Blog

Apps móviles

El uso del “Whatsapp” y sus riesgos en las relaciones entre clínica y paciente

19 noviembre, 2021
El uso del “Whatsapp” y sus riesgos en las relaciones entre clínica y paciente

Podríamos nombrar el amplio abanico de ventajas que, en general, aportan las nuevas tecnologías de la información y comunicación en el desarrollo de la actividad profesional, pero en este caso, vamos a informar del dictamen que emitió en su día la Agencia de Protección de Datos Catalana (en adelante, APDCAT), en relación a la consulta de un Colegio de Abogados, en el que se ponía de manifiesto expresamente, los riesgos que puede implicar el uso de las aplicaciones (apps) de mensajería instantánea “Whatsapp”  en la relación abogado y cliente, y que se puede extrapolar a las comunicaciones mantenidas entre las clínicas y sus pacientes.

Según el análisis hecho por la APDCAT, señalamos una serie de riesgos en el uso del “Whatsapp”, así como el grado de adecuación de estas aplicaciones a la legislación de protección de datos de carácter personal.

Por los que respecta a las clínicas, desde el momento que es incluido el paciente o el posible paciente en la “lista de contactos” de la agenda telefónica, el uso de estas aplicaciones por parte de la clínica conlleva, el tratamiento de unos datos que pueden considerarse de carácter personal. Se considera información de carácter personal los datos relativos al Nombre y/o Apellidos, Correo Electrónico, Teléfono Móvil, Foto de perfil, Estado del perfil, e incluso la información sobre la fecha y hora en que se conecta un usuario. Por supuesto, si a esto se añade que, en el contenido de los mensajes pueden constar datos personales del propio paciente o de otra/s persona/s física/s involucradas en el asunto confiado, se amplían los datos a proteger.

Además, ha de tenerse en cuenta que, por la propia naturaleza de la relación entre la clínica y sus pacientes, es posible que, entre el contenido de las conversaciones en los mensajes, se incorporen datos especialmente sensibles (entre otros, datos relativos a la salud, física o mental).

En este caso, tal y como manifiesta el análisis hecho por la APDCAT, esta app no garantiza la seguridad de las comunicaciones electrónicas. Así, “Whatsapp” no puede asegurar ni garantizar la seguridad de la información que el usuario transmite, y que el usuario asume el riesgo de dicha transmisión.

Puesta la seguridad a debate, se mencionan además una serie de vulnerabilidades que, desde el inicio de “Whatsapp” han sido detectadas y analizadas; la compañía ha ido corrigiendo vulnerabilidades, de modo que la APDCAT sólo hace referencia a aquellas que no se tiene constancia que hayan sido resueltas, como las contraseñas y el cifrado.

Esta app dispone de un sistema de contraseñas débil, de manera que es relativamente sencillo suplantar a un usuario y enviar y recibir mensajes de forma fraudulenta. Esta contraseña se encuentra almacenada en un archivo no cifrado del terminal y, por tanto, se sigue constatando la vulnerabilidad de la aplicación.

Asimismo, todos los mensajes que se envían a través de “Whatsapp” son cifrados. Podríamos decir que cumple con los requisitos del artículo 32.1.a) del RGPD, que se refiere a la opción del cifrado como medida técnica para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta factores como el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento.

Ahora bien, aunque las conversaciones se transmitan de forma segura (cifrada), quedan almacenadas en el terminal en una base de datos, incluida en la tarjeta de memoria. Esta base de datos, a pesar de estar cifrada, tiene una contraseña que puede ser fácilmente conocida por terceros, de modo que, si se tiene acceso a la tarjeta de memoria, se podría acceder a las conversaciones o comunicaciones.

“Whatsapp” afirma, en las condiciones y términos de uso, que ni se copia ni se guarda ni se archiva el contenido de los mensajes que se envían. Los mensajes de los usuarios de esta herramienta son almacenados en los servidores de “Whatsapp”, para que puedan remitirse a los destinatarios de los mismos, siempre y cuando sean usuarios de la app. Cuando el destinatario del mensaje no está conectado, dicho mensaje se almacena durante un periodo de 30 días, fecha a partir de la cual se borra en el caso de que no pueda ser entregado. De este modo, y a la vista de las debilidades del sistema, relacionadas con la ausencia de medidas de seguridad aceptables por la normativa española, la información contenida en esos mensajes puede quedar desprotegida, de manera que terceros puedan tener acceso a esos contenidos sin consentimiento y en los cuales puede haber datos de carácter personal.

Finalmente y si seguimos las consideraciones que emitió en su día la APDCAT, se desaconseja el uso del “Whatsapp”, o medio de comunicación semejante, en la relación entre la clínica y sus pacientes, ya que puede ser habitual en las conversaciones que aparezcan datos de salud y de categorías especiales y  la utilización de esta aplicación no resulta adecuada desde un punto de vista técnico, en relación con la seguridad exigida por la legislación en materia de protección de datos de carácter personal. Es por esto que, que la clínica tiene un grado de responsabilidad específico respecto al tratamiento de los datos personales de sus pacientes, que incluye la elección de los canales de comunicación más apropiados con los mismos.

En DATAX somos una empresa especializada en materia de protección de datos y seguridad de la información y podemos ofrecer asesoramiento personalizado para empresas del sector sanitario.

Ofrecemos un servicio de consultoría integral para adecuar a su organización a todos los requisitos del  Reglamento Europeo (RGPD 2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de obligado cumplimiento desde el 25 de mayo 2018.

Más de 16 años de experiencia en la adecuación de todo tipo de organizaciones y sectores de actividad, incluido el sector público y privado nos avalan.

Más de 10.000 clientes confían ya en nuestros conocimientos y profesionalidad en materia de protección de datos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *