Blog

Apps mòbils

L’ús del “Whatsapp” i els seus riscos en les relacions entre clínica i pacient

19 novembre, 2021
L’ús del “Whatsapp” i els seus riscos en les relacions entre clínica i pacient

Podríem nomenar l’ampli ventall d’avantatges que, en general, aporten les noves tecnologies de la informació i comunicació en el desenvolupament de l’activitat professional, però en aquest cas, informarem del dictamen que va emetre en el seu moment l’Agència de Protecció de Dades Catalana (d’ara endavant, APDCAT), en relació a la consulta d’un Col·legi d’Advocats, en el qual es posava de manifest expressament, els riscos que pot implicar l’ús de les aplicacions (apps) de missatgeria instantània “Whatsapp”  en la relació advocat i client, i que es pot extrapolar a les comunicacions mantingudes entre les clíniques i els seus pacients.

Segons l’anàlisi feta per la APDCAT, assenyalem una sèrie de riscos en l’ús del “Whatsapp”, així com el grau d’adequació d’aquestes aplicacions a la legislació de protecció de dades de caràcter personal.

Pels quals respecta a les clíniques, des del moment que és inclòs el pacient o el possible pacient en la “llista de contactes” de l’agenda telefònica, l’ús d’aquestes aplicacions per part de la clínica comporta, el tractament d’unes dades que poden considerar-se de caràcter personal. Es considera informació de caràcter personal les dades relatives al Nom i/o Cognoms, Correu Electrònic, Telèfon Mòbil, Foto de perfil, Estat del perfil, i fins i tot la informació sobre la data i hora en què es connecta un usuari. Per descomptat, si a això s’afegeix que, en el contingut dels missatges poden constar dades personals del propi pacient o d’una altra/s persona/s física/s involucrades en l’assumpte confiat, s’amplien les dades a protegir.

A més, ha de tenir-se en compte que, per la pròpia naturalesa de la relació entre la clínica i els seus pacients, és possible que, entre el contingut de les converses en els missatges, s’incorporin dades especialment sensibles (entre altres, dades relatives a la salut, física o mental).

En aquest cas, tal com manifesta l’anàlisi feta per la APDCAT, aquesta app no garanteix la seguretat de les comunicacions electròniques. Així, “Whatsapp” no pot assegurar ni garantir la seguretat de la informació que l’usuari transmet, i que l’usuari assumeix el risc d’aquesta transmissió.

Posada la seguretat a debat, s’esmenten a més una sèrie de vulnerabilitats que, des de l’inici de “Whatsapp” han estat detectades i analitzades; la companyia ha anat corregint vulnerabilitats, de manera que la APDCAT només fa referència a aquelles que no es té constància que hagin estat resoltes, com les contrasenyes i el xifrat.

Aquesta app disposa d’un sistema de contrasenyes feble, de manera que és relativament senzill suplantar a un usuari i enviar i rebre missatges de manera fraudulenta. Aquesta contrasenya es troba emmagatzemada en un arxiu no xifrat del terminal i, per tant, es continua constatant la vulnerabilitat de l’aplicació.

Així mateix, tots els missatges que s’envien a través de “Whatsapp” són xifrats. Podríem dir que compleix amb els requisits de l’article 32.1.a) del RGPD, que es refereix a l’opció del xifrat com a mesura tècnica per a garantir un nivell de seguretat adequat al risc, tenint en compte factors com l’estat de la tècnica, els costos d’aplicació, i la naturalesa, l’abast, el context i les finalitats del tractament.

Ara bé, encara que les converses es transmetin de manera segura (xifrada), queden emmagatzemades en el terminal en una base de dades, inclosa en la targeta de memòria. Aquesta base de dades, malgrat estar xifrada, té una contrasenya que pot ser fàcilment coneguda per tercers, de manera que, si es té accés a la targeta de memòria, es podria accedir a les converses o comunicacions.

“Whatsapp” afirma, en les condicions i termes d’ús, que ni es copia ni es guarda ni s’arxiva el contingut dels missatges que s’envien. Els missatges dels usuaris d’aquesta eina són emmagatzemats en els servidors de “Whatsapp”, perquè puguin remetre’s als destinataris d’aquests, sempre que siguin usuaris de l’app. Quan el destinatari del missatge no està connectat, aquest missatge s’emmagatzema durant un període de 30 dies, data a partir de la qual s’esborra en el cas que no pugui ser lliurat. D’aquesta manera, i a la vista de les febleses del sistema, relacionades amb l’absència de mesures de seguretat acceptables per la normativa espanyola, la informació continguda en aquests missatges pot quedar desprotegida, de manera que tercers puguin tenir accés a aquests continguts sense consentiment i en els quals pot haver-hi dades de caràcter personal.

Finalment i si seguim les consideracions que va emetre en el seu moment la APDCAT, es desaconsella l’ús del “Whatsapp”, o mitjà de comunicació semblant, en la relació entre la clínica i els seus pacients, ja que pot ser habitual en les converses que apareguin dades de salut i de categories especials i  la utilització d’aquesta aplicació no resulta adequada des d’un punt de vista tècnic, en relació amb la seguretat exigida per la legislació en matèria de protecció de dades de caràcter personal. És per això que, que la clínica té un grau de responsabilitat específic respecte al tractament de les dades personals dels seus pacients, que inclou l’elecció dels canals de comunicació més apropiats amb aquests.

 

A DATAX som una empresa especialitzada en matèria de protecció de dades i seguretat de la informació.

Oferim un servei de consultoria integral per a adequar a la seva organització a tots els requisits del Reglament Europeu (RGPD 2016/679) relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, d’obligat compliment des del 25 de maig 2018.

Més de 16 anys d’experiència en l’adequació de tota mena d’organitzacions i sectors d’activitat, inclòs el sector públic i privat ens avalen.

Més de 10.000 clients confien ja en els nostres coneixements i professionalitat en la matèria.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *