En los últimos tiempos, la generalización del uso de smartphones y de las nuevas tecnologías ha supuesto una importante transformación en el sector de la salud. Así, entre otros aspectos, ha emergido con fuerza lo que se ha denominado “mHealth”, es decir, el uso de dispositivos móviles para la prevención de enfermedades, el seguimiento de pacientes e incluso su diagnóstico.

Este tipo de aplicaciones que, por su propia finalidad, contienen un importante número de datos sobre la salud de los usuarios, han adquirido un relevante protagonismo para hacer frente a la pandemia del Covid-19. Sus finalidades pueden ser tan diversas como, por ejemplo, la realización por el usuario de auto-test y la obtención de información sobre la enfermedad y sus protocolos, la provisión voluntaria de datos sobre contagios y su localización o el seguimiento de los contactos de cada persona por bluetooth.

Para poder analizar la legalidad de este tipo de aplicaciones es necesario identificar en primer lugar, quién es el responsable del tratamiento de los datos personales. Es decir, quién es, en última instancia, la persona o entidad que recaba esos datos y va a determinar el uso que se hace de los mismos.

En la situación actual de estado de alarma parece claro que, en primer lugar, las autoridades sanitarias están habilitadas a utilizar este tipo de aplicaciones en aras del interés público, así como para garantizar los intereses vitales de los interesados o de terceras personas mediante la contención de la pandemia.

Ahora bien, esto no impide que las empresas privadas puedan también desarrollar este tipo de aplicaciones. En primer lugar, por encargo de las autoridades sanitarias como un proveedor de servicios más, siendo dichas autoridades sanitarias las que finalmente usen los datos obtenidos. Y, en segundo lugar, recabando ellas mismas los datos para su propio uso y finalidades, siendo, por tanto, dichas empresas privadas las responsables últimas del tratamiento de los datos.

En este último caso, si el responsable que va a utilizar los datos son empresas privadas y no autoridades sanitarias, la base legal para el tratamiento podría ser el consentimiento explícito del titular de los datos. Y ello, dado que estas empresas no tienen atribuida normativamente la competencia para actuar en aras del interés público, como sí que ocurre con las autoridades sanitarias.

Ahora bien, el hecho de que pueda existir una base legal que permita recopilar datos de salud con este tipo de aplicaciones, no exime a las autoridades o empresas privadas de su obligación de cumplir el resto de los requisitos y cautelas que exige la normativa en protección de datos.

Entre ellas, reviste especial importancia la información que se facilite al usuario sobre el tratamiento que se va a realizar y que debe ser suministrada de una forma clara, accesible y comprensible. Además, las finalidades para las que se pueden utilizar los datos recogidos por estas aplicaciones son, únicamente, aquellas de las que se informó al usuario al recabar los datos. Por ello, los datos que se obtengan y recojan han de ser sólo los estrictamente necesarios y proporcionados para cumplir con esta finalidad. No cabe, por lo tanto, una recogida masiva de datos que no tengan relación con la finalidad para la que se van a utilizar.

Por último, hay que tener en cuenta que debe estar suficientemente determinado el tiempo que se conservarán estos datos. Además, este período no puede ser más que el estrictamente necesario para cumplir con la finalidad para la que se recabaron.

Mejor relación médico-paciente

Sin duda, estas aplicaciones están siendo de gran utilidad en la lucha contra el Covid-19 y hay que considerar la probabilidad de que se queden definitivamente entre nosotros, dada su eficacia para realizar un mayor seguimiento de determinadas enfermedades, así como facilitar la relación médico-paciente. Ahora bien, si su uso se extiende habrá que tener en cuenta dos aspectos fundamentales. El primero es que, teniendo en cuenta el tipo de datos personales de salud tratados, es necesario que estas aplicaciones sean especialmente escrupulosas en el cumplimiento de la normativa sobre protección de datos. El segundo, que para garantizar la debida privacidad de sus usuarios, las empresas e instituciones deberán tener una especial diligencia en la adopción de medidas de seguridad para impedir posibles accesos indebidos o fugas de información, tanto en la propia aplicación como en los servidores donde se conservan los datos.