¿Puede el Pasaporte Covid europeo incluir datos personales sanitarios sensibles de un ciudadano?

Dic 13, 2021

certificado Covid

La Real Academia Española (RAE por sus iniciales) define “pasaporte” como: “Licencia o despacho por escrito que se da para poder pasar libre y seguramente de un pueblo o país a otro.”

A su vez, el Reglamento (UE) 2.021/953 referente a un marco para la expedición, verificación y aceptación de certificados COVID-19 interoperables de vacunación, de prueba diagnóstica y de recuperación (certificado COVID digital de la UE) con el objetivo de contribuir a la libre circulación a lo largo de la pandemia de COVID-19, identifica en su artículo 2 el certificado COVID digital de la UE como “certificado interoperable que contiene información sobre la vacunación, el resultado de una prueba diagnóstica o la recuperación del titular, expedido en el contexto de la pandemia de COVID-19”, cuyo objeto, acorde al artículo 1 es “…facilitar el ejercicio, por sus titulares, de su derecho a la libre circulación durante la pandemia de COVID-19”.

De las dos definiciones se puede considerar que no sería del todo adecuado calificar al certificado Covid como pasaporte, dado que su propósito no es como tal facultar al ciudadano la libre y segura circulación de un pueblo o país, sino realmente permitir, en el contexto de pandemia actual, el ejercicio del derecho básico a la libre circulación, consagrado, entre otros, en la Carta de los Derechos Fundamentales de la Unión Europa, “todo ciudadano de la Unión tiene derecho a circular y residir libremente en el territorio de los Estados miembros”, al igual que en el Acuerdo Schengen, cuya idea es la supresión de controles entre individuos que atraviesan las fronteras de los países miembros de la UE.

Como se puede apreciar en la definición otorgada por el Reglamento 2.021/953, el certificado Covid almacena información acerca de la vacunación, el resultado de una prueba diagnóstica o la recuperación del titular.

¿Qué datos concretos son los que contiene el certificado Covid?

La respuesta se halla en el propio Reglamento en su artículo 5 y Anexo I, señalando las siguientes categorías de datos:

  • Nombre y apellidos de la persona vacunada
  • Fecha de nacimiento
  • Enfermedad para la que ha sido inmunizado
  • Tipo de vacuna inoculada
  • Marca de la vacuna
  • Empresa autorizada para su fabricación o comercialización
  • Número de dosis necesarias
  • Fecha y lugar de vacunación
  • Identificación del emisor

El Certificado Covid Digital solo recoge los datos asociados con el virus en la persona propietaria del certificado, esto es, únicamente evidencia si dicha persona ha recibido la vacuna, si ha pasado ya el Covid-19 o si el resultado de la prueba realizada para su movilidad ha sido negativo. No obstante, indudablemente se trata de datos de la salud, etiquetados como especialmente sensibles por el Reglamento Europeo de Protección de Datos, artículo 9.1, prohibiendo su tratamiento, a excepción de situaciones insólitas previstas en su apartado segundo.

Ciertamente, la expedición del certificado Covid choca de manera directa con nuestro derecho fundamental a la protección de datos personales, y, por ello, se procede a realizar un análisis desde esta perspectiva y qué peligros o amenazas tienen lugar en estos meses iniciales de uso.

¿Existe base legal para el tratamiento de los datos de salud contenidos en el certificado Covid?

El Reglamento General de Protección de Datos (RGPD) reclama que haya una base de legitimación de las existentes en su artículo 6 para avanzar a cualquier procesamiento de datos personales:

  1. Consentimiento.
  2. Ejecución de un contrato en el que el interesado es parte o aplicación a petición de este de medidas precontractuales.
  3. Cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  4. Protección de intereses vitales del interesado o de otra persona física.
  5. Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  6. Satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.

En relación con el certificado Covid nos cruzaríamos con las bases de legitimación 4 y 5 como las más apropiadas. El propio Reglamento General de Protección de Datos, en su Considerando 46, dictamina que en casos excepcionales como una pandemia, la base de legitimación puede ser plural, como la protección de intereses vitales del interesado o la realización de una misión ejecutada en interés público.

Como se puede apreciar, sobre el papel se observa una base jurídica adecuada para el tratamiento, pero al recogerse y tratarse de datos de salud, catalogados como sensibles y particularmente protegidos, no basta con la disponibilidad de una base legal, sino que, asimismo, debe producirse una situación excepcional de las recogidas en el artículo 9.2 del Reglamento General de Protección de Datos.

Para el caso que nos ocupa, se entiende que son de aplicación dos de ellas, la g) y la i), que dicen así:

g) El tratamiento es necesario por razones de un interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido…”

i) El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud…”

Llegados a este apartado, es importante frenarse a contestar la siguiente cuestión: ¿Qué significa “sobre la base del Derecho de la Unión o de los Estados miembros”?

La respuesta es simple, para el tratamiento de esos datos de salud, considerados sensibles, no únicamente es necesario que exista la base de legitimación, que se incluya en alguna de las excepciones mencionadas, sino que, igualmente, debe existir una norma con rango de Ley que lo capacite. Por tanto, el 15 de junio de 2021 se emitió en el Diario Oficial de la Unión Europea el Reglamento 2.021/953, citado al inicio del presente artículo, que regula la expedición del Certificado COVID digital.

¿Regula el Reglamento 2.021/953 el tratamiento de los datos personales de salud que se recogen en el certificado?

En el transcurso del artículo 10 se reflejan los principios que el Certificado Covid debe aplicar en lo referente a la protección de datos personales. Esto es, ¿Qué datos personales recoge el Certificado?, ¿por cuánto tiempo se conservarán esos datos? ¿Qué finalidad tiene? ¿Quiénes van a conocer si yo estoy vacunado o he pasado la COVID?

Lo primero que se señala es que se recogerá la información mínima necesaria y que jamás se podrá obtener más datos de los rigurosamente necesarios. De esta manera se busca obedecer al principio de minimización de datos. En este punto, cabe reflexionar si es preciso que se muestre nuestro nombre en el certificado, o hay disponible en la actualidad alguna alternativa gracias al estado de la técnica que permitiría evitar el tratamiento de este dato personal. Sin duda podríamos hallarnos ante una vulneración de este principio.

A continuación, se menciona que el acceso a los datos recogidos en el certificado se llevará a cabo con el mero objetivo de comprobar la información insertado en el mismo, y de este modo permitir la libre circulación por la Unión Europea. Principio de limitación de la finalidad.

En materia de conservación de los datos personales mencionados en el certificado, indica el Reglamento que se conservará exclusivamente por el tiempo indispensable para su cometido, pero nunca más allá del 30 de junio de 2022.

Limitación plazo de conservación: la conservación se consentirá que se efectúe por el país que expide el certificado, pero nunca se permitirá la conservación de esos datos por el país visitado (el país visitado validará la información, pero no la almacenará). Igualmente, tampoco estará autorizado constituir una base de datos con los mencionados certificados a escala de la UE.

Principio de responsabilidad proactiva: el desempeño de una evaluación de impacto (EIPD) previo al comienzo de las actividades de tratamiento que puedan crear riesgos elevados para los derechos y libertades de las personas físicas, es una medida de responsabilidad activa y obligatoria. El RGPD de ningún modo prevé la opción de que esta evaluación se pueda realizar a posteriori, y como es sabido, dicha evaluación no ha tenido lugar, por lo que se ha producido un incumplimiento en tal sentido-

En la opinión de García Carbonell Abogados, cabe la posibilidad de que tal y ha evolucionado el Reglamento 2.021/953 que controla la expedición del certificado Covid digital y su contenido, en el ámbito de protección de datos hay significativas dudas de si cumple con la normativa de protección de datos, pudiendo haberse llevado a cabo probablemente un tratamiento menso invasivo o con un contenido de datos personales reducido, aunque debemos esperar a la publicación de la Evaluación de Impacto (EIPD) que forzosamente deben efectuar.

¿Qué riesgos jurídicos implica el uso de esta herramienta?

Una de las normas más polémicas que se están procurando aplicar en distintos estados de la Unión Europea, entre ellos España, y nuestras Comunidades Autónomas, bajo la justificación de proteger la salud como consecuencia de la pandemia de Covid-19, es la petición del certificado Covid de vacunación (certificado Covid Digital de la UE) para tener acceso a establecimientos hosteleros y locales de ocio.

Cabe recordar que el reglamento europeo que reglamenta el pasaporte Covid (Reglamento (UE) 2021/953 restringe su finalidad a facilitar el ejercicio del derecho a la libre circulación dentro de la Unión. En concreto, el artículo 10 determina lo siguiente: “A efectos del presente Reglamento, los datos personales contenidos en los certificados expedidos de conformidad con el presente Reglamento serán tratados únicamente con el fin de acceder a la información incluida en el certificado y verificarla, con el fin de facilitar el ejercicio del derecho a la libre circulación dentro de la Unión durante la pandemia de COVID-19. No se producirá ningún tratamiento ulterior una vez finalizado el período de aplicación del presente Reglamento.”

Sin embargo, el Considerando 48 de dicho reglamento, faculta a los Estados miembros el tratamiento de los datos incluidos en el certificado para propósitos diferentes al mencionado, pero siempre y cuando se reúnan una serie de requisitos:

  1. Base jurídica para su tratamiento con otros fines, incluidos los plazos de conservación correspondientes, está establecida en el Derecho nacional.
  2. Cumplir con el Derecho de la Unión en materia de protección de datos y los principios de eficacia, necesidad y proporcionalidad.
  3. Disposiciones específicas que determinen claramente el ámbito de aplicación y el alcance del tratamiento, así como la finalidad específica.
  4. Salvaguardias pertinentes para evitar la discriminación y el abuso, teniendo en cuenta los riesgos para los derechos y las libertades de los interesados.

En consecuencia, no podría tratarse el certificado de vacunación para otros motivos, como limitar la entrada a los locales a aquellas personas que no lo presenten, a excepción, como se menciona, de que se reglamente este tratamiento a través de una norma con rango de Ley, debiendo precisar de modo concreto, los organismos que pueden tratarlo, qué salvaguardas deben aplicarse, alcance del tratamiento, finalidades, etc.

Por lo tanto, cuando las Comunidades Autónomas, como País Vasco, Galicia o Canarias determinan la obligatoriedad de presentar el certificado Covid para acceder a determinados establecimientos, reduciendo, de esta manera, los derechos y libertades de quienes no cuenten con el mismo (recordemos que no es obligatorio, como tampoco lo es la vacunación), se podrían estar infringiendo derechos fundamentales de los interesados, que, asimismo, entran en conflicto entre sí para establecer si es posible o no combatir estas restricciones.

En este respecto, la propia Agencia Española de Protección de Datos ha pedido a estas Comunidades Autónomas información acerca del uso del certificado de vacunación para el acceso a establecimientos con el objetivo de verificar la legitimidad del tratamiento de datos personales.

¿Se ha pronunciado en algún sentido la autoridad europea en materia de protección de datos?

El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD), El Dictamen conjunto 4/2021, contemplan que, si los Estados miembros aún aspiran a aplicar el certificado verde digital sobre la base de su legislación nacional para cualquier otra utilización posible que no sea el fin establecido de facilitar la libre circulación entre ellos, esto podría tener repercusiones no deseables y riesgos para los derechos fundamentales de los ciudadanos de la UE.

En nuestro situación, desde García Carbonell opinamos que no contamos con una Ley nacional que considere estos supuestos, y el uso de los datos ingresados en el certificado para un empleo diferente al que se fija en el reglamento 2.021/953, que no es otro que la libre circulación en la Unión Europea, con lo que no se aplicaría ese requisito que se establece en su artículo 10, no teniendo base legal para ello.

Tanto el Comité Europeo de Protección de Datos como el Supervisor, en su Dictamen 4/2.021 señalan que cualquier utilización de esta naturaleza del certificado y su marco vinculado conforme a una base jurídica nacional no debe traducirse de hecho o de derecho en una discriminación anclada en haber sido vacunado o haberse recuperado (o no) de la COVID-19.

Esto entraña la existencia de una base jurídica adecuada en el Derecho de los Estados miembros que reúna los principios de eficacia, necesidad y proporcionalidad, y que integre salvaguardias sólidas y específicas adoptadas tras una evaluación de impacto apropiada, particularmente para prevenir cualquier riesgo de discriminación y para prohibir cualquier retención de datos en el marco del proceso de verificación.

Conclusión

Vivimos un momento excepcional, en una coyuntura epidemiológica, donde se tienen que hacer esfuerzos extraordinarios por todas los elementos, políticos, reguladores y ciudadanos, pero ello no supone “carta blanca” respecto a nuestros derechos fundamentales, debiendo realizar una ponderación adecuada para evaluar en qué proporción reducimos el disfrute de unos para elevar la protección de otros.

Creemos que, en la actualidad, tal y como se conforma nuestra normativa en protección de datos y de expedición del certificado Covid digital, se plantea una importante incertidumbre a la hora de asegurar que se cumple con el Reglamento Europeo de Protección de Datos.

Asimismo, el uso del certificado para restringir el acceso a determinados establecimientos, para que sea proporcionado, eficaz y necesario, debe determinarse a través de un estudio preciso y exhaustivo previo que respalde el empleo de tal medida, existiendo, bajo nuestro punto de vista, medios menos intrusivos, ya que actualmente, sin estar toda la población vacunada, sería discriminatorio o podría derivar en ello. Es necesario y urgente una normativa común, de ámbito nacional que de amparo y seguridad jurídica a los ciudadanos.

Si te ha gustado este artículo, no dudes en consultar nuestro sección de Medios para más contenido de calidad.

Categorías

Saber más

El Despacho
Equipo
Áreas de especialización
Sectores
Blog
Contacto

Contacto

Calle Teodoro Camino, 24 Piso 1
02002 Albacete
t.: 967 55 04 41
f.: 967 50 45 30
e.: info@garciacarbonellabogados.es