Archivos por Etiqueta: RGPD

El software sanitario de Amazon para recopilar datos de los pacientes, no tendría cabida en Europa

La multinacional estadounidense Amazon anunció este miércoles que ha desarrollado Amazon Comprehend Medicalun software basado en inteligencia artificial que bucea en el historial médico de los pacientespara extraer de forma rápida y organizada la información relevante que necesiten usar los médicos. Su objetivo es permitir a los profesionales de la salud disponer de información de una forma más rápida y con mayor precisión que con el tradicional proceso manual.

El gigante tecnológico asegura que su nuevo servicio procesa «textos médicos desestructurados» e identifica información como «diagnósticos, tratamientos, dosis y síntomas». La herramienta está pensada para que hospitales, aseguradoras, investigadores y empresas farmacéuticas ahorren parte del tiempo y dinero que actualmente se destina a hallar datos puntuales de cada paciente entre los documentos que conforman su historial médico. Los datos se almacenarán en Amazon Web Services.

Aunque de momento se desconoce con exactitud cómo piensa gestionar Amazon todos los datos privados de los pacientes que se almacenarán en la nube, el servicio, en principio, no tiene cabida en Europa porque choca frontalmente con el Reglamento General de Protección de Datos (RGPD), aprobado a principios de este año. Y es que todo apunta a que la intención del gigante de internet es almacenar los datos identificados de los pacientes.

La normativa, en este caso, exige el consentimiento del paciente. De hecho, ya existen condenas a médicos por ver los historiales de pacientes ajenos. «El reglamento actual de protección de datos, con respecto a la salud, prohíbe cualquier tratamiento de datos», recuerda el experto.

El negocio de los datos sanitarios

En esta misma línea opina Frederic Llordachs, médico y confundador de Doctoralia: «Evidentemente, con el RGPD va a ser complicado que lo cumplan al menos de entrada, y como dice un amigo mío, el hecho de que el mayor vendedor de lavadoras del mundo tenga tu historial médico da que pensar. Empaquetar servicios medicos y venderlos por internet es sencillo, de hehco lo haemos ya con ClinicPoint, pero la tentacion de publicitárnoslos puede ser tan grande como para intentar burlar la ley».

Según la compañía, Amazon Web Services no podrá ver los datos que procesan sus algoritmos en la búsqueda de información porque estos están encriptados y su desbloqueo está solo permitido a aquellos clientes que dispongan de una clave. Sin embargo, cabe recordar que todo lo que se comparte en internet en susceptible de ser hackeado. De hecho, los datos sanitarios son más caros en el mercado negro que los bancarios.

«Al final se trata de dar una información muy valiosa a una tercera compañía (empresa farmaceútica, hospital) que seguro que tiene por detrás a una aseguradora muy potente que puede llegar a usar todos esos datos para después vender pólizas de seguros a los pacientes», ejemplifica Parra, quien también alerta de otro problema. «Sería muy peligroso que una máquina decida qué pastilla se tiene que tomar un paciente», añade. Y es que si el software va a ofrecer al doctor un informe médico del estado de salud del paciente, una vez recopilados y analizados todos los datos, es de vital importancia que se informe a la persona afectada. «El reglamento dice que si se va a tomar una decisión en base a un procedimiento realizado de forma automatizada por algoritmos matemáticos, se tiene que informar a la persona afectada. El paciente, incluso, puede impugnar esa decisión que ha tomado una máquina y no un humano, es decir, el profesional de la salud», recuerda el jurista.

No es la primera iniciativa con la que Amazon se mete en el negocio de la salud. «Este servicio de explotar los datos relevantes de las historias clínicas mediante ‘machine learning’ se une a lacompra de Pillpack (servicio de prescripción online) y a la ‘joint venture’ con Berkshire Hathaway y JP Morgan para mejorar la salud de sus empleados. Todas las grandes tecnológicas quieren meterse en salud, pero Amazon parece meterse en terrenos mas realistas y menos “moonshots”», dice Llordachs.

 

hospital-1-kINH--620x349@abc

¿Qué aceptamos exactamente cuando usamos WhatsApp?

Cuando los usuarios utilizan un servicio digital es necesario, en la mayoría de ocasiones, aceptar una serie de términos de uso y políticas de uso de la plataforma. Por regla general, la mayoría los acepta sin pestañear, lo que puede derivar en problemas serios. Se paga el pato por estar a la última pero luego llegan los quebraderos de cabeza cuando se quiere reclamar algo. Y con WhatsApp, aunque parezca una aplicación inofensiva, tiene bastante peligro.

Por lo pronto, esta conocida «app» pertenece a Facebook, la multinacional norteamericana. Aunque la firma se ha comprometido ante las autoridades europeas a no transferir datos entre ambos servicios existe una sombra de sospecha acerca de las posibles líneas rojas que atravisean. Aún así, el uso de WhatsApp contempla entre sus términos de uso una letra pequeña que se asume y que, tal vez, no se tiene en cuenta. El asunto está en que se renuncia a ciertas potestades.

Los expertos insisten en la necesidad de revisar con antelación las cláusulas que se aceptan, pero no siempre ocurre. El Reglamento General de Protección de Datos (RGPD), que entró en vigor en mayo, es una norma más garantista que la anterior y establece la necesidad de que las empresas tecnológicas que tratan datos personales deban informar debidamente a los usuarios qué va a hacer con su información. Aunque hay otros sucesos que pueden derivar, por ejemplo, en un cierre dela cuenta.

Según los expertos, WhatsApp tiene la potestad de cancelarle la cuenta a un usuario si miente o utiliza su perfil para fines propagandísticos. «Estamos acostumbrados a aceptar las condiciones de servicio de las empresas sin ser conscientes de que suscribimos un contrato, del que no solemos guardar copia y que regula nuestras obligaciones y derechos a la hora de usar el servicio o exigir compensaciones», explica en un comunicado Fernando Ruiz-Beato, de RB Ruiz Beato Abogados, firma especializada en derecho. «Los padres no son conscientes de las implicaciones legales de unos términos de servicios que se actualizan de forma regular y que suelen establecer unos límites mínimos de edad para su uso», añade.

Como mínimo 16 años

La «app», que alberga a más de 1.500 millones de usuarios en todo el mundo, recoge en sus políticas de uso -modificadas por cierto con la llegada del RGPD- que los usuarios que residen en un país de Europa, deben tener al menos 16 años de edad para usar los servicios o la mayoría de edad que se requiera en el país para registrarse. Algo que, luego, en la práctica no se produce y muchos usuarios mienten.

Nada de mentir

Tampoco, en teoría, se puede usar el servicio, entre otras muchas formas, de modo que «impliquen la publicación de falsedades, declaraciones erróneas o afirmaciones engañosas» o se hagan pasar por otra persona. «Dicho uso puede ser motivo para la cancelación de la cuenta, así que piénseselo dos veces antes de mentir por WhatsApp», recuerdan los expertos.

«No debes, de manera directa o indirecta, o por medios automatizados o de otro tipo, acceder, usar, copiar, adaptar, modificar, crear obras derivadas de nuestros Servicios, ni distribuir, licenciar, sublicenciar, transferir, mostrar, ejecutar o explotar de otro modo nuestros servicios de maneras inadmisibles o no autorizadas, o de formas que nos afecten, perjudiquen o dañen a nosotros a nuestros sistemas, a nuestros usuarios o a otras personas», informa la compañía.

Nada de ir a juicio

WhatsApp, en sus términos de uso, recoge también que aceptando las cláusulas en teoría no se debería tener derecho a demanda en un juzgado. «Aceptas librar a WhatsApp de toda obligación, daño, indemnización, pérdida y gasto de cualquier tipo», recoge la plataforma.

¿Cargos e impuestos?

La «app» esconde algunas cláusulas para cubrirse las espaldas. Están relacionadas con ciertos pagos y cobros del uso del servicio. «Tú eres responsable por los costes del plan de datos de tu operador de telefonía móvil, planes de datos, así como de las demás tarifas e impuestos asociados con el uso de nuestros servicios», recoge el texto.

Notificaciones cuando quieran

En teoría, los usuarios deben proporcionar ciertos dispositivos, software y conexiones de datos que la compañía promete que no proporciona a nadie. Sí se acepta descargar e instalar las actualizaciones, ya sea de forma manual o automática. Pero, en cambio, se asume que le enviarán notificaciones por medio de WhatsApp cada cierto tiempo «según sea necesario».

48791784-kM4B--620x349@abc

Avalancha de bloqueos en twitter por registros indebidos

Sergio (prefiere no compartir su nombre completo) tiene 18 años recién cumplidos. Es aficionado a los videojuegos, en especial al fenómeno creciente «Fortnite», pero también, como muchas personas a su edad, es asiduo a las redes sociales. Usuario de varias de ellas, tiene devoción por Twitter porque le permite estar informado y dar su opinión sobre cualquier tema.

Lleva varios años en esta red de micromensajes, pero su sorpresa se ha producido recientemente cuando, de la noche a la mañana, ha visto cómo era incapaz de acceder a su cuenta. La razón, tenía solo 13 años en el momento en el que se registró, aunque de aquello ya ha llovido bastante. Al final, por las trabas que se ha encontrado, ha acabado por crear una nueva pese a los problemas adicionales que ello conlleva; pérdida de los mensajes y de los seguidores (unos 500), principalmente. Twitter, entonces, le solicitó un DNI para conservar su cuenta. Tras claudicar a esa petición, la red social le avisó que también necesitaba una documentación de consentimiento expreso de sus padres para poder verificar su edad.

Al igual que él, muchos otros en similares circunstancias (uno de ellos, su amigo) en una avalancha de bloqueos de cuentas a usuarios que se abrieron su perfil cuando tenían 13 años. Una medida retroactiva que ha iniciado la compañía norteamericana a partir de su adaptación al Reglamento Europeo de Protección de Datos (RGPD o GDPR, por sus siglas en inglés) el pasado 25 de mayo, más garantista que la ley anterior y que propone el foco en la protección de los menores. Por lo pronto, el marco legislativo ha subido la edad mínimapara poder registrarse a los servicios digitales, algo a lo que se han ido adaptando en las últimas semanas de manera paulatina.

Twitter ha defendido que se trata de una medida proteccionista dado que sus términos de uso contemplan que la edad mínima es de 13 años, independientemente de la ubicación de la persona. «No tenemos permitido legalmente tener a nadie que sepamos que tenga menos de 13 años en nuestro servicio», reconocen a ABC fuentes de la compañía en España, aunque no han desvelado el número de afectados. El RGPD exige nuevas edades de consentimiento, pero el mínimo aceptado es de 13 años, aunque cada estado miembro tiene libertad para establecer su propio umbral. En el caso de Irlanda son 16 años, pero de media se ha subido hasta los 16 años por defecto.

«No tenemos permitido legalmente tener a nadie que sepamos que tenga menos de 13 años en nuestro servicio»

«Hubo usuarios que no añadieron su fecha de nacimiento cuando se inscribieron cuando eran menores de 13 años. No podemos legalmente mantener el contenido en la plataforma donde sabemos que el usuario tenía menos de esa edad cuando nos proporcionaron sus datos», añaden las mismas fuentes. En ese sentido, la empresa tecnológica ha resaltado las dificultades de «separar» el contenido generado por el usuario en dos bloques, uno para los mensajes publicados en el periodo en el que contaba con menos de 13 años y otro para aquellos que se compartieron por encima. Una situación que la red social ha optado por suspender a los usuarios pese que muchos de ellos están ya en edad adulta.

«Es normal que hayan procedido por defecto a bloquear las cuentas de aquellas personas en las que se puede haber producido un vicio durante el registro»

Los expertos sostienen que esta medida de Twitter se ajusta a la normalidad. «El problema surge en estos casos porque el consentimiento que dieron en su momento, su adhesion a las condiciones de WhatsApp, no eran válidos por la edad de quien suscribía la cuenta», explica a este diario Sergio Carrasco, jurista digital en Fase Consulting. «Sabemos que en la práctica muchos menores contaban con cuentas en esta red social, pese a la imposibilidad de acuerdo con la normativa anterior, pero las nuevas medidas y sanciones del RGPD han provocado que las empresas de prestación de servicios se tomen más en serio este riesgo», añade.

A su juicio, puede que la persona ya tenga la edad mínima para dar su consentimiento, pero el consentimiento inicial debemos entenderlo nulo. «Por lo tanto, es normal que hayan procedido por defecto a bloquear las cuentas de aquellas personas en las que se puede haber producido un vicio durante el registro», valora. En opinión de Borja Adsuara, experto en derecho digital, se trata de un procedimiento que pretende «cubrir el expediente y dar la sensación de que están realizando esfuerzos razonables de verificación de edad», aunque reconoce que si el registro de un perfil en una red social «fue hace menos de tres años, el RGPD recomienda los 16 años como edad para consentir».

0RPA4542jpg-kMlE--620x349@abc (1)

Crecen las quejas de los usuarios españoles por el tratamiento de sus datos.

La Agencia Española de Protección de Datos ha registrado un incremento del 36,8% de las denuncias planteadas ante el organismo en relación con el tratamiento de datos en Internet en los últimos dos años, al pasar de 557 en 2015 a 762 en 2017. Así lo ha dado a conocer este lunes 11 de junio la AEPD, con motivo de la publicación de su memoria correspondiente al año 2017, que recoge las actividades realizadas por esta institución, las tendencias más destacadas, las decisiones y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros.

En este sentido, la institución que dirige Mar España ha constatado un aumento de la preocupación de los ciudadanos por el tratamiento en Internet de sus datos personales. La Agencia ha indicado que fueron «numerosos» los casos de actuaciones previas iniciadas por la AEPD a partir de la difusión de datos de terceros, intrusiones en sitios web relevantes o, en general, quiebras de seguridad en Internet, a las que se incorporan las denuncias posteriores de los afectados.

Más de 10.500 denuncias y reclamaciones

En términos generales, durante 2017 se plantearon ante la Agencia 10.651 denuncias y reclamaciones de tutela de derechos (7.997 denuncias y 2.654 reclamaciones), lo que supone un ligero incremento con respecto al año anterior (+1,22%).

Asimismo, se ha producido un descenso de las denuncias y reclamaciones que se encuentran en tramitación al acabar el año, que disminuyen un 33,37% respecto a los valores de 2016. Respecto a las denuncias y reclamaciones resueltas en 2017, la cifra alcanza las 11.617, un 9,77% más que en el ejercicio anterior.

En materia de inclusión indebida en ficheros de morosidad y la contratación irregular, suponen casi un 30% y un 15%, respectivamente, de las resoluciones sancionadoras realizadas por la Agencia en 2017. Así, la inserción indebida en ficheros de morosidad y la contratación irregular aglutinan más del 55% del importe global de sanciones impuestas por la Agencia, según los datos publicados por el organismo.

Sobre las reclamaciones iniciadas a instancia de ciudadanos que acuden a la Agencia reclamando la tutela de sus derechos -habiéndolos ejercitado previamente ante el responsable del tratamiento, que los ha denegado o no ha respondido-, la AEPD ha destacado que los procedimientos más numerosos han sido relativos a la cancelación o supresión (744), seguidos de los referentes al acceso (376), rectificación (37) y oposición (51).

Las dudas de los usuarios de a pie

En relación con las consultas sobre el ejercicio de derechos planteadas en el servicio de Atención al Ciudadano, casi el 50% (43,34%) han sido en referencia al derecho de cancelación, y específicamente un 12,38% sobre el ‘derecho al olvido‘ respecto de los enlaces de servicios de búsqueda en Internet.

De este modo, en 2017 se atendieron casi 256.000 consultas de ciudadanos a través de diferentes canales (+8% respecto a 2016). Los temas más consultados están relacionados con los ficheros de solvencia patrimonial, la videovigilancia y las obligaciones de aquellos que tratan datos. El área específica de la Agencia para potenciar la comunicación con los menores, padres y profesores (Canal Joven) ha atendido cerca de 900 consultas, en su mayor parte planteadas por la comunidad educativa.

En el caso de las administraciones públicas, en año pasado la AEPD ha resuelto 69 procedimientos de infracción, un total de 30 corresponden a la administración local; otros 20 a la autonómica; 17 a la administración general del estado; y dos a otras entidades de derecho público.

En este sentido, el organismo estatal ha explicado que las declaraciones de infracción están motivadas, entre otros casos, por publicación de datos desproporcionados en páginas web de Administraciones locales, accesos indebidos a datos de terceros por parte de trabajadores públicos, incumplimiento de medidas de seguridad y por prestaciones de servicios que incumplen algunos requerimientos en materia de protección de datos.

En cuanto a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la Agencia, de las 166 sentencias dictadas en 2017 un 78% confirmaron los criterios de la AEPD en cuanto al fondo del asunto, el porcentaje más elevado desde 2005 junto con 2016.

Por su parte, en el año 2017 se han dictado por el Tribunal Supremo dos inadmisiones de recursos planteados contra sentencias de la Audiencia Nacional que habían confirmado a su vez sendas resoluciones de la Agencia.

Respecto al segundo año de ejecución del Plan Estratégico de la Agencia, que contemplaba inicialmente 76 acciones programadas -a las que se incorporaron 9 acciones adicionales-, ha terminado con un grado de ejecución del 92%.

Finalmente, con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) la Agencia presentó en 2017 Facilita_RGPD, una herramienta de ayuda para pymes que traten datos considerados de bajo riesgo y que se ha convertido en la sección más visitada de la página web. En tres meses de 2017 recibió casi 23.000 accesos, si bien en los días anteriores a aplicación del Reglamento la herramienta ha recibido una media de 5.000 accesos al día.

4714458-kTVE--620x349@abc

Polémica con la app de La Liga….puede acceder al micrófono de nuestro dispositivo

Desde el pasado 25 de mayo el Reglamento Europeo de Protección de Datos (RGPD o GDPR por sus siglas en inglés) es de obligado cumplimiento para los países miembros de la Unión Europea. Un marco legal garantista para los ciudadanos y que ha permitido conocer más de cerca la forma en la que las empresas tratan los datos de los usuarios. Además de la avalancha, a veces innecesaria, de correos electrónicos informativos, la ley ha servido para destapar algunas prácticas al respecto como en el caso de la aplicación oficial de La Liga de fútbol profesional.

Según consta en sus términos de uso, la aplicación, disponible para los principales sistemas operativos iOS y Android, cuenta con una función opcional que, en caso de activarla, los usuarios dan permiso para acceder al micrófono y al sistema de geoposicionamiento del teléfono móvil, así como el nombre de la red de internet a la que está conectado. Una medida encaminada, según destaca el organismo del principal torneo de fútbol español, a «obtener información desde qué lugares se ven partidos de equipos que integran LaLiga y detectar posibles utilizaciones que infrinjan los derechos de propiedad intelectual de LaLiga por parte de establecimientos públicos».

Es decir, es posible «escuchar» de manera remota a través del sistema de audio de los terminales y dirimir si la retransmisión se está realizando a través de un domicilio privado o un establecimiento público, un bar o local de ocio. Estos últimos están contempladas otras tarifas especiales. «LaLiga podrá activar el micrófono de tu dispositivo para conocer si estás viendo partidos de fútbol de equipos. Esta información se utilizará para detectar fraudes», recogen las políticas de privacidad del campeonato.

«Cuando te descargues o actualices la aplicación, el sistema operativo de tu dispositivo móvil te solicitará a través de una ventana emergente que facilites tu consentimiento para que LaLiga pueda activar el micrófono de tu dispositivo móvil», añade el texto. Sólo si decides aceptarlo, el micrófono captará fragmentos de audio con el único objeto de poder conocer si estás viendo partidos de fútbol, defiende el organismo, que constata que el objetivo de esta recopilación de datos personales es «elaborar patrones estadísticos sobre consumo de fútbol» y «detectar explotaciones fraudulentas de las retransmisiones de los partidos».

LaLiga promete que sólo activará el micrófono del dispositivo móvil «en momentos en los que se estén disputando» partidos de competiciones de fútbol y «no accede a los fragmentos de audio captados», ya que estos se convierten de forma automática en un código binario en el propio dispositivo. La única información accesible, aseguran desde el organismo.

«Si este código coincide con un código previo de control, LaLiga podrá saber que estás viendo un partido determinado. Si no coincide, el código se elimina», añade el texto elaborado por el organismo. Aún así, los usuarios pueden revocar este consentimiento en cualquier momento desde su móvil a través de «Ajustes/Micrófono». «Si aceptas, la app de LaLiga hace uso de tu micro y geolocalización para detectar bares y cafeterías que emiten fútbol sin pagar la licencia correspondiente. Tratamientos de datos que convierten a tu móvil en chivato», denuncia a través de su perfil de Twitter Jorge Morell, jurista experto en derecho en internet y uno de los primeros en percatarse de esta situación.

Los derechos de terceros pueden ser afectados

La clave también se encuentra en que esta función es opcional, recuerda Sergio Carrasco, jurista experto en derecho digital de Fase Consulting, pero se «vende como una opción de colaborar» con La Liga. «Al final hay un tratamiento que difícilmente pasaría un análisis de proporcionalidad. Está bien que informen de la finalidad, pero ello no lo convierte de manera automática en un uso legítimo, por más que un usuario consienta a ello», explica. A su juicio, cree necesario ver las medidas de seguridad aplicadas a los archivos obtenidos, «por los derechos de terceros que pueden ser afectados». «Que el proceso sea automatizado (de manera similar a cómo trabaja Audible Magic en Youtube) no elimina los riesgos existentes, además de potenciales usos en la práctica más allá de los permitidos», valora.

A Esther Botella, abogada especializada en protección de datos y miembro, le preocupa que «nos estamos dándonos cuenta de esto» ahora gracias a la entrada en vigor del RGPD. «Antes no teníamos tan claro quién hacía este tipo de tratamientos». Esta opción le despierta, a su vez, cierta preocupación: «¿Qué ocurre con las voces de terceros? ¿Las recoge? ¿Las guarda? ¿Durante cuánto tiempo? Ahí me surgen sobre ese tratamiento. No sé si es del todo transparente».

laliga1-kdMD--620x349@abc