Riesgos jurídicos de esta herramienta

¿Puede el Pasaporte Covid europeo incluir datos personales sanitarios sensibles de un ciudadano?

Tribuna
El pasaporte COVID

La Real Academia Española (RAE por sus iniciales) define “pasaporte” como: “Licencia o despacho por escrito que se da para poder pasar libre y seguramente de un pueblo o país a otro.”

Por su parte, el Reglamento (UE) 2.021/953 relativo a un marco para la expedición, verificación y aceptación de certificados COVID-19 interoperables de vacunación, de prueba diagnóstica y de recuperación (certificado COVID digital de la UE) a fin de facilitar la libre circulación durante la pandemia de COVID-19, define en su artículo 2 el certificado COVID digital de la UE como “certificado interoperable que contiene información sobre la vacunación, el resultado de una prueba diagnóstica o la recuperación del titular, expedido en el contexto de la pandemia de COVID-19”, cuyo objeto, según el artículo 1 es “…facilitar el ejercicio, por sus titulares, de su derecho a la libre circulación durante la pandemia de COVID-19”.

De ambas definiciones podemos observar que no sería del todo correcto denominar a este certificado como pasaporte, pues su objeto no es en sí mismo permitirnos pasar libre y seguramente de un pueblo o país, sino más bien facilitar, en los tiempos de pandemia que corren, el ejercicio de nuestro derecho fundamental a la libre circulación, consagrado, entre otros, en la Carta de los Derechos Fundamentales de la Unión Europa, “todo ciudadano de la Unión tiene derecho a circular y residir libremente en el territorio de los Estados miembros”, así como en el Acuerdo Schengen, cuya idea es la eliminación de controles fronterizos entre personas que crucen las fronteras de los países miembros de la UE.

Como vemos en la definición dada por el Reglamento 2.021/953, el certificado contiene información sobre la vacunación, el resultado de una prueba diagnóstica o la recuperación del titular, pero ¿qué datos concretos son los que se recogen en el certificado? La respuesta nos la da el mismo Reglamento en su artículo 5 y Anexo I, indicando las siguientes categorías de datos:

  • Nombre y apellidos de la persona vacunada
  • Fecha de nacimiento
  • Enfermedad para la que ha sido inmunizado
  • Tipo de vacuna inoculada
  • Marca de la vacuna
  • Empresa autorizada para su fabricación o comercialización
  • Número de dosis necesarias
  • Fecha y lugar de vacunación
  • Identificación del emisor

El Certificado Covid Digital únicamente recoge los datos relacionados con el virus en la persona propietaria del certificado, es decir, solo acredita si dicha persona ha sido vacunada, si ha pasado ya el Covid-19 o el resultado negativo de la prueba que se ha realizado que permita su movilidad. Ahora bien, no cabe duda de que se trata de datos de la salud, catalogados como especialmente sensibles por el Reglamento Europeo de Protección de Datos, artículo 9.1, prohibiendo su tratamiento, salvo en los supuestos excepcionales previsto en su apartado segundo.

No cabe duda de que la expedición del certificado entra en conflicto directo con nuestro derecho fundamental a la protección de datos personales, y como tal pasamos a realizar un análisis desde este punto de vista y qué riesgos se están produciendo en estos primeros meses de utilización.

¿Existe base legal para el tratamiento de los datos de salud contenidos en el certificado?
El Reglamento General de Protección de Datos (RGPD) exige para proceder a cualquier tratamiento de datos personales que exista una base de legitimación de las contenidas en su artículo 6:

  1. Consentimiento.
  2. Ejecución de un contrato en el que el interesado es parte o aplicación a petición de este de medidas precontractuales.
  3. Cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  4. Protección de intereses vitales del interesado o de otra persona física.
  5. Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  6. Satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.

En el caso del certificado nos encontraríamos con las bases de legitimación 4 y 5 como las más adecuadas. El propio Reglamento General de Protección de Datos, en su Considerando 46, establece que en supuestos excepcionales como una pandemia, la base de legitimación puede ser múltiple, como la protección de intereses vitales del interesado o el cumplimiento de una misión realizada en interés público. Como podemos ver, sobre el papel nos encontramos con una base jurídica correcta para el tratamiento, pero al recogerse y tratarse de datos de salud, considerados sensibles y especialmente protegidos, no es suficiente con la existencia de una base legal, sino que, además, debemos encontrarnos en una situación excepcional de las recogidas en el artículo 9.2 del Reglamento General de Protección de Datos.

Para el caso que nos ocupa entendemos que son de aplicación dos de ellas, la g) y la i), que dicen así:

g) El tratamiento es necesario por razones de un interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido…”

i) El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud...”

Llegados a este punto es importante detenernos a contestar la siguiente pregunta: ¿Qué significa “sobre la base del Derecho de la Unión o de los Estados miembros”?

La respuesta es sencilla, para el tratamiento de esos datos de salud, considerados sensibles, no solo es necesario que exista la base de legitimación, que se incluya en alguna de las excepciones mencionadas, sino que además debe existir una norma con rango de Ley que lo habilite. Por ello, el 15 de junio de 2021 se publicó en el Diario Oficial de la Unión Europea el Reglamento 2.021/953, mencionado al inicio del presente artículo, que regula la expedición del Certificado COVID digital.

¿Regula el Reglamento 2.021/953 el tratamiento de los datos personales de salud que se recogen en el certificado?
A lo largo del artículo 10 se plasman los principios que el Certificado COVID debe cumplir en cuanto a la protección de datos personales. Esto es, ¿qué datos personales recoge el Certificado?, ¿por cuánto tiempo se conservarán esos datos? ¿qué finalidad tiene? ¿quiénes van a conocer si yo estoy vacunado o he pasado la COVID?

Lo primero que se indica es que se recogerá la información mínima necesaria y que nunca se podrá recoger más datos de los estrictamente necesarios. Con esto se pretende cumplir con el principio de minimización de datos. Aquí cabe plantearse si es necesario que aparezca nuestro nombre en el certificado, o existe en la actualidad alguna alternativa gracias al estado de la técnica que permitiría evitar el tratamiento de este dato personal. Desde luego podríamos estar ante una vulneración de este principio.

Seguidamente se hace mención a que el acceso a los datos recogidos en el certificado se hará con el único fin de verificar la información incluida en el mismo, y así permitir la libre circulación por la Unión Europea. Principio de limitación de la finalidad.

Respecto a la conservación de los datos personales indicados en el certificado, dice el Reglamento que se conservará únicamente por el tiempo necesario para su finalidad, pero nunca más allá del 30 de junio de 2022.

Limitación plazo de conservación: la conservación se permitirá que se realice por el país que expide el certificado, pero nunca podrá conservar esos datos el país visitado (el país visitado verificará la información, pero no la guardará), como tampoco estará permitido crear una base de datos con dichos certificados a escala de la UE.

Principio de responsabilidad proactiva: la realización de una evaluación de impacto (EIPD) antes de comenzar las actividades de tratamiento que puedan generar riesgos elevados para los derechos y libertades de las personas físicas, es una medida de responsabilidad activa y obligatoria. El RGPD en ningún caso prevé la posibilidad de que esta evaluación se pueda hacer a posteriori, y como sabemos, dicha evaluación no se ha realizado por lo que se ha producido un incumplimiento en este sentido.

En nuestra opinión, cabe la posibilidad de que tal y como se ha desarrollado el Reglamento 2.021/953 que regula la expedición del certificado Covid digital y su contenido, en materia de protección de datos hay serias dudas de si cumple con la normativa de protección de datos, pudiendo haberse realizado quizás un tratamiento menso invasivo o con un contenido de datos personales inferior, aunque debemos esperar a la publicación de la Evaluación de Impacto (EIPD) que obligatoriamente deben realizar.

¿Qué riesgos jurídicos implica el uso de esta herramienta?
Una de las medidas más controvertidas que se están intentando adoptar en diferentes estados de la Unión Europea, entre ellos España, y nuestras Comunidades Autónomas, bajo el pretexto de garantizar la salud como consecuencia de la pandemia de Covid-19, es la solicitud del certificado Covid de vacunación (certificado Covid Digital de la UE) para acceder a establecimientos hosteleros y locales de ocio.

Recordemos que el reglamento europeo que regula el pasaporte Covid (Reglamento (UE) 2021/953 limita su finalidad a facilitar el ejercicio del derecho a la libre circulación dentro de la Unión. En concreto, el artículo 10 determina lo siguiente: “A efectos del presente Reglamento, los datos personales contenidos en los certificados expedidos de conformidad con el presente Reglamento serán tratados únicamente con el fin de acceder a la información incluida en el certificado y verificarla, con el fin de facilitar el ejercicio del derecho a la libre circulación dentro de la Unión durante la pandemia de COVID-19. No se producirá ningún tratamiento ulterior una vez finalizado el período de aplicación del presente Reglamento.”

Pese a ello, el Considerando 48 de dicho reglamento, permite a los Estados miembros el tratamiento de los datos incluidos en el certificado para fines distintos al contemplado, pero siempre y cuando se cumplan una serie de requisitos:

  1. Base jurídica para su tratamiento con otros fines, incluidos los plazos de conservación correspondientes, está establecida en el Derecho nacional.
  2. Cumplir con el Derecho de la Unión en materia de protección de datos y los principios de eficacia, necesidad y proporcionalidad.
  3. Disposiciones específicas que determinen claramente el ámbito de aplicación y el alcance del tratamiento, así como la finalidad específica.
  4. Salvaguardias pertinentes para evitar la discriminación y el abuso, teniendo en cuenta los riesgos para los derechos y las libertades de los interesados.

Por lo tanto, no podría tratarse el certificado de vacunación para otros fines, como restringir la entrada a los locales a aquellas personas que no lo presenten, salvo que, como digo, se regule este tratamiento mediante una norma con rango de Ley, debiendo especificar de manera concreta, las entidades que pueden tratarlo, qué salvaguardas deben aplicarse, alcance del tratamiento, finalidades…

Así pues, cuando las Comunidades Autónomas, como País Vasco, Galicia o Canarias establecen la obligatoriedad de mostrar el certificado Covid para el acceso a determinados establecimientos, restringiendo así los derechos y libertades de quienes no dispongan del mismo (recordemos que no es obligatorio, como tampoco lo es la vacunación), se podrían estar vulnerando derechos fundamentales de los interesados, que, además, entran en conflicto entre sí para determinar si es posible o no acometer estas restricciones. En este sentido, la propia Agencia Española de Protección de Datos ha solicitado a estas Comunidades Autónomas información sobre el uso del certificado de vacunación para acceder a establecimientos con el fin de comprobar la licitud del tratamiento de datos personales.

¿Se ha pronunciado en algún sentido la autoridad europea en materia de protección de datos?
El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD), El Dictamen conjunto 4/2021, consideran que, si los Estados miembros aún tratan de aplicar el certificado verde digital sobre la base de su legislación nacional para cualquier otro uso posible que no sea el objetivo previsto de facilitar la libre circulación entre ellos, esto podría tener consecuencias no deseadas y riesgos para los derechos fundamentales de los ciudadanos de la UE.

En nuestro caso, opino que no disponemos de una Ley nacional que contemple estas situaciones, y el empleo de los datos introducidos en el certificado para un uso distinto al que se contempla en el reglamento 2.021/953, que no es otro que la libre circulación en la Unión Europea, con lo que no se cumpliría ese requisito que se establece en su artículo 10, no disponiendo de base legal para ello.

Tanto el Comité Europeo de Protección de Datos como el Supervisor, en su Dictamen 4/2.021 indican que cualquier uso de esta índole del certificado y su marco asociado conforme a una base jurídica nacional no debe traducirse de hecho o de derecho en una discriminación basada en haber sido vacunado o haberse recuperado (o no) de la COVID-19. Esto implica la necesidad de una base jurídica adecuada en el Derecho de los Estados miembros que cumpla los principios de eficacia, necesidad y proporcionalidad, y que incluya salvaguardias sólidas y específicas aplicadas tras una evaluación de impacto adecuada, en particular para evitar cualquier riesgo de discriminación y para prohibir cualquier retención de datos en el contexto del proceso de verificación.

Conclusión
Vivimos una situación excepcional, en un contexto epidemiológico, donde se deben hacer esfuerzos extraordinarios por todas las partes, políticos, reguladores y ciudadanos, pero ello no implica “carta blanca” en relación a nuestros derechos fundamentales, debiendo realizar una ponderación adecuada para valorar en qué medida reducimos el disfrute de unos para mejorar en la protección de otros. Creo que actualmente, tal y como se configura nuestra normativa en protección de datos y de expedición del certificado Covid digital existen serias dudas a la hora de verificar que se cumple con el Reglamento Europeo de Protección de Datos. Igualmente, el empleo del certificado para limitar el acceso a determinados establecimientos, para que sea proporcionado, eficaz y necesario, debe establecerse mediante un estudio preciso y exhaustivo previo que avale el empleo de dicha medida, existiendo, bajo mi punto de vista, medios menos intrusivos, ya que actualmente, sin estar toda la población vacunada, sería discriminatorio o podría dar lugar a ello. Es necesario y urgente una normativa común, de ámbito nacional que de amparo y seguridad jurídica a los ciudadanos.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación