ในช่วงไม่กี่ปีที่ผ่านมา กระแส Health & Wellness ได้เดินคู่ไปกับพฤติกรรมของผู้คนที่หันมาใส่ใจสุขภาพของตัวเองมากขึ้น จากเดิมที่การดูแลสุขภาพอาจหมายถึงการตรวจสุขภาพปีละครั้ง ปัจจุบันผู้คนจำนวนมากเริ่มให้ความสำคัญกับการดูแลสุขภาพในชีวิตประจำวันอย่างต่อเนื่อง ไม่ว่าจะเป็นการออกกำลังกาย อัตราการเต้นของหัวใจ คุณภาพการนอนหลับ ตลอดจนระดับความเครียด โดยอาศัยข้อมูลที่ดูได้ง่ายและสามารถนำไปปรับเปลี่ยนพฤติกรรมได้ทันที ผ่านอุปกรณ์ที่เรารู้จักกันดี ในชื่อ Smart Watch
เทรนด์ดังกล่าวสอดคล้องกับแนวทาง Digital Health ที่องค์การอนามัยโลก (WHO) อธิบายว่า เป็นการนำเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) มาใช้เพื่อสนับสนุนการตัดสินใจ การพัฒนาระบบการให้บริการด้านสุขภาพ และการส่งเสริมสุขภาวะของผู้คนในวงกว้าง
ในบริบทดังกล่าว Smart Watch หรืออุปกรณ์ wearable จึงได้ขยับสถานะจาก “อุปกรณ์เสริม” ไปสู่การเป็น “เทคโนโลยีสุขภาพส่วนบุคคล หรือ Digital Health” ที่ผู้คนเริ่มคุ้นเคยและใช้งานจริงจังมากขึ้น เนื่องจากช่วยให้ผู้ใช้งานสามารถติดตามข้อมูลสุขภาพได้แบบ real-time อย่างสะดวกและต่อเนื่อง มากกว่าการรอตรวจสุขภาพเป็นครั้งคราวเท่านั้น อย่างไรก็ดี องค์การอนามัยโลก (WHO) ก็ได้ชี้ให้เห็นเช่นกันว่า แม้ digital health จะเปิดโอกาสใหม่จำนวนมากในการดูแลสุขภาพ แต่ก็ต้องดำเนินควบคู่ไปกับการให้ความสำคัญต่อประเด็นด้านความเป็นส่วนตัว ความมั่นคงปลอดภัยทางไซเบอร์ มาตรฐานและความน่าเชื่อถือของระบบ โดยเฉพาะเมื่อเกี่ยวกับข้อมูลสุขภาพที่มีความอ่อนไหวและอาจเชื่อมโยงกับตัวบุคคลได้
ทั้งนี้ก็ด้วยเบื้องหลังความง่ายในการติดตามสุขภาพผ่าน Smart Watch นั้นคือ การเก็บ ใช้ และเชื่อมโยงข้อมูลส่วนบุคคลจำนวนมาก จึงทำให้คำถามเรื่องการคุ้มครองข้อมูลกลายเป็นหัวใจสำคัญของการใช้งานเทคโนโลยีประเภทนี้ ข้อมูลที่ Smart Watch เก็บอาจครอบคลุมทั้งข้อมูลกิจกรรม ข้อมูลสุขภาพ ข้อมูลตำแหน่งที่ตั้ง ตลอดจนข้อมูลที่สามารถเชื่อมโยงถึงตัวบุคคลได้ ซึ่งอาจเข้าข่ายเป็นข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ PDPA)
หากอธิบายให้เข้าใจง่ายนั้น ข้อมูลที่ Smart Watch มักเก็บได้สามารถแบ่งออกเป็น 4 กลุ่มใหญ่ ดังนี้
1. กลุ่มแรก คือ ข้อมูลกิจกรรม (Activity Data) เช่น จำนวนก้าว ระยะทาง แคลอรีที่ใช้ เวลาที่ออกกำลังกาย หรือประเภทกิจกรรมที่ผู้ใช้ทำในแต่ละวัน ข้อมูลชุดนี้เป็นพื้นฐานของฟังก์ชันสายสุขภาพแทบทุกชนิดบนอุปกรณ์ wearable
2. กลุ่มสอง คือ ข้อมูลสุขภาพ (Health Data) เช่น อัตราการเต้นของหัวใจ การนอนหลับ อัตราการหายใจ หรือค่าที่เกี่ยวข้องกับสุขภาวะทางกายบางประเภท ซึ่งเป็นข้อมูลที่ละเอียดกว่าข้อมูลกิจกรรมทั่วไป และสามารถสะท้อนสภาพร่างกายหรือพฤติกรรมสุขภาพของผู้ใช้ได้ค่อนข้างชัดเจน
3. กลุ่มสาม คือ ข้อมูลตำแหน่ง (Location Data) โดยเฉพาะเมื่อผู้ใช้งานเปิดการติดตามเส้นทางหรือเชื่อมต่อ GPS ข้อมูลนี้อาจบอกได้ว่าผู้ใช้อยู่ที่ไหน ออกกำลังกายเวลาใด และมีรูปแบบการเคลื่อนไหวอย่างไร ซึ่งเมื่อนำมารวมกับข้อมูลสุขภาพแล้วจะยิ่งทำให้เห็นพฤติกรรมชีวิตประจำวันอย่างละเอียดมากขึ้น
4. กลุ่มสุดท้าย คือ ข้อมูลการใช้งานอุปกรณ์และบริการ (Usage/Device Data) ข้อมูลบัญชีผู้ใช้
ข้อมูลที่ใช้ระบุอุปกรณ์ การเชื่อมต่อแอป การตั้งค่าระบบ หรือประวัติการใช้งานต่าง ๆ ข้อมูลเหล่านี้อาจดูไม่ใช่ “ข้อมูลส่วนบุคคล” โดยตรง แต่เมื่อเชื่อมโยงกับข้อมูลชุดอื่นก็สามารถทำให้ระบุตัวบุคคลได้
ภายใต้กฎหมาย PDPA ข้อมูลที่สามารถระบุตัวบุคคลได้ ไม่ว่าโดยตรงหรือโดยอ้อม ย่อมอาจเข้าข่ายเป็นข้อมูลส่วนบุคคล และหากเป็นข้อมูลที่เกี่ยวข้องกับสุขภาพ ก็อาจเข้าข่ายเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว ซึ่งอยู่ภายใต้เงื่อนไขทางกฎหมายที่เข้มงวดเป็นพิเศษ โดยเฉพาะในส่วนของฐานกฎหมายสำหรับการประมวลผล และการขอความยินยอมโดยชัดแจ้งในกรณีที่กฎหมายกำหนด
1) ความละเอียดของข้อมูลสุขภาพ
จุดที่ทำให้ข้อมูลจาก Smart Watch แตกต่างจากข้อมูลส่วนบุคคลทั่วไป คือ “ความละเอียด” และ “ความต่อเนื่อง” ของข้อมูล อุปกรณ์ wearable ไม่ได้เก็บข้อมูลเพียงครั้งเดียว แต่ติดตามเป็นรายวัน
รายชั่วโมง หรือบางครั้งแทบเป็นรายนาที จึงสามารถสะท้อนรูปแบบการใช้ชีวิตของบุคคลได้อย่างละเอียด เช่น เวลานอน เวลาตื่น ความสม่ำเสมอในการออกกำลังกาย หรือภาวะร่างกายในแต่ละช่วงเวลา
เมื่อข้อมูลมีความละเอียดมากขึ้น ความเสี่ยงด้านความเป็นส่วนตัวก็เพิ่มขึ้นตามไปด้วย
เพราะแม้ข้อมูลแต่ละชิ้นอาจดูไม่อ่อนไหวมากนัก แต่เมื่อนำมาประกอบกันก็อาจเผยให้เห็นภาพรวม
ของสุขภาพ พฤติกรรม หรือภาวะเฉพาะตัวของบุคคลได้ชัดเจนกว่าที่ผู้ใช้คาดคิด
ในมุม PDPA ประเด็นนี้จึงสำคัญ เพราะนอกจากผู้ควบคุมข้อมูลจะต้องพิจารณาว่า “เก็บข้อมูลประเภทใด” ยังควรที่จะต้องพิจารณาอีกว่า “ข้อมูลนั้นมีความละเอียดระดับใด” และ “สามารถใช้อนุมานอะไรเกี่ยวกับเจ้าของข้อมูลได้บ้าง” โดยเฉพาะเมื่อข้อมูลดังกล่าวสะท้อนถึงสภาวะทางกายหรือสุขภาพของบุคคล ก็อาจยิ่งเข้าใกล้ลักษณะของข้อมูลส่วนบุคคลอ่อนไหวมากขึ้น ทั้งนี้แม้ PDPA ไทยยังไม่ได้ให้นิยาม “ข้อมูลสุขภาพ (data concerning health)” ไว้อย่างละเอียด แต่ GDPR ให้นิยามไว้ค่อนข้างกว้าง โดยครอบคลุมข้อมูลส่วนบุคคลที่เกี่ยวกับสุขภาพกายหรือจิต รวมถึงข้อมูลที่เปิดเผยถึงสถานะสุขภาพของบุคคล และอาจรวมถึงข้อมูลเกี่ยวกับโรค ความเสี่ยงของโรค ประวัติการรักษา หรือภาวะทางสรีรวิทยาของบุคคล โดยไม่จำกัดแหล่งที่มาของข้อมูลด้วย ดังนั้น หากข้อมูลจาก Smart Watch สามารถเปิดเผยถึงสถานะสุขภาพของบุคคลได้จริง ก็ย่อมต้องได้รับการพิจารณาอย่างรอบคอบมากขึ้นในมิติของการคุ้มครองข้อมูลส่วนบุคคล
2) การเชื่อมโยงข้อมูลกับแอปและแพลตฟอร์ม
Smart Watch โดยทั่วไปไม่ได้ทำงานอย่างเป็นอิสระ แต่ทำงานร่วมกับระบบอื่นๆ ซึ่งประกอบด้วย ตัวอุปกรณ์ แอปบนมือถือ คลาวด์แพลตฟอร์ม และบริการเสริมอื่นๆ ข้อมูลที่วัดจากข้อมือผู้ใช้จึงมักถูกส่งต่อไปยังแอป จากนั้นอาจถูกเก็บหรือประมวลผลบนระบบที่บันทึกไว้บนคลาวด์ และในบางกรณีก็อาจเชื่อมกับบริการด้านสุขภาพ การวิจัย หรือพันธมิตรทางธุรกิจอื่น ๆ ได้
ตรงนี้เองที่ทำให้เกิดประเด็นการส่ง/โอนข้อมูล (Data Sharing) อย่างหลีกเลี่ยงไม่ได้ และสิ่งที่สำคัญ คือ ผู้ใช้ควรได้ทราบว่าข้อมูลของตนถูกส่งไปที่ใด ใครเป็นผู้ควบคุมข้อมูล ใครเป็นผู้ประมวลผลข้อมูล และยิ่งไปกว่านั้น หากผู้รับข้อมูลบางรายอยู่ต่างประเทศ ก็ย่อมเกี่ยวข้องกับหลักเกณฑ์เรื่อง การส่งหรือโอนข้อมูลส่วนบุคคลข้ามประเทศ ตาม PDPA ด้วย ซึ่งทำให้ต้องพิจารณาเรื่องมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอของประเทศปลายทางหรือข้อยกเว้นตามมาตรา 28 ประกอบด้วย
3) การนำข้อมูลไปวิเคราะห์และพัฒนาเทคโนโลยี
อีกประเด็นสำคัญในยุค Digital Health คือ ข้อมูลจาก wearable ไม่ได้ถูกใช้เพียงเพื่อแสดงผลให้เจ้าของข้อมูลดูเท่านั้น แต่ยังอาจถูกนำไปใช้เพื่อ วิเคราะห์แนวโน้มสุขภาพ พัฒนาฟีเจอร์ใหม่ ทำ health analytics หรือพัฒนา AI ได้ด้วย ในเชิงนโยบายเรื่องนี้มีทั้งโอกาสและความเสี่ยงควบคู่กัน ด้านหนึ่ง ข้อมูลจำนวนมากอาจช่วยให้เกิดนวัตกรรมสุขภาพที่แม่นยำและตอบโจทย์ผู้ใช้มากขึ้น แต่อีกด้านหนึ่ง ผู้ใช้อาจไม่ทราบอย่างชัดเจนว่าข้อมูลของตนถูกนำไปใช้เกินกว่าการให้บริการพื้นฐานหรือไม่ และถูกใช้ไปเพื่อวัตถุประสงค์ใด
ประเด็นนี้จึงเชื่อมโยงโดยตรงกับหลักความโปร่งใส (transparency) กล่าวคือ หากบริษัทจะนำข้อมูล wearable ไปใช้เพื่อพัฒนาระบบ วิเคราะห์พฤติกรรม หรือฝึกโมเดล ก็ควรกำหนดวัตถุประสงค์ให้ชัดเจน แจ้งผู้ใช้ให้เข้าใจถึงขอบเขตของการใช้ข้อมูล และพิจารณาฐานการประมวลผลที่ถูกต้องและเหมาะสมประกอบกับมาตรการรักษาความมั่นคงปลอดภัยที่เพียงพอ
เพื่อให้เห็นภาพชัดขึ้นว่า ข้อมูลจาก Smart Watch ไม่ได้เป็นเพียงข้อมูลสุขภาพส่วนบุคคล แต่ยังเชื่อมโยงกับประเด็นทางกฎหมายและความเป็นส่วนตัวที่ซับซ้อน บทความนี้จึงหยิบกรณีศึกษาที่เกี่ยวข้องมาพิจารณา ทั้งคดีที่มีการใช้ข้อมูลจาก wearable เป็นหลักฐาน มาตรการกำกับดูแลข้อมูลสุขภาพ และกรณีการเปิดเผยข้อมูลโดยไม่ตั้งใจ เพื่อชี้ให้เห็นว่า ข้อมูลจากอุปกรณ์ลักษณะนี้มีผลกระทบมากกว่าที่เห็นในการใช้งานประจำวัน
1) Court decisions: เมื่อข้อมูลจาก Wearable กลายเป็นพยานหลักฐาน
ในช่วงไม่กี่ปีที่ผ่านมา ข้อมูลจาก wearable เริ่มถูกนำมาใช้เป็น “พยานหลักฐาน” ในกระบวนการยุติธรรมมากขึ้น ตัวอย่างเช่น คดี State v. Bowman (2022) คดีอาญาที่เกิดขึ้นในรัฐโอไฮโอ ซึ่งศาลตัดสินโดยให้น้ำหนักแก่หลักฐานที่ได้จาก Smart Watch ของผู้เสียชีวิต ข้อมูลการเคลื่อนไหวและอัตราการเต้นของหัวใจถูกใช้ประกอบการวิเคราะห์ช่วงเวลาที่เกิดเหตุและหักล้างคำกล่าวอ้างของจำเลย
หรือกรณีของ Hollins v. Biomet คดีแพ่งเกี่ยวกับข้อกล่าวหาเรื่องอุปกรณ์สะโพกเทียมของ Biomet โดยศาลสหรัฐมีคำสั่งให้โจทก์ซึ่งสวม Fitbit ต้องเปิดเผยข้อมูลส่วนบุคคล เช่น ข้อมูลจำนวนก้าว เพราะเห็นว่าเกี่ยวข้องกับข้ออ้างเรื่องความเจ็บปวดและการเคลื่อนไหวของร่างกาย โดยแม้ศาลจะยอมให้ปกปิดข้อมูลบางประเภทที่ไม่เกี่ยวข้องและมีความเป็นส่วนตัวสูง เช่น ข้อมูลอัตราการเต้นของหัวใจหรือข้อมูลการนอนหลับก็ตาม
กรณีเหล่านี้ชี้ให้เห็นว่า ข้อมูลจาก wearable ไม่ได้เป็นเพียงข้อมูลสุขภาพส่วนบุคคลเท่านั้น แต่ยังอาจเปลี่ยนสถานะเป็นหลักฐานในคดี หรือกลายเป็นจุดตั้งต้นของข้อพิพาททางกฎหมายได้ด้วย
2) Regulatory case studies: เมื่อการกำกับดูแลขยายสู่ข้อมูลสุขภาพในชีวิตประจำวัน
ในเชิงกำกับดูแล หน่วยงานรัฐทั่วโลกเริ่มให้ความสำคัญกับข้อมูลสุขภาพจากเทคโนโลยีมากขึ้น โดยเฉพาะกรณีการควบรวมกิจการระหว่าง Google และ Fitbit ที่ถูกตรวจสอบอย่างเข้มงวดโดยสหภาพยุโรป (EU) เนื่องจากมีความกังวลว่า Google อาจเข้าถึงข้อมูลสุขภาพและข้อมูลการออกกำลังกายของผู้ใช้ Fitbit มากขึ้น และนำข้อมูลเหล่านี้ไปใช้เพื่อประโยชน์ทางธุรกิจได้ สุดท้ายจึงมีการกำหนดเงื่อนไขหลายอย่างเพื่อจำกัดการใช้ข้อมูลและลดผลกระทบต่อการแข่งขันในตลาด
ขณะเดียวกัน ในสหรัฐอเมริกา ก็มีการใช้กฎ FTC Health Breach Notification Rule
กับแอปพลิเคชันและอุปกรณ์สุขภาพบางประเภทที่ไม่ได้อยู่ภายใต้กฎหมายคุ้มครองข้อมูลสุขภาพของสหรัฐฯ อย่าง HIPAA เพื่อบังคับให้ผู้ให้บริการต้องแจ้งผู้ใช้เมื่อเกิดเหตุข้อมูลรั่วไหลหรือถูกเปิดเผยโดยไม่ได้รับอนุญาตกรณีเหล่านี้สะท้อนให้เห็นว่า การกำกับดูแลข้อมูลสุขภาพไม่ได้จำกัดอยู่แค่ข้อมูลที่เกิดขึ้นในโรงพยาบาลหรือสถานพยาบาลอีกต่อไป แต่ได้ขยายมาครอบคลุมข้อมูลสุขภาพที่เกิดขึ้นในชีวิตประจำวันผ่านแอปและอุปกรณ์ดิจิทัลมากขึ้นอย่างชัดเจน
3) Strava Heatmap: เมื่อข้อมูลกิจกรรมนำไปสู่การเปิดเผยข้อมูลโดยไม่ตั้งใจ
อีกหนึ่งกรณีที่ถูกพูดถึงอย่างกว้างขวางคือ Strava Heatmap ซึ่งเป็นฟีเจอร์ที่นำข้อมูลกิจกรรมจาก GPS ของผู้ใช้ เช่น การวิ่งหรือปั่นจักรยาน มาสร้างเป็นแผนที่ความหนาแน่นทั่วโลก เดิมทีฟีเจอร์นี้ถูกออกแบบขึ้นเพื่อให้ผู้ใช้เห็นภาพรวมของกิจกรรมและเส้นทางยอดนิยม แต่ต่อมากลับมีการพบว่า heatmap ดังกล่าวสามารถเผยให้เห็นตำแหน่งและรูปแบบการเคลื่อนไหวในพื้นที่ทางภูมิศาสตร์ที่อ่อนไหว เช่น ฐานทัพทหารและพื้นที่ปฏิบัติการทางทหารในบางประเทศได้ กรณีนี้จึงกลายเป็นตัวอย่างของ การเปิดเผยข้อมูลโดยไม่ตั้งใจ หรือ unintended data exposure ที่เกิดจากการนำข้อมูลจำนวนมากมาวิเคราะห์และเผยแพร่โดยไม่ได้ประเมินความเสี่ยงอย่างรอบด้าน และกรณีนี้ยิ่งย้ำให้เห็นว่า ปัญหาไม่ได้อยู่เพียงการเก็บข้อมูลเท่านั้น แต่ยังอยู่ที่การนำข้อมูลไปใช้ วิเคราะห์ และเผยแพร่ต่อด้วย
เมื่อ Smart Watch กลายเป็นส่วนหนึ่งของชีวิตประจำวันมากขึ้น คำถามสำคัญจึงไม่ได้อยู่แค่ว่าอุปกรณ์นี้มีประโยชน์หรือไม่ แต่คือเราจะกำกับดูแลข้อมูลที่เกิดจากอุปกรณ์เหล่านี้อย่างไร
1. คำถามแรกคือ ข้อมูลจาก Smart Watch ควรถูกกำกับดูแลในระดับใด? เพราะแม้จะไม่ใช่เวชระเบียนในระบบโรงพยาบาลโดยตรง แต่ข้อมูลจำนวนมากก็สะท้อนสุขภาพและพฤติกรรมของบุคคลได้อย่างละเอียดมากขึ้น
2. คำถามที่สองคือ การใช้ข้อมูล wearable เพื่อพัฒนาเทคโนโลยีควรมีขอบเขตอย่างไร? โดยเฉพาะในยุคที่การวิเคราะห์ข้อมูลและ AI กลายเป็นหัวใจของนวัตกรรมสุขภาพ การกำหนดกรอบเรื่องวัตถุประสงค์ ความโปร่งใส และการควบคุมการใช้ข้อมูลจึงมีความสำคัญอย่างมาก
3. คำถามที่สามคือ ผู้ใช้งานควรได้รับรู้ข้อมูลเกี่ยวกับการใช้ข้อมูลส่วนบุคคลของตนมากน้อยเพียงใด? เพราะในทางปฏิบัติ การคุ้มครองข้อมูลที่มีประสิทธิภาพอาจไม่ควรหยุดอยู่เพียงการแจ้งตามกฎหมายขั้นต่ำเท่านั้น แต่ควรทำให้ผู้ใช้เข้าใจได้อย่างชัดเจนด้วยว่า ข้อมูลของตนจะถูกนำไปใช้ในขอบเขตใดและเพื่อวัตถุประสงค์ใดบ้าง
อย่างไรก็ดี การพูดถึง Smart Watch เฉพาะในแง่ของความเสี่ยง อาจทำให้ภาพของ Smart Watch ดูเป็นเรื่องที่น่ากังวลมากเกินไป เพราะในความเป็นจริง Smart Watch ยังมีประโยชน์อย่างมากต่อการดูแลสุขภาพในชีวิตประจำวัน ประเด็นสำคัญจึงไม่ใช่การหลีกเลี่ยงเทคโนโลยีประเภทนี้ แต่คือการออกแบบและใช้งานเทคโนโลยีเหล่านี้ภายใต้หลักการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม ดังนี้
• ประการแรก คือ การแจ้งข้อมูลแก่ผู้ใช้ซึ่งเป็นเจ้าของข้อมูล อย่างชัดเจน ด้วยภาษาที่เข้าใจง่าย ควรแจ้งว่าอุปกรณ์เก็บข้อมูลส่วนบุคคลประเภทอะไร ใช้เพื่ออะไร เก็บไว้นานเพียงใด และส่งต่อให้ใคร โดยเฉพาะเมื่อเป็นข้อมูลสุขภาพซึ่งมีความอ่อนไหวมากกว่าข้อมูลทั่วไป การสื่อสารที่โปร่งใสจึงเป็นหัวใจสำคัญของการคุ้มครองข้อมูลตาม PDPA
• ประการที่สอง คือ Privacy by design หรือการออกแบบโดยคำนึงถึงความเป็นส่วนตัวตั้งแต่ต้นน้ำไปจนถึงปลายน้ำ ไม่ว่าจะเป็นการเก็บข้อมูลเท่าที่จำเป็น การเปิดให้ผู้ใช้เลือกควบคุมฟังก์ชันที่เกี่ยวข้องกับข้อมูลละเอียดได้อย่างชัดเจน หรือการแยกคำขอความยินยอมตามวัตถุประสงค์ ขณะเดียวกัน หากการประมวลผลข้อมูลมีความเสี่ยงสูงต่อเจ้าของข้อมูล อาทิ มีการใช้ปัญญาประดิษฐ์ ประมวลผลข้อมูลส่วนบุคคลอ่อนไหวปริมาณมาก ผู้ใช้เป็นผู้เยาว์หรือผู้เปราะบาง ควรมีการทำแบบประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment: DPIA) เพื่อประเมินว่าการเก็บ ใช้ หรือเปิดเผยข้อมูลอาจก่อให้เกิดความเสี่ยงใดบ้าง และควรวางมาตรการเพื่อลดผลกระทบได้อย่างไร หลักคิดนี้ช่วยให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพมากขึ้น เพราะเป็นส่วนหนึ่งของการพัฒนาเทคโนโลยีตั้งแต่ต้น
• ประการที่สาม คือ มาตรการด้านความมั่นคงปลอดภัยของข้อมูลที่เพียงพอ เพราะแม้จะมีฐานกฎหมายและการแจ้งข้อมูลครบถ้วนแล้ว แต่หากระบบยังไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมเท่าที่จำเป็น ความเสี่ยงก็ยังคงอยู่ ผู้ควบคุมข้อมูลจึงควรมีมาตรการทั้งในเชิงองค์กร เชิงเทคนิค และเชิงกายภาพ รวมถึงแนวทางรองรับกรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคลด้วย
Smart Watch ในยุค Digital Health ไม่ได้เพียงแค่ทำให้การติดตามสุขภาพสะดวกและต่อเนื่อง แต่ยังสร้างคำถามสำคัญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะเมื่อข้อมูลที่เก็บอาจเชื่อมโยงถึงตัวบุคคลและอาจเป็นข้อมูลสุขภาพที่มีความอ่อนไหวภายใต้ PDPA ดังนั้น การใช้งานเทคโนโลยีลักษณะนี้ให้มีประสิทธิภาพและปลอดภัยจะต้องอาศัยการพัฒนาที่คำนึงถึงหลักการคุ้มครองข้อมูลที่เหมาะสม เช่น การแจ้งข้อมูลรายละเอียดการใช้ข้อมูลส่วนบุคคลให้ผู้ใช้อย่างชัดเจน การออกแบบระบบที่คำนึงถึงความเป็นส่วนตัวตั้งแต่ต้น รวมถึงการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อให้ Smart Watch กลายเป็นเครื่องมือที่ช่วยดูแลสุขภาพโดยไม่ละเมิดสิทธิความเป็นส่วนตัวของผู้ใช้งาน
