Tratamiento de datos personales durante la pandemia de COVID-19 – (II) Pasaportes de vacunación

Desde la barra Análisis Tratamiento de datos personales durante la pandemia de COVID-19...
- Advertisment -

Este post ha sido escrito por Javier López Guzmán, legal researcher en la Vrije Universiteit Brussel y doctorando.

 

El fin de la pandemia ¿a qué precio?

En la  primera parte de este post sobre el tratamiento de datos personales durante la pandemia reflexionamos sobre el uso de las aplicaciones de rastreo de contactos COVID y su implicación en la privacidad. Esta entrada viene dedicada a los certificados de vacunación y la movilidad.

El certificado de vacunación ha sido una de las medidas más discutidas en los últimos meses de pandemia de COVID-19. Desde que las primeras vacunas demostraron su viabilidad, la reapertura progresiva de la sociedad y la economía ha ganado terreno a los criterios sanitarios en la lucha contra la pandemia. Esta disyuntiva entre salvar la economía o salvar vidas ha estado presente en la toma de decisiones de todos los dirigentes políticos a nivel mundial. Muchas voces se han alzado, especialmente entre los profesionales sanitarios, para defender que, sin salud, no hay economía que valga y que nada debería anteponerse a salvar vidas. No obstante, es obvio señalar que esta dicotomía ha afectado más a los países altamente dependientes de sectores económicos como el turismo o la restauración, siendo estos sectores los más afectados por las medidas de confinamiento o cuarentena en todo el mundo.

En estas circunstancias, y con la producción de las vacunas contra el COVID-19, se alzaron las primeras voces sugiriendo medidas para la reapertura de la economía. El certificado de vacunación ha sido una de las medidas estrella para recuperar esta movilidad y actividad económica.

La propuesta de la Comisión Europea para los certificados de vacunación se presentó el 17 de marzo de 2021, con el nombre de Certificado Digital Verde (del nombre en inglés, Green Pass Certificate).  La propuesta de la Comisión Europea fue elevada al Parlamento Europeo dentro del procedimiento legislativo de la Unión. El Parlamento y el Consejo de la Unión Europea alcanzaron un acuerdo finalmente el pasado 20 de mayo de 2021 para un texto definitivo. Éste es el que fue aprobado y entró en vigor el 1 de julio de 2021. El objetivo fue que todos los Estados Miembros tuvieran operativo el certificado para el 30 de junio de 2021. Entre otros detalles, se cambió el nombre del certificado a Certificado COVID Digital de la UE. Se incluyó un compromiso para la Comisión Europea de movilizar recursos para garantizar precios accesibles para los test, paliando las desigualdades de acceso a éstos, movilizando al menos 100 millones de euros del Instrumento de Ayuda a Emergencias de la Comisión.

En el ámbito de la ciberseguridad y privacidad, se exigió por el Parlamento que los datos personales obtenidos para informar sobre los certificados no pudieran almacenarse en los Estados Miembros de destino. De esta forma, si un alemán viaja a Málaga de vacaciones, las autoridades españolas solamente pueden comprobar su certificado de vacunación a su llegada, pero no almacenar ningún tipo de dato sobre su salud o vacunación. Y vice-versa con ciudadanos españoles, por supuesto, o de cualquier otra nacionalidad. Se prohíbe la creación de una base de datos centralizada a nivel europeo. La descentralización del tratamiento de los datos personales es una de las medidas más efectivas para la protección de la privacidad de los usuarios.

 

Garantías para la privacidad

Los certificados de vacunación contienen información sensible sobre su titular. La información sobre anticuerpos, vacunación y test presentados es información sobre la salud de los interesados. Como tal está incluida dentro de las categorías especiales de datos personales en el artículo 9 del Reglamento General de Protección de Datos. La base jurídica para el tratamiento de estos datos ha sido discutida ya en la anterior entrada de esta serie para las aplicaciones de rastreo de contactos, y puede ser defendida de la misma manera.

No obstante, ha de tenerse en cuenta que esta información puede ser fuente de discriminación a varios niveles si no se usa adecuadamente. Los Estados miembro no quieren dejar entrar a personas infectadas con COVID desde otros Estados o el extranjero. Quieren controlar también que las personas infectadas guarden cuarentena y no circulen por servicios ya abiertos. De la misma manera, ciertas empresas pueden verse tentadas a exigir este certificado y sólo contratar a personas ya inmunizadas. Especialmente para trabajos de cara al público. Éste es sólo un ejemplo del mal uso de estos datos personales. Es por esto que la información contenida en los certificados debe ser especialmente protegida y sólo usada para los fines que se han previsto contra la pandemia. Cabe pensar, además, en las repercusiones a largo plazo sobre el acceso a la vacunación, ahora que se sabe que alcanzar la ansiada imunidad de grupo, no va a acabar con el virus de la COVID-19.

Las instituciones europeas han dejado en manos de los Estados miembros la responsabilidad de llevar a cabo una evaluación de impacto para los certificados. Éste es una de las medidas de protección de la privacidad enunciadas en el RGPD. Recordemos que provocó muchos quebraderos de cabeza en España para las app de rastreo, como ya se comentó en la anterior publicación. Sin embargo, es una medida muy necesaria para el análisis de la afectación de la privacidad y protección de datos personales. No debería hacerse esperar a la puesta en marcha del certificado para su estudio y publicación. Los ciudadanos debemos conocer al detalle los riesgos a los que nos atenemos en el uso de los certificados de vacunación. Numerosas voces se alzan desde la sociedad civil y comunidad científica para el análisis cuidadoso de estos riesgos. A fecha de esta publicación, no se ha puesto a disposición del público ninguna evaluación de impacto, ni por parte del Ministerio de Sanidad, ni de las autoridades competentes de las Comunidades Autónomas en el desarrollo de los pasaportes de vacunación.

Ciertos elementos de la propuesta de las instituciones europeas han sido ya estudiados por la comunidad científica para evaluar estos riesgos. En EULawLive destacan que: “la propuesta DGC [Certificado Verde Digital, por sus siglas en inglés] no puede utilizarse como base jurídica para conservar los datos personales obtenidos del certificado por el Estado miembro de destino o por los operadores de servicios de transporte transfronterizo de pasajeros.” Además, “Las autoridades de los Estados miembros responsables de la expedición de los certificados se considerarán responsables del tratamiento, de acuerdo con el apartado 4 del artículo 9 de la DGC. La redacción del considerando 40 del mismo texto puede dar una pista de que los operadores de servicios de transporte transfronterizo de pasajeros podrían ser considerados responsables del tratamiento.”

En cuanto a la transparencia, en su Comunicación de 17 de marzo de 2021, la Comisión declaró que el uso de los certificados “debería ir acompañado de una comunicación clara y transparente a los ciudadanos para explicar su alcance, su uso, [y] aclarar las salvaguardias para la protección de los datos personales“.

 

Dictámenes jurídicos y control estatutario

El principal control estatutario de la propuesta de certificados de vacunación en términos de privacidad se ha llevado a cabo por los reguladores europeos. La propuesta de la Comisión Europea fue presentada al Comité Europeo de Protección de Datos. Algunos de sus comentarios se han incorporado al acuerdo entre el Parlamento Europeo y el Consejo de la UE. No obstante, otros han quedado sin efecto en el contenido final del Reglamento, aunque pueden inspirar a los gobiernos en su adopción y a las autoridades nacionales en el control de la protección de datos de los mismos.

El pasado 31 de marzo de 2021, se publicó la opinión conjunta de los reguladores. El Comité Europeo de Protección de Datos lideró la propuesta. Este organismo reúne a los representantes de los 27 Estados Miembro en materia de privacidad. De forma colegiada, se toman decisiones entre las autoridades nacionales de protección de datos, tal y como se establece en el capítulo VI del RGPD sobre las Autoridades de control independientes. El Comité unió fuerzas con el Supervisor Europeo de Protección de Datos. Éste es el organismo comunitario independiente que supervisa la protección a la privacidad de los ciudadanos en el tratamiento de datos personales por parte de las instituciones comunitarias. Es bastante habitual que el Comité y el Supervisor europeo publiquen opiniones conjuntas en asuntos transversales como ha sido la propuesta del pasaporte de vacunación.

Destacan los reguladores entre sus principales preocupaciones: “el hecho de que la emisión del Certificado Verde Digital puede crear usos secundarios no deseados y dar lugar a una discriminación directa o indirecta de las personas si deciden no vacunarse.” Afirman que “debería haber un enfoque común en todos los Estados miembros para aceptar los tres tipos de certificado (vacunado, recuperado y testeado); de lo contrario, se produciría una clara discriminación basada en los datos sanitarios, lo que daría lugar a una violación fundamental de los derechos.”

Insistieron los reguladores en la importancia de la gestión descentralizada de estos datos, no dando lugar a la creación unificada de una sola base de datos europea. También el hecho de que la adopción de este pasaporte sea una medida temporal y limitada a esta pandemia de COVID-19. Sobre esto, en opinión de este autor, resulta inocente pensar que el certificado sólo se usará para esto, y no tendrá más recorrido. No obstante, ahí queda el aviso de los organismos públicos.

Se menciona también por los reguladores la oportunidad de la elaboración del análisis de impacto. Estas medidas deben tenerse en cuenta en la adopción del certificado si se quiere evitar un fracaso similar a las apps de rastreo de contactos. Con el agravante añadido de que el certificado de vacunación puede dar origen a otras desigualdades, ya comentadas en este artículo, en términos de movilidad, acceso al trabajo o interacción social. La decisión de no vacunarse es diferente a la no disponibilidad de vacunas y debe tratarse como tal. Dentro de los países desarrollados, la gente joven, los parados y gente dispuesta a hacer cualquier cosa por conseguir un trabajo están en riesgo por la adopción inadecuada del certificado. Por no hablar de la dificultad añadida que crea a inmigrantes que buscan acceder a los países económicamente más potentes, fuente (otra más) de desigualdad. Sin papeles no tendrán papeles de residencia, ni acceso, ni tampoco papeles COVID.

Existen voces autorizadas a favor de la adopción del certificado de vacunación como herramienta para la apertura de la economía tras la pandemia de COVID-19. Se han creado incluso listas de elementos éticos, a modo de “check-list” que estas herramientas deberían cumplir.

No obstante, también se alzan voces, si no en contra de su creación, al menos críticas con el sistema de adopción y riesgos para la privacidad. La Organización Mundial de la Salud, en un comunicado del 19 de abril de 2021 recomienda a los gobiernos que: ‘no exijan una prueba de vacunación como condición de entrada, [a sus países] dadas las limitadas (aunque crecientes) pruebas sobre el rendimiento de las vacunas en la reducción de la transmisión y la persistente desigualdad en la distribución mundial de vacunas. Se anima a los Estados Partes a que reconozcan la posibilidad de que los requisitos de prueba de vacunación agraven las desigualdades y promuevan una libertad de circulación diferenciada.’

 

Repercusión y conclusiones

Dinamarca ha sido uno de los primeros países comunitarios en desplegar el certificado de vacunación COVID-19. Aunque en este caso utilizado principalmente de manera interna. No para viajar, sino para movilidad interior, acceso a restauración y espectáculos. Han seguido su estela muchos otros y, a fecha de esta publicación, la mayoría de países comunitarios tienen ya desplegado este certificado digital de vacunación, para viajar al extranjero, como control de fronteras o incluso, de la movilidad interna y acceso a lugares públicos.

Se alzan voces para hacer obligatoria la vacunación contra la COVID, en plena subida de casos por el crecimiento de la variante delta y otros factores de riesgo de cronificación de la pandemia en Europa. Francia va a exigir la vacunación para volver a la vida pública, en una lucha sin cuartel contra el movimiento anti-vacunas, exigiendo como sociedad que se acepten los beneficios y los riesgos de éstas. Los pasaportes de vacunación se convertirán en la herramienta para controlar socialmente esto en el corto plazo.

El futuro dirá si esta herramienta tecnológica ha mejorado o no la lucha contra la mayor pandemia de la historia reciente de la Humanidad. Los riesgos son altos, pero también las oportunidades. Los derechos fundamentales de los ciudadanos, como la privacidad, no deben negociarse desde una perspectiva cortoplacista. Si renunciamos a nuestra libertad por mor de la seguridad, corremos el riesgo de perder ambas.

 

Lvcentinvs
Desde la Asociación de Antiguos Alumnos del Magister Lvcentinvs y la Universidad de Alicante (España), información actualizada sobre los avances en materia de propiedad intelectual y de Derecho internacional privado para juristas europeos e iberoamericanos.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Time limit is exhausted. Please reload CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

LO ÚLTIMO

Must read

Reflexiones sobre la propiedad intelectual en Corea

El blogger lvcentinvs no deja de preguntarse si el...

DeCITA 7/8, Garantías mobiliarias, ya está en la calle

Como sabeis, aparte de otras cosas, el blogger lvcentinvs...
- Advertisement -

Quizá también te gusteRELACIONADOS
Recomendados para ti