existente ainda não abordou adequadamente estes requisitos. Consequentemente, o Código não foi aprovado.

Próximos passos

A Comissão está envolvida com uma série de partes interessadas do setor, a fim de incentivar o desenvolvimento do atual projeto de código, para que este possa ser apresentado ao Comité Europeu para a Proteção de Dados no futuro para obter uma aprovação formal.

Principais disposições para desenvolvedores de aplicativos

O atual projeto do Código consiste em orientações práticas para os criadores de aplicações sobre os princípios de proteção de dados, ao mesmo tempo que desenvolvem aplicações móveis de saúde. O Código aborda, nomeadamente, os seguintes temas:

Consentimento do utilizador 

O consentimento do utente para o tratamento de dados pessoais deve ser livre, específico e informado. É necessário obter o consentimento explícito para o tratamento de dados relativos à saúde. Qualquer retirada do consentimento tem de resultar na eliminação dos dados pessoais do utilizador.

Limitação da finalidade e minimização dos dados

Os dados só podem ser tratados para fins específicos e legítimos. Apenas os dados estritamente necessários para a funcionalidade do aplicativo podem ser processados.

Privacidade desde a conceção e por defeito

As implicações para a privacidade do aplicativo devem ser consideradas em cada etapa do desenvolvimento e onde quer que o utente tenha uma escolha. O desenvolvedor do aplicativo tem que pré-selecionar a escolha menos invasiva de privacidade por padrão.

Direitos dos titulares dos dados e requisitos de informação

O utilizador tem o direito de aceder aos seus dados pessoais, de solicitar correções e de se opor ao tratamento posterior. O desenvolvedor do aplicativo precisa fornecer ao utente certas informações sobre o processamento.

Retenção de dados 

Os dados pessoais não podem ser armazenados mais tempo do que o necessário.

Medidas de segurança

Devem ser aplicadas medidas técnicas e organizativas para garantir a confidencialidade, a integridade e a disponibilidade dos dados pessoais tratados e para proteger contra a destruição, perda, alteração, divulgação, acesso ou outras formas ilegais de tratamento, acidental ou ilegal.

Publicidade em aplicações móveis de saúde

Existe uma distinção entre a publicidade baseada no tratamento de dados pessoais (que exige o consentimento de adesão) e a publicidade que não se baseia em dados pessoais (consentimento de não participação).

Utilização de dados pessoais para fins secundários

Qualquer tratamento para fins secundários tem de ser compatível com a finalidade original. O tratamento posterior para fins de investigação científica e histórica ou para fins estatísticos é considerado compatível com a finalidade original. O tratamento secundário para fins não compatíveis requer um novo consentimento.

Divulgação de dados a terceiros para operações de tratamento

O utente precisa ser informado antes da divulgação e o desenvolvedor do aplicativo precisa celebrar um acordo legal vinculativo com o terceiro.

Transferências de dados

Para as transferências de dados para um local fora da UE/EEE, é necessário prever garantias jurídicas que permitam essa transferência, por exemplo, uma decisão de adequação da Comissão Europeia, dos contratos-modelo da Comissão Europeia ou das regras vinculativas aplicáveis às empresas.

Violação de dados pessoais

O código fornece uma lista de controlo a seguir em caso de violação de dados pessoais, em especial a obrigação de notificar uma autoridade de proteção de dados.

Dados recolhidos de crianças

Dependendo do limite de idade definido na legislação nacional, é necessário adotar a abordagem mais restritiva em matéria de tratamento de dados e instaurar um processo para obter o consentimento dos pais.