Cada cop més persones porten sobre la pell sensors que envien dades relacionades amb la salut. Quin control tenim sobre aquestes dades?
Polseres que mesuren el pols, roba que recull constants vitals, rellotges capaços inclús de registrar les pulsacions del cor d’un fetus… Els dispositius intel·ligents per portar posats, els anomenats wearables, es van popularitzant poc a poc a tot el món. El premi se l’enduen les polseres i rellotges intel·ligents. Segons la consultora tecnològica IDC, només fins a mitjans d’aquest any les principals companyies que desenvolupen aquests dispositius van aconseguir posar al mercat mundial 18,1 milions d’unitats, que va suposar un increment interanual del 223%.
Apple aquest any va aterrar amb força en aquest mercat amb el seu Apple Watch, amb 3,6 milions d’unitats venudes fins a l’agost, i seguia d’aprop el principal fabricant fins llavors, Fitbit, que ha venut prop de 4,4 milions de les seves polseres i acapara la quarta part del mercat mundial. D’altres companyies importants que desenvolupen wearables són Xiaomin, Garmin i Samsung.
Les polseres o rellotges amb sensors recullen i envien un ampli ventall de dades fisiològiques del seu portador, que engloben des de les pulsacions cardíaques fins un registre de les etapes del son, i d’altres paràmetres d’activitat física. Algunes inclouen funcions per calcular de forma aproximada el percentatge de grassa corporal, mitjançant una tècnica denominada bioimpedància.
Amb el seu permís
A Espanya les dades relacionades amb la salut estan considerades d’especial protecció. L’article 7.3 de la Llei Orgànica de Protecció de Dades (LOPD) estableix un marc bàsic que només legitima el tractament d’aquestes dades de salut per dues causes: consentiment exprés del titular o habilitació legal per raons d’interès general.
Emilio Aced, cap d’àrea de l’Agència Espanyola de Protecció de Dades (AGPD), considera que en el cas d’aquest tipus de dispositius l’única font de legitimació vàlida és, naturalment, el consentiment. “En general, tots els tractaments de consum estan basats en que la persona accepti els termes concrets. És important destacar que qui accepta els termes es qui es posa el sensor”, apunta aquest expert.
Ningú obliga a compra’t la polsera. Ets tu qui te la poses i comences a transmetre aquestes dades “Ningú t’obliga a compra’t la polsera, a permetre que reculli determinades dades i a que s’enviïn a un servei remot”, afirma Aceb, que afegeix: “Ets tu qui et compres el dispositiu, te’l poses i comences a transmetre aquestes dades”. “Normalment tot el món demana que acceptis els seus termes i condicions”, apunta, “una altra cosa és que ho llegeixis o no; aquí entraríem ja en el terreny de si la informació proporcionada és suficient o no”.
Un altre assumpte clau és la transferència en la gestió d’aquestes dades, tal com recull el dictamen de les autoritats de protecció de dades europees sobre internet de les coses –interconnexió d’objectes a través de la Xarxa- publicat l’any passat. Aquestes dades s’haurien de recollir de forma “lleial i legal” i l’afectat hauria de ser conscient d’això, un requisit “especialment important ja que els sensors són dissenyats per ser tan invisibles com sigui possible”.
“Si jo permeto que es tractin unes dades de salut he de saber en quines condicions estic acceptant aquest tractament, per a què s’utilitzaran, i més tard ja decidiré si vull o no compartir-les”, recorda Aced. “També he de saber si el gestor de tot això farà alguna cosa més amb aquestes dades, com per exemple establir perfils per vendre’ls a companyies d’assegurances per estudis de tarifació i anàlisis de riscos –evidentment dades anònimes-, un fet que ja està passant. O cedir aquestes dades per investigacions científiques amb noms i cognoms”. “Tot això ho he de saber clarament, de manera entenedora, de mode que jo pugui acceptar aquestes condicions de forma informada”, conclou.
Estem protegits?
“La meva a si estem protegits és un absolut no”, afirma l’expert i responsable de la firma ePrivacidad Samuel Parra. “Els usuaris utilitzen aquests dispositius sense ni tan sols qüestionar si l’empresa propietària o tercers que tinguin accés a la informació que genera el dispositiu faran d’aquesta”.
En el moment que el dispositiu toca la pell i comença a recollir dades existeix un tractament de les mateixes i, en conseqüència, la AEPD entén que s’aplica la normativa espanyola. Sergio Carrasco, enginyer i advocat especialitzat en noves tecnologies, recorda que “tot tractament neix regulat”. “No em preocupa el dispositiu concret, el que m’interessa és la naturalesa de la dada i les mesures que s’han d’aplicar al tractar-la”, comenta. “Per tan, i perquè estan relacionades amb la salut, existeixen multitud d’obligacions que, quasi segur, s’incompleixen sistemàticament”, afegeix.
Samuel Parra també destaca que la normativa espanyola s’aplica perquè “l’empresa que rep les dades del wearable utilitza mitjans (la polsera, la samarreta, etc.) ubicats en territori espanyol”, tal com exigeix l’article 2.1.c de la LOPD. “Això significa que, posant-nos a l’escenari en el que la polsera la comprem en una tenda Xina i l’empresa que ofereix els serveix (la que rep les dades) està a Estats Units, es continuarà aplicant la nostra normativa de protecció de dades.” Però Parra alerta: “A la pràctica em temo que les empreses, si estan fora de la UE, no atendran les peticions” d’accés o cancel·lació de dades.
Seria important que, un cop acceptades les condicions del servei, poguéssim saber que no es faci res fora d’aquell paràmetre que jo he acceptat.
Emilio Aced comparteix parcialment aquest escepticisme: “Seria important que, un cop acceptades les condicions del servei, poguéssim saber que no es fa res fora d’aquell paràmetre que jo he acceptat”. El problema és que no es pot comprovar que això no succeeix.
En conseqüència, no importa que el dispositiu sigui importat o s’hagi adquirit fora d’Espanya: La normativa s’aplica a qualsevol ciutadà que no aconsegueixi accedir, modificar o cancel·lar les seves dades pot acudir a la AEPD a sol·licitar ajuda. “Si el tractament de dades té lloc a Espanya i la companyia o establiment responsable de la gestió d’aquestes dades està fora d’Espanya, igualment tindria responsabilitat i en principi entenem que el ciutadà pot sol·licitar ajuda a l’Agència si ho necessita”, manté Aced.
En qualsevol cas, l’expert de Protecció de Dades afirma que “parlar en termes generals és difícil perquè no hi ha una única manera de recollir dades ni un sol model de negoci, ni de tractament d’aquesta informació, ni es tracta pel mateix”. “Depèn del context en el que es mou el que s’ha recopilat”, afegeix “El model de Fitbit no té res a veure amb Apple Resarch Kit per investigar el càncer o la diabetis i per aquest motiu, resoldre el problema de com s’aplica la llei en general és molt complicat”, diu Aced.
Font: 03.11.2015 El Español