Legal, Privacy & Tech Blog.

hands-holding-heart_23-2148172201

Aplicațiile de sănătate: protecția datelor, siguranță și viață privată.




Într-o societate aflată în plină expansiune tehnologică și digitală, aplicațiile de sănătate precum Apple Health, Google Fit, Fitbit, Strava, SymTrac și multe altele au crescut exponențial, având un număr crescând de utilizatori de toate vârstele. Evident, obiectivul declarat al acestor aplicații este îmbunătățirea calității vieții prin monitorizarea constantă a sănătății, prin depistarea timpurie a unor simptome care ar putea indica o maladie, sprijinirea actului medical, și, nu în ultimul rând, promovarea unui stil de viață activ și sănătos, toate acestea prin simpla descărcare gratuită a aplicației și conferirea acordului cu privire la prelucrarea datelor cu caracter personal de către aceasta.

Este predictibil faptul că multiplele avantaje sunt, într-o formă sau alta, contrabalansate prin anumite aspecte mai puțin transparente.  Dacă în 2014, un articol publicat de către BBC News concluziona că aplicațiile de sănătate reprezintă ”vești bune”[1], prin numeroasele facilități puse la dispoziția utilizatorilor printr-un simplu click, tot BBC News, 5 ani mai târziu, trage un semnal de alarmă cu privire la aceste aplicații, afirmând că reprezintă un ”risc fără precedent pentru viața privată”.[2] Această schimbare de abordare se fundamentează, bineînțeles, pe sporirea preocupării legiuitorului, a celorlalte autorități relevante, precum și a utilizatorilor pentru protecția vieții private și a prelucrării legale a datelor cu caracter personal, având în vedere că aceste aplicații colectează o cantitate îngrijorătoare de date personale considerate ”date cu caracter special” în temeiul art. 9 RGPD (date privind sănătatea) și că acest tip de date merită o protecție suplimentară.

Te-ar putea interesa și:

1.Aplicațiile de sănătate – motive de îngrijorare

După cum am menționat deja, un prim motiv de îngrijorare este cantitatea vastă de date personale care sunt colectate. Aplicațiile de sănătate colectează date precum: numele utilizatorilor, detalii despre locație, despre dispozitiv, despre sistemul de operare, istoricul căutărilor de pe Internet, cookie-uri, adrese de e-mail[3], precum și, evident, informații legate de sănătatea fizică sau mentală a utilizatorilor. Cu privire la ultima categorie, aceste aplicații colectează date referitoare la: numărul de pași efectuați, activitatea fizică, calendarul menstrual, sarcina, dieta, alimentația, greutatea corporală, înălțimea, ritmul cardiac[4], nivelul glicemiei[5], simptome ale diverselor boli, progresul efectuat în tratarea anumitor boli și multe altele. De asemenea, aplicațiile mai recente oferă posibilitatea completării unui chestionar de către utilizatori în vederea atribuirii unui diagnostic și a unui eventual tratament în privința stării psihice a utilizatorului. De exemplu, în viitorul apropiat se apreciază că prin aceste aplicații se poate ajunge la concluzia că utilizatorul suferă de depresie, are anumite fobii sau că necesită anumite terapii comportamentale cognitive.[6]

Desigur, toate aceste date sunt colectate și prelucrate, în principiu, cu scopul prestării serviciului oferit prin aplicația respectivă sau având consimțământul expres al utilizatorului, având în vedere că acesta, în cazul celor mai multe aplicații de sănătate, este nevoit să introducă el însuși datele referitoare la propria sănătate (de exemplu, nivelul glicemiei măsurat în ziua respectivă, greutatea corporală, calendarul menstrual). Se poate afirma că introducerea manuală a acestor date echivalează cu un consimțământ expres al utilizatorului. Așadar, cerințele art. 6 și 9 ale RGPD ar fi satisfăcute. De asemenea, nu este prea dificil pentru aceste aplicații să obțină încrederea utilizatorilor, în virtutea așteptărilor acestora că datele lor privind sănătatea sunt manipulate într-o manieră similară modului în care instituțiile sanitare (spitale, clinici, cabinetele medicilor de familie etc.) manipulează datele pacienților. În realitate însă, s-a apreciat că aplicațiile de sănătate nu oferă un nivel de protecție a vieții private nici măcar comparabil cu cel oferit de instituțiile sanitare.[7]

Un al doilea motiv de îngrijorare este utilizarea abuzivă a datelor cu caracter special ale utilizatorilor colectate de către furnizorii aplicațiilor de sănătate. Concret, riscul rezidă în partajarea acestor date cu companii terțe. Așadar, scopul prelucrării acestor date excede semnificativ sfera prestării serviciului. S-a arătat printr-un studiu că, dintr-un eșantion de 24 de aplicații de sănătate, 19 dintre acestea partajează datele utilizatorilor cu companii terțe, fără acordul sau înștiințarea utilizatorului.[8]

 

KIT GDPR Premium

 

2. Aplicațiile de sănătate și transferurile de date. Unde pot ajunge datele tale?

2.1.Facebook, Alphabet, Oracle și alte companii

Aceste companii primesc datele utilizatorilor aplicațiilor de sănătate, le analizează și le utilizează pentru crearea de profiluri ale acelor utilizatori și pentru efectuarea de publicitate direcționată către aceștia. La prima vedere, nu ar fi nimic eronat ca o persoană care suferă de diabet și care utilizează o aplicație de monitorizare a nivelului glicemiei să vizualizeze în cronologia profilului său de Facebook oferte de produse alimentare adaptate dietei diabeticilor. Dimpotrivă, acest lucru ar putea veni chiar în sprijinul persoanelor vizate. Totuși, există și anumite riscuri care ar trebui luate în considerare.

Evident, simplul fapt al primirii în mod constant al unui număr nelimitat de mesaje comerciale nesolicitate de către un utilizator al unei aplicații de sănătate poate fi deranjant pentru acesta. Mai mult decât atât, toate aceste date, odată ajunse la anumite companii care le analizează, pot contribui la formarea unor profiluri extrem de detaliate despre fiecare dintre noi, utilizatorii de aplicații de sănătate. În ciuda faptului că majoritatea furnizorilor de astfel de aplicații declară că nu se partajează niciodată date precum numele utilizatorului[9] (deci identificarea acestuia nu este directă), prin combinarea acestor date medicale cu toate celelalte date deținute de Facebook, de exemplu, se poate identifica în mod facil utilizatorul (deci, avem de-a face cu o persoana fizică identificabilă, conform art. 4 RGDP) și i se poate crea un profil detaliat care se află acum la dispoziția gigantului de tehnologie, profil care poate fi ”vândut” mai departe către alte companii.

2.2.Companii de asigurări de viață sau de sănătate

Principalul motiv pentru care aceste companii ar fi interesate de datele privind sănătatea este posibilitatea de a analiza, înainte de încheierea unui contract de asigurare, gradul de risc al viitorului client, risc care s-ar putea concretiza în accesarea unui sume asigurate mai mari sau mai rapid.[10] Aplicațiile de sănătate ale unei persoane pot indica anumite obiceiuri sau boli care i-ar putea reduce semnificativ speranța de viață. Totuși, chiar dacă aceste companii de asigurări declară că nu iau decizii exclusiv pe baza datelor medicale ale clienților, se apreciază că se lasă cu siguranță influențate de acestea.[11] De exemplu, o persoană care este supraponderală, manifestă anumite probleme legate de ritmul cardiac, este sedentară și diabetică (toate aceste date fiind colectate de către aplicațiile de sănătate pe care această persoană le utilizează și partajate cu companiile de asigurări) ar putea ridica anumite semne de întrebare și ar putea fi privită cu scepticism de către compania de asigurări.

2.3.Bănci și alte instituții de credit

Similar principiului descris mai sus, și instituțiile de credit ar putea fi semnificativ influențate de istoricul medical al unui potențial client. Mai mult decât atât, acestea ar putea chiar refuza acordarea unui credit bancar[12] unei persoane care se constată că are probleme de sănătate și ar putea ca, în viitor, din cauza acestor probleme, să se afle în imposibilitatea de a-și îndeplini obligațiile contractuale (fie din cauză că a decedat sau din cauza unei incapacități de muncă).

 2.4.Companiile de recrutare și angajatorii

Același raționament este aplicabil. În general, angajatorii încearcă să evite angajații predispuși la a beneficia de concedii medicale prelungite, de indemnizații sau de concedii de maternitate[13]. Evident, acest lucru ar putea duce la discriminare, consecință valabilă și în cazul instituțiilor de credit sau al companiilor de asigurări. Acest lucru contravine în mod evident prevederilor RGPD, care prevede în art. 22 că ”Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau care o afectează în mod similar într-o măsură semnificativă”.

2.5.Instituții sanitare

În vreme ce unii medici recomandă ei înșiși pacienților utilizarea unor aplicații de sănătate (cu scopul efectuării programărilor și trimiterii rezultatului unor analize către medic)[14], s-a afirmat că datele privind sănătatea, odată ajunse la instituțiile sanitare, ar putea conduce la o discriminare între pacienți în materia acordării de servicii medicale avansate.[15].

3.Aplicațiile de sănătate. Ce putem face pentru a ne proteja confidențialitatea datelor privind sănătatea?

1. Să citim cu atenție sporită politicile de confidențialitate ale aplicațiilor de sănătate pe care le descărcăm;

2. Să configurăm setările de confidențialitate (ale aplicației, dar și ale telefonului)[16] astfel încât să putem beneficia de un nivel maxim de confidențialitate. De exemplu, în cazul Google Fit: să deconectăm toate aplicațiile terțe cu care această aplicație interacționează (Manage connected apps – Disconnect)[17]. În cazul Apple Health, putem să oprim accesul aplicației la senzorii de mișcare ai telefonului (Privacy – Motion&Fitness – oprirea opțiunii Fitness Tracking)[18] ;

3. Să urmărim cu atenție orice posibilitate de a bloca sau de a limita partajarea datelor noastre de către aplicația de sănătate cu aplicații/companii terțe, indicate prin butoane de tipul ”disagree” sau ”opt-out”[19];

4. Să utilizăm dispozitive la fel de eficiente pentru monitorizarea sănătății, dar care implică o tehnologie mai ”rudimentară” și, deci, mai puțin invazivă pentru viața privată. De exemplu, în locul unei aplicații care măsoară distanța parcursă și intensitatea unui antrenament, se recomandă utilizarea unui dispozitiv de măsurare a pulsului aplicat pe braț (care stochează aceste date doar pe dispozitiv, și nu le trimite către un server), iar apoi accesarea unei diagrame cardiace online (www.heart.org) pentru interpretarea rezultatelor obținute[20];

5. Să alegem cu grijă aplicațiile de sănătate pe care le folosim. De exemplu, aplicațiile recomandate de către un medic sunt mai susceptibile de a intra sub incidența legilor care guvernează protecția vieții private și a datelor cu caracter personal. De asemenea, se recomandă utilizarea unor aplicații de sănătate cu plată, deoarece, în cazul celor ”gratuite”, plătim de fapt cu datele noastre personale[21] (evident, nu este exclus ca și cele cu plată să prelucreze în mod abuziv datele noastre, însă incidența este mai scăzută).

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:


Ti-a placut articolul? Arată-le și celorlalți!

Share on facebook
Share on linkedin
Share on email
Maria Alexandra Enescu

Maria Alexandra Enescu

Numele meu este Maria-Alexandra Enescu, absolventă a Facultății de Drept, Universitatea "Transilvania" din Brașov, avocat stagiar în Baroul Brașov, Assistant for Social Media în cadrul ELSA Belgium, în prezent masterandă în cadrul Institutului de Studii Europene, Universitatea Vrije din Bruxelles. Studiez drept internațional și european, cu specializare în Data Law. Prin articolele mele, sper să contribui la formarea unei înțelegeri mai detaliate a raționamentului legiuitorului european, a Regulamentului General privind Protecția Datelor și a implicațiilor legale ale unor aspecte și situații cotidiene.

Recomandăm

Cel mai vândut produs

Cărți recomandate

Abonează-te!

E gratuit! Primește articolele noastre direct pe mail. Te poți dezabona oricând.

Prin abonare declari că ai peste 16 ani, că ai citit și că ești de acord cu Politica de confidențialitate LegalUp (https://legalup.ro/confidentialitate/)

Recomandăm...

Cursuri online

Investește în tine!

Shop

KIT-uri GDPR și e-commerce, e-book-uri și alte produse digitale pentru siguranța online a afacerii tale

Recente

Mai multe articole

Ultimele articole

Law & Tech

© 2020 Toate drepturile rezervate

Made with ❤ by LegalUp.ro

fii informat!

Primeste articolele noastre direct pe mail!

Aboneaza-te acum

 

Prin abonare declari că ai peste 16 ani, că ai citit și că ești de acord cu Politica de confidențialitate LegalUp (https://legalup.ro/confidentialitate/)