Privacidad

Dados los hábitos poco saludables de recopilación de datos de algunas aplicaciones de mHealth, le recomendamos que tenga cuidado al elegir con quién compartir algunos de sus datos más confidenciales.

Phil Muncaster

Marzo 19 2024
 • 
,
5 minuto. leer

En la economía digital actual hay una aplicación para casi todo. Un área que está en auge más que la mayoría es la atención médica. Desde rastreadores de períodos y fertilidad hasta salud mental y atención plena, existen aplicaciones de salud móvil (mHealth) disponibles para ayudar con casi cualquier afección. De hecho, es un mercado que ya está experimentando un crecimiento de dos dígitos y valdrá la pena. Un estimado $ 861 mil millones por 2030.

Pero al utilizar estas aplicaciones, podría estar compartiendo algunos de los datos más confidenciales que posee. De hecho, el GDPR clasifica La información médica como datos de “categoría especial”, lo que significa que podría “crear riesgos significativos para los derechos y libertades fundamentales del individuo” si se divulga. Es por eso que los reguladores exigen que las organizaciones brinden protecciones adicionales.

Desafortunadamente, no todos los desarrolladores de aplicaciones tienen en mente los mejores intereses de sus usuarios ni siempre saben cómo protegerlos. Es posible que escatimen en medidas de protección de datos o que no siempre las cumplan. acláralo en cuanto a cuánta información personal suya comparten con terceros. Con eso en mente, echemos un vistazo a los principales riesgos de privacidad y seguridad al usar estas aplicaciones, y cómo puede mantenerse seguro.

¿Cuáles son los principales riesgos de privacidad y seguridad de las aplicaciones de salud?

Los principales riesgos del uso de aplicaciones de mHealth se dividen en tres categorías: seguridad de datos insuficiente, intercambio excesivo de datos y políticas de privacidad mal redactadas o deliberadamente evasivas.

1. Preocupaciones por la seguridad de los datos

Estos a menudo se deben a que los desarrolladores no siguen las mejores prácticas en materia de ciberseguridad. Podrían incluir:

• Aplicaciones que ya no son compatibles o no reciben actualizaciones: es posible que los proveedores no tengan implementado un programa de divulgación/administración de vulnerabilidades o que tengan poco interés en actualizar sus productos. Cualquiera sea el motivo, si el software no recibe actualizaciones, significa que puede estar plagado de vulnerabilidades que los atacantes pueden aprovechar para robar sus datos.
• Protocolos inseguros: las aplicaciones que utilizan protocolos de comunicación inseguros pueden exponer a los usuarios al riesgo de que los piratas informáticos intercepten sus datos en tránsito desde la aplicación hasta los servidores back-end o en la nube del proveedor, donde se procesan.
• Sin autenticación multifactor (MFA): la mayoría de los servicios acreditados hoy en día ofrecen MFA como una forma de reforzar la seguridad en la etapa de inicio de sesión. Sin él, los piratas informáticos podrían obtener su contraseña mediante phishing o una infracción separada (si reutiliza contraseñas en diferentes aplicaciones) e iniciar sesión como si fuera usted.
• Mala gestión de contraseñas: por ejemplo, aplicaciones que permiten a los usuarios conservar las contraseñas predeterminadas de fábrica o establecer credenciales inseguras como “passw0rd” o “111111”. Esto deja al usuario expuesto a relleno de credenciales y otros intentos de fuerza bruta para acceder a sus cuentas.
• Seguridad empresarial: las empresas de aplicaciones también pueden tener controles y procesos de seguridad limitados en su propio entorno de almacenamiento de datos. Esto podría incluir una capacitación deficiente en materia de concienciación de los usuarios, antimalware y detección limitada de terminales/redes, falta de cifrado de datos, controles de acceso limitados y ausencia de procesos de gestión de vulnerabilidades o de respuesta a incidentes. Todo esto aumenta las posibilidades de que sufran una violación de datos.

2. Intercambio excesivo de datos

La información de salud (PHI) de los usuarios puede incluir detalles muy sensibles sobre enfermedades de transmisión sexual, adicción a sustancias u otras condiciones estigmatizadas. Estos pueden venderse o compartirse con terceros, incluidos anunciantes para marketing y anuncios dirigidos. Entre los ejemplos anotado por Mozilla son proveedores de mHealth que:

• combinar información sobre los usuarios con datos comprados a intermediarios de datos, sitios de redes sociales y otros proveedores para crear perfiles de identidad más completos.
• no permitir que los usuarios soliciten la eliminación de datos específicos,
• utilizar inferencias hechas sobre los usuarios cuando responden cuestionarios de registro que hacen preguntas reveladoras sobre orientación sexual, depresión, identidad de género y más,
• permitir cookies de sesión de terceros que identifican y rastrean a los usuarios en otros sitios web para publicar anuncios relevantes,
• permitir la grabación de sesiones, que monitorea los movimientos del mouse, el desplazamiento y la escritura del usuario.

3. Políticas de privacidad poco claras

Es posible que algunos proveedores de mHealth no sean sinceros sobre algunas de las prácticas de privacidad anteriores, utilicen un lenguaje vago u oculten sus actividades en la letra pequeña de los términos y condiciones. Esto puede dar a los usuarios una falsa sensación de seguridad/privacidad.

¿Qué dice la ley

• GDPR: La principal ley de protección de datos de Europa es bastante inequívoca sobre las organizaciones que manejan PHI de categoría especial. Los desarrolladores deben realizar evaluaciones del impacto en la privacidad, seguir los principios del derecho a borrar y minimizar los datos, y tomar “medidas técnicas apropiadas” para garantizar que se incluyan “las salvaguardias necesarias” para proteger los datos personales.
• HIPAA: Las aplicaciones de mHealth ofrecidas por proveedores comerciales para uso individual no están cubiertas por HIPAA, porque los proveedores no son un "entidad cubierta" o "socio de negocios.” Sin embargo, algunos lo son (y requieren la implementación de salvaguardias administrativas, físicas y técnicas apropiadas, así como un informe anual). Análisis de riesgo.
• CCPA y CMIA: Los residentes de California tienen dos leyes que protegen su seguridad y privacidad en un contexto de mHealth: la Ley de Confidencialidad de la Información Médica (CMIA) y la Ley de Privacidad del Consumidor de California (CCPA). Estas demandas un alto nivel de protección de datos y consentimiento explícito. Sin embargo, sólo se aplican a los californianos.

Tomar medidas para proteger su privacidad

Cada uno tendrá un apetito por el riesgo diferente. Algunos encontrarán que el equilibrio entre servicios/publicidad personalizados y privacidad es algo que están dispuestos a hacer. Es posible que a otros no les importe si algunos datos médicos se violan o se venden a terceros. Se trata de encontrar el equilibrio adecuado. Si le preocupa, considere lo siguiente:

• Investigue antes de descargar. Vea lo que dicen otros usuarios y si hay señales de alerta de revisores confiables
• Limite lo que comparte a través de estas aplicaciones y asuma que todo lo que diga puede compartirse
• No conecte la aplicación a sus cuentas de redes sociales ni las utilice para iniciar sesión. Esto limitará los datos que se pueden compartir con estas empresas.
• No le des permiso a las aplicaciones para acceder a la cámara, ubicación, etc. de su dispositivo.
• Limite el seguimiento de anuncios en la configuración de privacidad de su teléfono
• Utilice siempre MFA cuando se le ofrezca y cree contraseñas seguras y únicas.
• Mantenga la aplicación en la versión más reciente (la más segura)

Desde que se anuló Roe vs Wade, el debate sobre la privacidad de mHealth ha dado un giro preocupante. Alguno han dado la alarma que los datos de los rastreadores de períodos podrían usarse en procesos contra mujeres que intentan interrumpir sus embarazos. Para un número cada vez mayor de personas que buscan aplicaciones de salud móvil que respeten la privacidad, lo que está en juego no podría ser mayor.