Privacidade

Dados os hábitos pouco saudáveis ​​de coleta de dados de alguns aplicativos mHealth, é aconselhável agir com cuidado ao escolher com quem você compartilha alguns de seus dados mais confidenciais.

Phil Muncaster

Março 19 2024
 . 
,
5 minutos. ler

Na economia digital de hoje existe um aplicativo para quase tudo. Uma área que está crescendo mais do que a maioria é a saúde. Desde rastreadores de menstruação e fertilidade até saúde mental e atenção plena, existem aplicativos móveis de saúde (mHealth) disponíveis para ajudar em quase todas as condições. Na verdade, é um mercado que já regista um crescimento de dois dígitos e que deverá valer a pena. um estimado US $ 861 bilhões por 2030.

Mas ao usar esses aplicativos, você pode compartilhar alguns dos dados mais confidenciais que possui. Na verdade, o Classificações do GDPR informações médicas como dados de “categoria especial”, o que significa que poderiam “criar riscos significativos para os direitos e liberdades fundamentais do indivíduo” se divulgadas. É por isso que os reguladores exigem que as organizações forneçam proteções extras para isso.

Infelizmente, nem todos os desenvolvedores de aplicativos têm em mente os melhores interesses de seus usuários ou sempre sabem como protegê-los. Podem poupar nas medidas de protecção de dados ou nem sempre deixe claro sobre a quantidade de suas informações pessoais que eles compartilham com terceiros. Com isso em mente, vamos dar uma olhada nos principais riscos de privacidade e segurança do uso desses aplicativos e como você pode se manter seguro.

Quais são os principais riscos de privacidade e segurança dos aplicativos de saúde?

Os principais riscos da utilização de aplicações mHealth enquadram-se em três categorias: segurança de dados insuficiente, partilha excessiva de dados e políticas de privacidade mal formuladas ou deliberadamente evasivas.

1. Preocupações com a segurança dos dados

Muitas vezes, isso ocorre porque os desenvolvedores não seguem as regras de práticas recomendadas em segurança cibernética. Eles poderiam incluir:

• Aplicativos que não são mais suportados ou não recebem atualizações: os fornecedores podem não ter um programa de divulgação/gerenciamento de vulnerabilidades em vigor ou ter pouco interesse em atualizar seus produtos. Seja qual for o motivo, se o software não receber atualizações, significa que pode estar repleto de vulnerabilidades que os invasores podem explorar para roubar seus dados.
• Protocolos inseguros: aplicativos que usam protocolos de comunicação inseguros podem expor os usuários ao risco de hackers interceptarem seus dados em trânsito do aplicativo para o back-end do provedor ou servidores em nuvem, onde são processados.
• Sem autenticação multifator (MFA): os serviços mais conceituados hoje oferecem MFA como forma de reforçar a segurança na fase de login. Sem ele, os hackers poderiam obter sua senha por meio de phishing ou uma violação separada (se você reutilizar senhas em aplicativos diferentes) e fazer login como se fossem você.
• Gerenciamento inadequado de senhas: por exemplo, aplicativos que permitem aos usuários manter senhas padrão de fábrica ou definir credenciais inseguras, como “passw0rd” ou “111111”. Isso deixa o usuário exposto ao preenchimento de credenciais e outras tentativas de força bruta para invadir suas contas.
• Segurança empresarial: as empresas de aplicativos também podem ter controles e processos de segurança limitados em seu próprio ambiente de armazenamento de dados. Isso pode incluir treinamento deficiente de conscientização do usuário, detecção limitada de antimalware e de endpoint/rede, ausência de criptografia de dados, controles de acesso limitados e ausência de processos de gerenciamento de vulnerabilidades ou de resposta a incidentes em vigor. Tudo isso aumenta as chances de sofrer uma violação de dados.

2. Compartilhamento excessivo de dados

As informações de saúde dos utilizadores (PHI) podem incluir detalhes altamente sensíveis sobre doenças sexualmente transmissíveis, adição de substâncias ou outras condições estigmatizadas. Estes podem ser vendidos ou partilhados com terceiros, incluindo anunciantes para marketing e anúncios direcionados. Entre os exemplos anotado pela Mozilla são provedores de mHealth que:

• combinar informações sobre usuários com dados adquiridos de corretores de dados, sites de mídia social e outros provedores para construir perfis de identidade mais completos,
• não permitir que os usuários solicitem a exclusão de dados específicos,
• usar inferências feitas sobre os usuários quando eles respondem a questionários de inscrição que fazem perguntas reveladoras sobre orientação sexual, depressão, identidade de gênero e muito mais,
• permitir cookies de sessão de terceiros que identificam e rastreiam usuários em outros sites para veicular anúncios relevantes,
• permitir a gravação da sessão, que monitora os movimentos do mouse, rolagem e digitação do usuário.

3. Políticas de privacidade pouco claras

Alguns fornecedores de mHealth podem não ser honestos sobre algumas das práticas de privacidade acima referidas, utilizando linguagem vaga ou ocultando as suas atividades nas letras pequenas dos T&Cs. Isso pode dar aos usuários uma falsa sensação de segurança/privacidade.

O que diz a lei

• GDPR: A principal lei de proteção de dados da Europa é bastante inequívoca sobre as organizações que lidam com PHI de categoria especial. Os desenvolvedores precisam realizar avaliações de impacto na privacidade, seguir os princípios do direito ao apagamento e minimização de dados e tomar “medidas técnicas apropriadas” para garantir que “as salvaguardas necessárias” sejam incorporadas para proteger os dados pessoais.
• HIPAA: Os aplicativos mHealth oferecidos por fornecedores comerciais para uso individual não são cobertos pela HIPAA, porque os fornecedores não são “entidade coberta" ou "sócio de negócios.” No entanto, alguns são – e exigem a implementação de salvaguardas administrativas, físicas e técnicas adequadas, bem como uma avaliação anual Análise de risco.
• CCPA e CMIA: Os residentes da Califórnia têm duas leis que protegem a sua segurança e privacidade num contexto de mHealth: a Lei de Confidencialidade de Informações Médicas (CMIA) e a Lei de Privacidade do Consumidor da Califórnia (CCPA). Essas demandas um elevado padrão de proteção de dados e consentimento explícito. No entanto, eles se aplicam apenas aos californianos.

Tomando medidas para proteger sua privacidade

Cada pessoa terá um apetite de risco diferente. Alguns acharão que a troca entre serviços/publicidade personalizados e privacidade é algo que estão dispostos a fazer. Outros podem não se incomodar se alguns dados médicos forem violados ou vendidos a terceiros. Trata-se de encontrar o equilíbrio certo. Se você estiver preocupado, considere o seguinte:

• Faça sua pesquisa antes de baixar. Veja o que outros usuários dizem e se há algum sinal de alerta de revisores confiáveis
• Limite o que você compartilha por meio desses aplicativos e presuma que tudo o que você disser poderá ser compartilhado
• Não conecte o aplicativo às suas contas de mídia social nem as use para fazer login. Isso limitará quais dados podem ser compartilhados com essas empresas
• Não dê permissão aos aplicativos para acessar a câmera do seu dispositivo, localização, etc.
• Limite o rastreamento de anúncios nas configurações de privacidade do seu telefone
• Sempre use MFA quando oferecido e crie senhas fortes e exclusivas
• Mantenha o aplicativo na versão mais recente (mais segura)

Desde que Roe vs Wade foi anulado, o debate sobre a privacidade do mHealth tomou um rumo preocupante. Alguns deram o alarme que os dados dos rastreadores de período menstrual poderiam ser usados ​​em processos contra mulheres que buscam interromper a gravidez. Para um número crescente de pessoas que procuram aplicativos mHealth que respeitem a privacidade, os riscos não poderiam ser maiores.