COVID-19 y aplicaciones móviles e informáticas recomendaciones básicas para desarrolladores.

* NdA.-Estas recomendaciones de sentido común con toda seguridad no agotan todas las posibilidades, ni pretenden otra cosa que ayudar desde el sentido común. No olvide seguro las recomendaciones que eventualmente definan las autoridades.

El Comunicado de la AEPD en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus, y los avisos contra phising y aplicaciones maliciosas que el entorno de RedIris lanza en sus servicios de correo electrónico resultan estremecedores. Leo también este aviso en Linkedin que CovidLock es una peligrosa aplicación y los resultados del navegador me lo confirman. No puedo sino entender que la miseria humana y la maldad también emergen en tiempos de crisis. Sin embargo, una vez superada la natural sensación de asco hay que ponerse manos a la obra en positivo y tratar de ayudar con algunas ideas que no agotan en absoluto el elenco de consejos posibles. Hay personas muy bien intencionadas que están ofreciendo lo mejor de sí mismas y es nuestro deber contribuir positivamente a sus acciones.

Se propone aquí un breve decálogo de recomendaciones:

1.-Los servicios de salud se encuentran saturados y sus gestores necesitan tomar decisiones cualitativas. No es el momento de enfrentarse, de dar lecciones o competir con el servicio público. Ahora, toca ponerse a disposición de las autoridades de modo proactivo y paciente.

En este sentido una cosa es innovar y otra duplicar esfuerzos. Competir con servicios alternativos a los existentes que originen confusión en el usuario puede llegar a ser peligroso. Las personas enfermas, reales o potenciales, no pueden ser desviadas de los circuitos oficiales y establecidos. Si nuestras autoridades necesitan apoyo en este ámbito a buen seguro lo solicitarán.

2.-Si estás pensando en innovar, en aportar nuevas soluciones nadie impide tu derecho a investigar. Sin embargo, debes recordar que cuando el software opera como producto sanitario exige de un esfuerzo regulado que implica procesos de verificación, y comprobación. Llevados por la urgencia no podemos lanzar un producto no verificado.

3.-Desarrollar e implementar productos relacionados con la salud de las personas implica una enorme responsabilidad. En tiempos de epidemia todos estamos dispuestos a creer en milagros, unos en que los hacemos, otros en qué existen. No podemos levantar falsas expectativas. Y, si realmente hemos desarrollado una solución novedosa, rigurosa y confiable, pongámosla primero a disposición de las autoridades sanitarias, aseguremos que existen procedimientos de verificación y control.

4.-Las aplicaciones destinadas a informar, apoyar o seguir pacientes, entre otras funciones posibles, tratan datos personales. Esto implica una enorme responsabilidad. Utilizar estos tiempos de crisis para abusar de la confianza de los usuarios es intolerable. Mercadear con la angustia vital para monetizar la privacidad es de una bajeza moral incalificable y debe ser perseguido con el mayor rigor.

5.-Para seguir las reglas dispones de ayuda y referencias:

▪ Para el desarrollo de software

– Norwegian Data Protection Authority. Software development with Data Protection by Design and by Default.

– Agencia Española de Protección de Datos. Guía de Privacidad desde el diseño.

▪ Desarrollo y seguridad. Recomendaciones de ENISA

Privacy and data protection in mobile applications.

Privacy and Data Protection by Design.

Privacy by design in big data.

▪ Herramientas para desarrollar una evaluación de impacto relativa a la protección de datos.

– CNIL. Tool to develop a PIA

– Agencia Española de Protección de Datos. Gestiona EIPD. Asistente para el análisis de riesgos y evaluaciones de impacto en protección de datos.

▪ Información al usuario.

– Agencia Española de Protección de Datos. El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles.

▪ Sobre anonimización.

– ENISA. Pseudonymisation techniques and best practices. Recommendations on shaping technology according to data protection and privacy provisions.

– Working Party Art. 29. Opinion 05/2014 on «Anonymisation Techniques.

– Agencia Española de Protección de Datos.

Introducción al Hash como técnica de seudonimización de datos personales

La K-anonimidad como medida de la privacidad

Orientaciones y garantías en los procedimientos de ANONIMIZACIÓN de datos personales

6.-En el caso de que se desarrolle un proceso de investigación puedes consultar el documento “European Commission. Guidance note on ethics and data protection”.

7.-Cuando desarrolles tu actividad en el seno de una empresa o institución debes seguir los procedimientos establecidos. Tu iniciativa podría implicar incumplimientos normativos o éticos de los que la entidad acabaría siendo responsable. Una iniciativa individual que no respete los procedimientos internos puede no solo es disfuncional, puede causar repercusiones económicas y graves daños reputacionales a tu entidad.

8.-Cuando tu desarrollo pueda repercutir en los derechos de las personas tienes la obligación de cumplir estrictamente con los protocolos éticos y de cumplimiento normativo. Su función no es poner trabas sino asegurar el principio de no malifeciencia: “no podemos hacer daño”.

9.-Confía en los profesionales internos. La figura del delegado de protección de datos y la del responsable de seguridad cumplen con una función de soporte fundamental. Si te ayudan desde el principio podrás conseguir tus objetivos con garantías.

10.-El objetivo común que nos anima a todas ya todos es la lucha contra una pandemia. Y ello exige un esfuerzo interdisciplinar. Es el momento de cooperar y desde este blog se hace una llamada a los colectivos de expertos a cooperar en esfuerzos conjuntos que aseguren que los desarrollos:

▪ Son funcionales y útiles a las necesidades del sistema.

▪ Respetan los derechos de las personas.

▪ Son seguros.

Es el momento en el que asociaciones, colegios profesionales, y grupos de expertos deben cooperar pro-bono al servicio de la comunidad.