Legislación y protección de datos – Análisis de riesgos (2).

Legislación y protección de datos – Análisis de riesgos (2).

1. Enunciado de la práctica.


Este caso práctico se centra en el análisis de una aplicación de salud innovadora denominada «VitalGuard», desarrollada por la empresa BioLife Tech S.L., una compañía especializada en la oferta de seguros de asistencia médica. «VitalGuard» está disponible para dispositivos móviles que operan con Android e iOS y está diseñada especialmente para monitorizar la salud de las personas de la tercera edad, proporcionando asistencia rápida en situaciones de urgencia. Sus características más destacadas incluyen:

  1. Un botón de emergencia que se comunica vía bluetooth con la aplicación del teléfono para activar una señal de SOS cuando el usuario lo requiera.
  2. El registro de datos vitales como la frecuencia cardíaca, niveles de oxígeno en sangre, actividad física, temperatura corporal, y patrones de movimiento. «VitalGuard» proporciona informes detallados de forma semanal a los familiares del usuario a través de la aplicación.

El objetivo de «VitalGuard» es ser una solución avanzada a los sistemas de teleasistencia convencionales, ofreciendo un monitoreo más completo y un canal de comunicación efectivo para los familiares encargados del cuidado del usuario.

La recolección de los datos de monitorización se realiza por medio de un discreto brazalete que se puede llevar en la muñeca o en el tobillo, el cual se conecta a la aplicación a través de bluetooth.

Para orientarse en aspectos legales y de privacidad, se puede hacer referencia al Dictamen 2/2013 sobre las aplicaciones de los dispositivos inteligentes, 00461/13/ES WP 202, del 27 de febrero de 2013, elaborado por el Grupo de Trabajo del Artículo 29 sobre protección de datos.

En base a este escenario, se plantean las siguientes preguntas:

  1. Enumera los tipos de datos que gestionará la aplicación «VitalGuard» y clasifícalos según su nivel de sensibilidad y el riesgo que podrían suponer para los derechos y libertades de las personas a las que se refieren.
  2. Determina qué medidas de seguridad implementarías para asegurar la protección de los datos personales recopilados por la aplicación y qué aspectos de la legislación vigente considerarías para establecer dichas medidas.
  3. Reflexiona sobre la base legal adecuada que justificaría la recopilación de datos personales por los distintos actores involucrados en el proceso de tratamiento de datos.

2. Solución punto 1.


Lo primero que me gustaría indicar antes de llevar a cabo la resolución del ejercicio, es que en ningún punto del enunciado se hace referencia a que la aplicación solicite el consentimiento al usuario para la obtención de acceso y privilegios de distintas funcionalidades del sistema donde se vaya a instalar. Es por ello que trataré de enfocar el ejercicio desde la perspectiva de que el usuario ha dado su consentimiento expreso a la recogida de los datos que solicita la aplicación para su correcto funcionamiento, guardando similitudes con aplicaciones del mismo sector como pueden ser “Medisafe” o “ Instant Heart Rate”. Recalcar que el usuario de la aplicación debe conceder expresamente su consentimiento para salvaguardar la legalidad, según se especifica en la “Sección 1.ª Obtención del consentimiento del afectado” del “Capítulo II Consentimiento para el tratamiento de los datos y deber de información” del “Título II Principios de protección de datos” del Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, contenida en el Real Decreto 1720/2007, de 21 de diciembre.

Con la finalidad de poder evaluar la criticidad de la potencial pérdida del tratamiento de los datos recogidos por la aplicación, se va a llevar a cabo la evaluación de la Confidencialidad, Integridad y Disponibilidad (CID) de estos. Para poderlos valorar adecuadamente, se ha desarrollado la siguiente escala de criticidad:



El valor final correspondiente a la Criticidad se obtendrá con la suma de los valores asignados a la criticidad de la confidencialidad, integridad y disponibilidad. Para poder medir adecuadamente este valor resultante emplearemos la siguiente tabla.



También vamos a destinar una columna a definir el tipo de dato tratado como “datos Ordinarios” o “datos Especialmente Protegidos”. Esto se determinará acorde a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) donde se definen los datos de carácter personal.



3. Solución punto 2.


Según la amenaza a la que nos enfrentemos, se pueden implementar distintas medidas de seguridad para reducir el riesgo de que se materialice dicha amenaza.

La medida de seguridad principal en este tipo de aplicaciones es la de establecer un sistema de cifrado tanto en almacenamiento como en transmisión de datos, evitando así que la información sea accesible en caso de una posible brecha de seguridad que desemboque en una ex-filtración de datos, ya sea a través de ataques sobre el propio almacenamiento del dispositivo o mediante la interceptación de datos en transmisión a un servidor donde se vayan a almacenar y/o procesar. De la misma manera establecería un sistema de backup periódico e incremental para garantizar la disponibilidad de los datos ante posibles ataques tipo ransomware.

Acorde al Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su “Capítulo III Medidas de seguridad aplicables a ficheros y tratamientos automatizados”, se establecen las siguientes medidas de seguridad:

  1. Control de accesos.
  2. Telecomunicaciones. Cifrado de datos en transmisión mediante el empleo de protocolos seguros (SSL/TLS).
  3. Identificación y autenticación.
  4. Copias de respaldo y recuperación. De manera periódica y almacenadas en dispositivos seguros, cifrados y fuera de red.
  5. Auditoría. Continua revisión y evaluación de la seguridad de los datos y sus procedimientos.
  6. Gestión de soportes y documentos.
  7. Registro de accesos. Para garantizar el principio de trazabilidad de la información.
  8. Registro de incidencias.
  9. Custodia de los soportes.
  10. Almacenamiento de la información. Cifrado de datos en almacenamiento.

Como complemento a las medidas ya mencionadas, creo conveniente establecer las siguientes:

  1. Auditoría de hacking ético de caja negra, gris y blanca de la aplicación para mantenerla segura de posibles malhechores.
  2. Política de actualización de parches de seguridad en aplicaciones y sistemas de la organización.
  3. Instalación de sistemas antivirus (AV) y sistemas perimetrales de seguridad (firewalls), de detección y respuesta (EDR), y de registro y gestión de eventos de seguridad (SIEM) en aquellos equipos/servidores donde se almacenen y se traten los datos sensibles de los usuarios.

4. Solución punto 3.


La base jurídica aplicable para habilitar la recopilación de datos personales por parte de los distintos sujetos implicados en el tratamiento en este caso proviene principalmente del Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

De acuerdo con el RGPD, la base legal para el tratamiento de datos personales puede ser:

  1. Consentimiento del interesado: Es necesario obtener el consentimiento explícito e informado de la persona cuyos datos se van a tratar, en este caso, la persona mayor y sus familiares. La aplicación debe proporcionar información clara y accesible sobre el uso y propósito de los datos recopilados y obtener el consentimiento del usuario antes de iniciar el tratamiento.
  2. Ejecución de un contrato: La recopilación de datos personales puede ser necesaria para la ejecución de un contrato al que el interesado es parte, por ejemplo, el contrato de seguro de asistencia sanitaria.
  3. Cumplimiento de una obligación legal: Si la recopilación de datos es necesaria para cumplir con una obligación legal a la que está sujeto el responsable del tratamiento, esta base legal podría aplicarse.
  4. Protección de intereses vitales: Si el tratamiento de datos es necesario para proteger los intereses vitales del interesado o de otra persona, esta base legal puede ser aplicable, especialmente en situaciones de emergencia donde la salud o la vida de la persona mayor estén en riesgo.
  5. Interés público o ejercicio de poderes públicos: Si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos.
  6. Intereses legítimos prevalentes del responsable del tratamiento o de terceros a los que se comunican los datos: Si el tratamiento de datos es necesario para los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que estos intereses no sean superados por los intereses, derechos y libertades fundamentales del interesado que requieran la protección de datos personales. En el caso de la aplicación «SOS Control», esta base legal podría aplicarse si Sagent S.A. puede demostrar que tiene un interés legítimo en recopilar y tratar los datos personales de las personas mayores y sus familiares para mejorar su servicio de asistencia sanitaria, siempre y cuando este interés no afecte negativamente los derechos y libertades fundamentales de los interesados.

A continuación, se exponen los distintos artículos del RGPD aplicables al tratamiento que nos atañe.

Artículo 5. Principios relativos al tratamiento

  1. Los datos personales serán:
    1. tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
    2. recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
    3. adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
    4. exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
    5. mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
    6. tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
  1. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

Articulo 6. Licitud del tratamiento

  1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
    1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
    2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
    3. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
    4. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
    5. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
    6. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Artículo 7. Condiciones para el consentimiento

  1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
  2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
  3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
  4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

Artículo 9. Tratamiento de categorías especiales de datos personales

  1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
  2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
    1. el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
    2. el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
    3. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
    4. el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
    5. el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
    6. el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
    7. el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
    8. el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
    9. el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,
    10. el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
  1. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.
  2. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

Para llevar a cabo procesos de auditoría, es fundamental realizar una buena planificación previa, como mostramos en nuestro artículo «Principios, programa y planificación de auditoría y gobierno de las TIC«.

En caso de necesitar un plan de auditoría pueden contactarnos a través de nuestro formulario de contacto.


5. Bibliografía.


Para la realización de esta práctica se han consultado los siguientes recursos:

  1. Agencia Española de Protección de Datos. Gestión del riesgo y evaluación de impacto en tratamientos de datos personales. https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf
  2. Dictamen 2/2013 sobre las aplicaciones de los dispositivos inteligentes, 00461/13/ES WP 202, 27.02.2013, Grupo de trabajo Artículo 29 sobre la protección de datos. https://www.aepd.es/sites/default/files/2019-12/wp202_es.pdf
  3. Data Protection Regulation (GDPR). https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp236_en.pdf
  4. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673
  5. Tecnologías que están cambiando la teleasistencia: https://www.seniortic.org/tecnologias-que-estan-cambiando-la-teleasistencia/
  6. GDPR Web. https://gdpr.algolia.com/
English

No puedes copiar el contenido