Certificado Verde Digital: qué es y qué implicaciones tiene en protección de datos.

Son numerosas las noticias que se ven últimamente en los medios de comunicación, referidas a la posibilidad de que en un futuro muy próximo se requiera a los ciudadanos europeos un pasaporte de vacunación COVID para poder viajar a otros países. De hecho, otros países, como China, ya tienen implantado un certificado digital sanitario COVID.

Desde principios de este mes de marzo, las autoridades chinas han informado que el pasaporte COVID ya se ha empezado a poner en funcionamiento en el país, con la finalidad de poder reactivar los viajes al extranjero. Este pasaporte, se trata de un certificado de vacunación, disponible tanto en formato papel como en formato digital a través del servicio de mensajería instantánea WeChat, únicamente para los ciudadanos del país, y que actualmente no goza de carácter obligatorio. En el pasaporte se incluyen los datos relativos al estado de vacunación de los ciudadanos, así como información acerca de las diferentes pruebas de detección del COVID-19 realizadas.

El gigante asiático es, sin duda, el país con la mayor red de videovigilancia y monitorización ciudadana del mundo. Algunos expertos estiman que en China puede llegar a haber más de 250 millones de cámaras de vigilancia, además de contar todas ellas con sistemas de reconocimiento facial avanzado (dotadas, por tanto, de inteligencia artificial), que permiten reconocer íntegramente a todos los ciudadanos sin lugar a error.

Si bien es cierto que la pandemia del COVID-19 ha tenido como efecto el acelerar cambios que ya venían desarrollándose y poniéndose en marcha desde hace años, como el cambio hacia una sociedad más digitalizada, hemos de admitir que todavía hay una gran brecha entre el gigante asiático y Europa, en cuanto a tecnología y digitalización se refiere.

A este respecto y como bien podemos observar, Europa no se quiere quedar atrás.

La Comisión Europea publicó el pasado 17 de marzo la propuesta de Reglamento relativo a un marco para la expedición, verificación y aceptación de certificados interoperables de vacunación, de test y de recuperación para facilitar la libre circulación durante la pandemia de COVID-19 (certificado verde digital).

Muchas son las voces contrarias a la creación de este pasaporte de vacunación, al considerar, entre otros puntos, que podría resultar discriminatorio para aquellos que no se hubiesen vacunado, bien por decisión propia bien porque no hubiesen podido tener acceso a la misma.

De igual modo, la propia Organización Mundial de la Salud (OMS), declaró el pasado mes de enero en la reunión del Comité de Emergencias del Reglamento Sanitario Internacional que por el momento no se puede “imponer a las personas que realicen viajes internacionales el requisito de demostrar que han sido vacunadas o que están inmunizadas para permitirles acceder al país, puesto que todavía hay cuestiones esenciales que se desconocen acerca de la eficacia con que la vacunación reduce la transmisión y de la disponibilidad limitada de vacunas.”

Ahora bien, debemos señalar que este Certificado Verde Digital no incluirá solamente los datos de la vacunación contra el COVID-19, sino que, tal y como se recoge en la propuesta de Reglamento, permitirá la expedición y certificación de los siguientes certificados:

  1. Certificado de vacunación COVID-19.
  2. Certificado de realización de test de amplificación del ácido nucleico (NAAT), o test rápido de antígenos.
  3. Certificado de recuperación de la infección por el SARS-CoV-2, tras un test NAAT o de antígenos con resultado positivo.

Las principales características de este Certificado Verde Digital, tal y como indica la Comisión Europea, serían las siguientes:

  • Se trataría de un formato digital o en papel.
  • Dispondrá necesariamente de un código QR en ambos formatos, con el fin de protegerlo contra la falsificación.
  • Carácter gratuito.
  • Disponible en el idioma nacional y en inglés.
  • Sistema seguro y protegido.
  • Válido en todos los países de la Unión Europea.

Los datos que se incluirán en el certificado serán el nombre, fecha de nacimiento y fecha de emisión, información sobre la vacuna/test/recuperación, así como un único identificador.

Por otro lado, hay quienes optan por fomentar la tecnología blockchain,de cara a la “integración y reconocimiento del pasaporte Covid”, eliminando así el uso del papel, tal y como se ha utilizado en alguna ocasión para el desarrollo del calendario de vacunación. Esta tecnología, que en español significa “cadena de bloques”, reporta numerosas ventajas a la hora del registro de transacciones o cualquier actuación realizada a través de la red, de manera descentralizada, sincronizada, verificable e infalsificable. Ahora bien, también debemos puntualizar que este proyecto de certificación digital de vacunación no viene de ahora.

Tal y como podemos comprobar, ya en el año 2018 la Comisión Europea elaboró una “Hoja de ruta para la ejecución de acciones sobre el fortalecimiento de la cooperación contra las enfermedades prevenibles mediante vacunas.”

En la misma ya se examina la flexibilidad del desarrollo de un pasaporte/tarjeta común de vacunación para los ciudadanos de la UE, compatible con un sistema de información sobre inmunización y reconocimiento para el uso transfronterizo.

A tenor de lo indicado, muchos son los interrogantes los que se nos pueden plantear al respecto, como, por ejemplo: ¿qué debe prevalecer, el derecho a la salud, el derecho a la libertad de movimiento, o el derecho a la protección de datos y a la intimidad?; ¿bajo qué criterios se tratarían y almacenarían estos datos recogidos en los soportes electrónicos?; ¿qué medidas de seguridad tendrían que cumplir dichos soportes digitales para considerarse seguros?

Con relación a la prevalencia de derechos, como hemos venido indicando, son muchas las voces discrepantes acerca de la implementación de este “pasaporte digital”, al considerar que se estaría produciendo una limitación a la libertad de movimiento recogido, entre otros cuerpos normativos, en la Carta de los Derechos Fundamentales de la Unión Europa, que establece que “todo ciudadano de la Unión tiene derecho a circular y residir libremente en el territorio de los Estados miembros”, así como en el Acuerdo Schengen, cuya idea es la eliminación de controles fronterizos entre personas que crucen las fronteras de los países miembros de la UE.

Por contra, también son numerosos los expertos en la materia que consideran este pasaporte necesario para poder viajar de forma segura, así como para reactivar la actividad económica de muchos países que se han visto afectados por los efectos de la pandemia, entendiendo que podría llegar a tener un perfecto encaje legal en nuestra legislación, al reconocerse en nuestra Constitución Española el derecho a la protección de la salud, recayendo en los poderes públicos la competencia de la organización y tutela de este derecho través de medidas preventivas y de las prestaciones y servicios necesarios. Además, el Reglamento Sanitario Internacional del año 2005, también reconoce que los Estados Miembros puedan exigir un certificado de vacunación o de otras pruebas cuando sea necesario para determinar si existe un riesgo para la salud pública.

Por otro lado, y en lo referente a los datos almacenados en los certificados, no debemos olvidar que estamos hablando de datos de salud, dotados de una especial regulación en la normativa europea de protección de datos. El Reglamento Europeo de Protección de Datos (RGPD), considera que los datos de salud, al tratarse de categorías especiales de datos (artículo 9), no podrán ser tratados a no ser que concurra alguna de las circunstancias previstas en el mismo.

El Certificado Verde Digital no tiene carácter obligatorio, por lo que, en una primera instancia, para su tratamiento podríamos ampararnos en el ya mencionado  artículo 9 apartado a), que indica que dicha prohibición no tendrá lugar cuando el interesado otorgue su consentimiento explícito para el tratamiento de dichos datos. Además, el apartado i) de dicho artículo expone que tampoco tendrá lugar dicha prohibición de tratamiento cuando el mismo “es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado.”

A razón de lo dispuesto, debemos igualmente indicar que numerosos expertos en la materia manifiestan su preocupación a la hora de analizar quién y cómo pueden llegar a acceder y controlar dichos datos. Las medidas en materia de protección de datos que deberán analizarse y garantizarse, las recoge el RGPD en su artículo 6, y son las siguientes:

  • Principio de limitación de la finalidad: asegurar que los datos solamente son tratados para el fin concreto indicado, y que no son conservados durante más tiempo del estrictamente necesario.
  • Principio de minimización de los datos: debiendo tratarse los mínimos e indispensables datos para el fin concreto.
  • Privacidad desde el diseño y por defecto, debiendo aplicarse durante todo el tratamiento.
  • Aplicación de todas las medidas técnicas y organizativas necesarias a garantizar la aplicación de los principios exigencias anteriormente indicadas, tanto en la custodia como en la comunicación que pueda llegarse a producir de dichos datos.

Además, debería procederse a realización y publicación de la evaluación de impacto relativa a la protección de datos, tal y como expone el RGPD en su artículo 35, la cual, tal y como se indica en la Propuesta de Reglamento, “habida cuenta de la urgencia”, aún no se ha llevado a cabo.

Asimismo, la Propuesta de Reglamento indica en su artículo 9, destinado a la protección de datos de carácter personal que “los datos personales incluidos en los certificados (…) serán tratados por las autoridades competentes del Estado miembro de destino, o por los operadores transfronterizos de servicios de transporte de viajeros obligados por la legislación nacional a aplicar determinadas medidas de salud pública durante la pandemia de COVID-19, a fin de confirmar y verificar el estado de vacunación, test o recuperación del titular. A tal efecto, los datos personales se limitarán a lo estrictamente necesario”.

En lo relativo a la conservación de los datos, se indica igualmente que “no se conservarán más tiempo del necesario para su finalidad y, en ningún caso, más allá del período durante el cual los certificados podrán utilizarse para ejercer el derecho a la libre circulación.”

Además, cabe mencionar que el pasado jueves 25 de marzo se procedió a la tramitación urgente en el Parlamento Europeo del Certificado Verde Digital, de cara a su aprobación en el mes de junio. Debemos destacar que la mayoría de eurodiputados votaron a favor de dicha propuesta (468 votos a favor, frente a 203 votos en contra y 16 abstenciones).

También debemos hacer referencia al Dictamen conjunto EDPB-SEPD 04/2021 sobre la propuesta de Reglamento del Certificado Verde Digital que venimos comentando, en el cual el Consejo Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos establecen los aspectos de la Propuesta de Reglamento relacionados con la protección de datos personales, debiendo ser coherente y no entrar en conflicto con la aplicación del RGPD. De igual modo, se insta a la Comisión a adoptar un enfoque de la Propuesta con la finalidad de “abarcar todas las cuestiones relacionadas con la privacidad y a la protección de datos y los derechos fundamentales en general.” A este respecto y tal y como se refleja en el Dictamen, “la Comisión fundamenta la proporcionalidad de la propuesta en el hecho de que esta última limita el tratamiento de datos personales al mínimo necesario, (…); estableciendo que los datos obtenidos al verificar los certificados no deben conservarse; y estableciendo un marco que no requiera la creación y mantenimiento de una base de datos central. Además, la Propuesta aclara que el Certificado Verde Digital y su marco de confianza tendrán un carácter temporal, ya que deberá ser suspendido mediante acto delegado por parte de la Comisión una vez finalizada la pandemia de COVID-19”.

También se incluyen recomendaciones específicas para aclaraciones adicionales sobre las categorías de datos a las que afecta la Propuesta (en la que se incluirían los datos especialmente protegidos, como son los datos relativos a la salud), así como el almacenamiento de datos, las obligaciones de transparencia y la identificación de los responsables y encargados del tratamiento para el tratamiento de datos personales. 

Para concluir, la última pregunta que debemos plantearnos es: ¿hasta cuándo será necesario el portar este pasaporte para poder viajar al extranjero?

Si bien es cierto que, a pesar de que en la propia Propuesta de Reglamento se indica expresamente que tendrá carácter limitado, cuya duración terminará una vez que el director general de la OMS haya declarado la finalización de la emergencia de salud pública de alcance internacional causada por el SARS-Cov-2, no debemos olvidar que en el gigante asiático estos códigos QR sanitarios ya son necesarios para poder acceder tanto al transporte como a muchos espacios de carácter público. A este respecto, el dictamen conjunto 04/2021 anteriormente citado, indica que en ningún caso se podrá hacer un uso posterior del Certificado distinto al de facilitar la libre circulación entre los Estados miembros de la UE, al poder llegar a producirse consecuencias y riesgos para los derechos fundamentales de los ciudadanos de la UE.

De todos modos, solo el tiempo nos dará la respuesta de muchas de las cuestiones planteadas.