A l’abril del 2018, una investigació va revelar que l’aplicació per a cites d’homes amb homes Grindr havia compartit informació amb tercers de dades confidencials dels seus usuaris, entre les quals, dades sobre l’estat serològic. Són moltes les apps que emmagatzemen dades de salut de la ciutadania. Tot i que són dades considerades sensibles que han d’anar encriptades i rebre la màxima protecció, és molt difícil conèixer amb quines empreses es comparteix la informació. A més, la seguretat no està garantida: un estudi europeu destaca que el 80% de les apps de salut més populars incompleix molts dels estàndards per evitar l’ús i la divulgació de dades sensibles.

Quan Sara Prats es va quedar embarassada fa cinc anys, es va descarregar una aplicació que setmanalment li deia quina era la mida del seu fetus, la seva formació o li enviava reproduccions en 3D d’un embrió. “Et deia: el teu fill té la mida d’un pinyol de cirera, d’un alvocat, o ja li han sortit les extremitats o el cervell”, precisa Prats, que remarca: “Dit així, sembla una ximpleria, però hi estava realment enganxada”. Per obtenir aquesta informació, va proporcionar dades personals com el nom, el pes, l’edat i la data de la seva darrera menstruació.

Maria Spuch ha facilitat informació com el seu pes, el seu grup sanguini o el telèfon de contacte dels seus pares a l’aplicació de salut d’iPhone. “En cas que tingui un accident i em quedi inconscient, són dades que poden ser útils per als serveis d’emergència o per a la policia”, raona.

Diàriament, molts ciutadans monitoren a través de diverses aplicacions del telèfon mòbil la seva activitat física, el seu embaràs, allò que mengen i beuen, la seva freqüència cardíaca… D’aquesta manera, proporcionen informació sobre la seva salut; una informació que requereix un tractament i una seguretat especials. “Les de salut són dades que sempre porten la protecció més alta, com les de caràcter racial o d’ideologia”, explica Yolanda Alba, advocada del Bufet Almeida i especialista en protecció de dades. “Per això, han de ser anònimes i anar encriptades, perquè no se’n pugui reconèixer la persona de procedència”.

Això no va succeir amb l’aplicació de cites de gais Grindr. En l’apartat de l’estat de salut, els usuaris poden especificar de manera voluntària el seu estat serològic (si són portadors o no del VIH). A l’abril del 2018 va sortir a la llum que l’app no tenia aquesta informació encriptada i que la va compartir amb dues empreses que es dedicaven a optimitzar l’aplicació, sense informar-ne els usuaris. La informació sobre el VIH es va enviar juntament amb dades com la geolocalització, el telèfon o el correu electrònic dels usuaris.

Seguretat no garantida

Diversos estudis i experts constaten que les apps no garanteixen que les dades de salut dels usuaris estiguin protegides. Un estudi europeu —amb la participació de la Universitat Rovira i Virgili— que ha analitzat la seguretat i la privacitat de les 20 apps de salut més populars disponibles a Android, publicat al gener del 2018, destaca que el 80% de les apps incompleix molts dels estàndards que serveixen per evitar l’ús i la divulgació de dades sensibles dels usuaris, alhora que només el 50% transmeten dades relacionades amb la salut a través de connexions segures HTTPS. A més, l’estudi indica que el 63,6% d’aquestes apps envien la informació sense encriptar per Internet i el 81,8% utilitza serveis d’emmagatzematge i d’allotjament de tercers, és a dir, núvols externs.

“És preocupant que les empreses i les seves apps no usin les tècniques de protecció de dades d’ús comú, com ara el xifratge de les comunicacions”, remarca Agustí Solanas, cap del Grup de Recerca en Salut Smart del Departament d’Enginyeria Informàtica i Matemàtiques de la Universitat Rovira i Virgili, que va participar en l’estudi. Les aplicacions “estan permetent que atacants externs puguin aconseguir les dades de manera senzilla i, en conseqüència, no garanteixen com cal la privacitat dels clients”, afegeix. Si les dades queden al descobert, assegura Solanas, això pot fer que les companyies asseguradores apugin els preus o es neguin a cobrir certes persones; que un banc no els doni una hipoteca; o, fins i tot, que sigui una barrera per aconseguir una feina.

Només el 50% d’apps de salut transmeten dades a través de connexions segures HTTPS

“Els buits de seguretat que poden tenir les grans i petites empreses [en matèria de protecció de dades] poden deixar la informació de l’usuari desprotegida”, exposa Rubén Sánchez, portaveu nacional de Facua, entitat que representa els consumidors. Agrega que si una persona detecta una bretxa de seguretat, ho ha de denunciar. El procés anirà per la via administrativa i comportarà una compensació econòmica. Ara bé, la legislació no marca cap quantia, per la qual cosa al perjudicat li és difícil justificar la indemnització pertinent.

Per a què s’utilitzen les dades

En els avisos legals d’apps relacionades amb la salut, la menstruació, l’embaràs o wellness s’hi explica que les dades poden ser utilitzades per a fins comercials, de màrqueting o per elaborar perfils de consumidors i que les comparteixen amb tercers, socis o filials per a fins publicitaris o per a estudis i investigacions, però en la majoria dels casos no s’hi especifica a quines empreses o entitats les proporcionen.

La majoria de telèfons mòbils, com iPhone, Huawei o Samsung, tenen apps específiques de salut. En la majoria de casos, com és el cas de Samsung, per accedir-hi, la persona s’ha d’identificar amb el correu electrònic, el nom i la data de naixement, així com acceptar els termes i condicions on dóna el permís perquè les dades siguin compartides amb filials, socis comercials i/o proveïdors de serveis.

La Fundació TIC Salut Social de la Generalitat de Catalunya, que impulsa la innovació tecnològica en el sector de la salut, especifica que algunes de les apps més representatives que s’utilitzen a Catalunya són SocialDiabetes i mySugr, per a la diabetis, o No puc esperar!, de l’Associació de Malalts de Crohn i Colitis Ulcerosa. Aquestes apps, en els avisos legals, tampoc no especifiquen amb qui comparteixen la informació dels usuaris.

Les dades de salut porten la protecció més alta, com les de caràcter racial o ideologia

SocialDiabetes sí que especifica que les dades s’utilitzen per a assajos clínics o estudis de naturalesa no clínica “organitzats per part de SocialDiabetes i/o de tercers, com ara associacions, empreses o entitats de qualsevol tipus, fins i tot, asseguradores mèdiques, indústria farmacèutica i/o biotech, centres de recerca públics o privats, etc., amb la finalitat d’extreure dades i conclusions que permetin avançar en la recerca de la diabetis”. Núria Abdón, project manager de la Fundació TIC Salut Social, recorda que els usuaris estan “donant un consentiment informat” quan signen els avisos legals i, per tant, recomana que se’ls llegeixin.

Nova legislació

El 25 de maig va entrar en vigor el nou Reglament general de protecció de dades de la Unió Europea. Abans d’aquesta llei, pel simple fet de navegar o posar les dades en un portal d’Internet, es considerava que aquestes es podien utilitzar; ara, però, es requereix un consentiment explícit de l’usuari, explica Joana Marí, responsable d’Avaluació i Estudis Tecnològics de l’Autoritat Catalana de Protecció de Dades. Es tracta de la firma d’un contracte entre l’usuari i l’empresa, que obliga a posar una casella en l’app perquè l’usuari doni el seu consentiment explícit per al tractament de les seves dades.

Aquesta informació només “es pot recollir si hi ha una base jurídica” i l’entitat demostra que la recollida és amb una “finalitat legítima i explícita” adequada a l’ús que se’n farà. La nova legislació inclou el concepte de transparència i amplia la informació que ha de donar la web o app sobre l’ús que farà de les dades. “No és merament formal, sinó que es demana que sigui una informació clara, entenedora, que es tingui en compte el públic a qui va destinat i sigui fàcilment accessible”, remarca Marí, que exposa que el problema és que l’usuari no se la llegeix. “Moltes apps no tenen com a prioritat garantir la seguretat i privacitat dels seus clients. Això és quelcom que cal anar canviant, i el nou Reglament europeu ha d’ajudar a aconseguir aquest canvi”, sentencia Solanas.

Dades de salut públiques

No només el sector privat recull dades de salut; també ho fa la Generalitat de Catalunya a través del Programa d’analítica de dades per a la recerca i la innovació en salut (PADRIS), que va néixer fa dos anys. “El benefici és per a la ciutadania: es potencia la recerca que al final deriva en una millor assistència”, assenyala Ramon Roman, cap de l’àrea de Big Data i Seguretat de la Informació de l’Agència de Qualitat i Avaluació Sanitàries de Catalunya (AQuAS), entitat que s’encarrega del PADRIS.

En concret, aquesta informació es recull en els hospitals o centres de salut, que són els que la custodien, i només es cedeixen a ens públics catalans com els hospitals, les universitats, els centres de recerca de Catalunya (CERCA) o al Departament de Salut de la Generalitat; però en cap cas a altres institucions d’Europa o empreses privades, puntualitza Roman. Quan una entitat demana una informació a l’AQuAS, un comitè operatiu analitza si el projecte compleix uns estàndards ètics i de retorn social, entre d’altres. Si s’autoritza la cessió de les dades, l’agència les recull i les tracta perquè siguin “anonimitzades” i no es pugui identificar l’usuari del qual provenen, assenyala Roman.

En el primer any de vida del PADRIS, es van registrar 135 sol· licituds per demanar dades de salut per a projectes de recerca. La gran majoria, un 34%, van procedir del Departament de Salut; un 26%, del sistema sanitari integral d’utilització pública de Catalunya (SISCAT); un 14%, del CERCA, i un 5,1%, de les universitats públiques.

D’altra banda, Ariadna Rius, responsable de l’Oficina d’Estàndards i Interoperabilitat de la Fundació TIC Salut Social, explica que les aplicacions que pertanyen al sistema sanitari català només comparteixen les dades amb els professionals dels centres públics.

Així succeeix amb 061 Salut Respon, que recull dades proporcionades pels usuaris que després s’utilitzen quan aquest té una emergència mèdica. Per això, l’avís legal detalla que les dades personals serveixen per accedir a l’expedient clínic; les de geolocalització, per saber on es troba el pacient per enviar una ambulància, o el contacte AA és la persona de l’entorn de l’usuari a qui s’adreçaran els professionals de la salut.

Aquest contingut va aparèixer originalment el febrer de 2019 a l’Anuari Mèdia.cat dels Silencis Mediàtics, una publicació que posa llum a temes que els mitjans de comunicació corporatius van passar per alt durant el 2018 i que reflexiona sobre el tractament informatiu de fets destacats. Descobreix-ne la resta de continguts i com aconseguir-lo.