A la luz del debate que están generando los certificados digitales, el CEPD y el SEPD han publicado su opinión conjunta en relación a los mismos en el ámbito de privacidad y protección de datos.
Los certificados digitales verdes, también denominados “pasaporte vacuna” no están, al contrario de lo que se cree, dirigidos específicamente a las vacunas. De hecho se propone que los certificados digitales verdes o pases consistan en un código QR que contenga información sobre el estatus de cada persona en relación al virus del COVID-19. Los elementos específicos de dicha información pueden girar en torno a la vacuna y contar con detalles sobre qué vacuna se empleó o cuándo fue administrada, o también recoger datos sobre test de COVID-19 negativos y la fecha en que se realizaron. Este código podría asimismo aportar información sobre los anticuerpos presentes en el sistema inmune de una persona, y si se han desarrollado tras haber estado contagiado del virus con su posterior recuperación. Las vacunas no son obligatorias en este momento, y los certificados digitales verdes propuestos por la Comisión Europea pretenden hacer más sencilla la identificación del estado actual de una persona con respecto al COVID-19, si se han vacunado o no, lo cual facilitaría el desplazamiento entre países de la EU para cualquiera que necesite viajar durante la pandemia.
La publicación conjunta del CEPD y del SEPD abarca de manera específica los aspectos de la propuesta relativos a la protección de datos personales.
Inicialmente la Comisión publicó una propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la emisión, verificación y aceptación de certificados de vacunación, pruebas y recuperación para nacionales de terceros países que se encontrasen o estuviesen residiendo de manera legal en los Estados Miembro durante la pandemia del COVID-19 el 17 de marzo. El CEPD y el SEPD señalan que el objetivo de la propuesta es facilitar el ejercicio del derecho de libre movimiento dentro de la UE durante la pandemia del COVID-19. Dada la importancia particular de estas propuestas y su impacto en los derechos y libertades de los sujetos en relación al tratamiento de sus datos, el EDPB y el SEPB han publicado una opinión conjunta sobre los aspectos específicos relacionados con la protección de los datos personales. Se destaca que es esencial que la propuesta sea consistente y no entre en ningún caso en conflicto con la aplicación del RGPD.
Conforme a la opinión conjunta del CEPD y el SEPD, los certificados digitales verdes deberían enfocarse desde un punto de vista holístico y ético.
El CEPD y el SEPD recomiendan que la Comisión tome un enfoque holístico y ético en la propuesta, en un esfuerzo por acompasar todos los aspectos relativos a la privacidad y a la protección de datos, y a los derechos fundamentales de los sujetos en general. Afirman que la protección de datos no es un obstáculo para la lucha contra la actual pandemia y el cumplimiento con la normativa de protección de datos ayudará a que los ciudadanos confíen en los marcos que se establezcan. El CEPD y el SEPD aconsejan que cualquier medida que adopten los Estados Miembro o las instituciones de la UE debe basarse y orientarse conforme a los principios generales de efectividad, necesidad y proporcionalidad. Además, indican que la Organización Mundial de la Salud (OMS) recoge en su documento provisional referente a las consideraciones sobre la prueba de vacunación del COVID-19 para viajeros internacionales lo siguiente: “(…)las autoridades nacionales y los operadores intermedios no deberían introducir requisitos de prueba de vacunación del COVID-19 para viajeros internacionales como una condición de salida o entrada, puesto que todavía hay un gran desconocimiento en torno a la eficacia de la vacuna para reducir la transmisión del virus”.
El CEPD y el SEPD afirman en su opinión conjunta que estos certificados digitales verdes no deberán conducir a la creación de ninguna base de datos central de datos personales a nivel europeo bajo el pretexto del marco de los Certificados Digitales Verdes. Además, hacen mención específica al hecho de que estos certificados deben estar disponibles tanto en formato digital como físico, para asegurar así la inclusión de todos los ciudadanos independientemente de su nivel de familiarización con la tecnología. Se apela por otro lado a la manera en que estos certificados serán emitidos, si automáticamente o bajo solicitud de los sujetos. El considerando 14 y los artículos 5(1) y 6(1) de la propuesta actualmente rezan lo siguiente “(…) Los Estados Miembro deberían emitir certificados conforme al marco de los Certificados Digitales Verdes de manera automática o bajo petición (…)”
El CEPD y el SEPD valoran positivamente la inclusión en la propuesta de los derechos y libertades de los sujetos así como el cumplimiento con la normativa de protección de datos.
El CEPD y el SEPD valoran de manera positiva que la propuesta menciona de forma explícita que el cumplimiento con la regulación europea de protección de datos es clave para la aceptación comunitaria de los certificados de vacuna, prueba y recuperación. El considerando 38 de la propuesta establece que “conforme al principio de minimización de datos, los certificados deberían únicamente contener los datos personales que sean necesarios para el cumplir con el propósito de facilitar el ejercicio del derecho de libre movimiento dentro de la Unión durante la pandemia del COVID-19”. El CEPD y el SEPD recomiendan que se incluya una referencia al RGPD en el principal texto de la propuesta, pues es la base legal para el tratamiento de los datos y la emisión de certificados de vacunación interoperables, como enfatiza el considerando 37.
El Artículo 3(3) de la propuesta establece que los ciudadanos podrán obtener estos certificados sin coste, y pueden renovarlos para actualizar la información o reemplazarla cuando sea necesario. Mientras que el CEPD y el SEPD comparten esta postura, también recomiendan aclarar que el certificado original, así como sus modificaciones, deberán emitirse bajo petición de los sujetos. Esto es muy importante a fin de mantener la accesibilidad para todos.
El CEPD y el SEPD apuntan la necesidad de prestar atención a la minimización de datos y a una serie de aclaraciones en torno a la período de validez de los datos tratados.
Hay algunas categorías y campos de datos que se tratarían dentro del marco de los Certificados Digitales Verdes. Como resultado, el CEPD y el SEPD consideran que la justificación de la necesidad de tales campos de datos personales debe estar claramente definida en la propuesta. Además, se requiere una explicación más elaborada sobre si todos las categorías de datos personales deben necesariamente incluirse en el código QR para el formato digital y el físico. Apuntan que la minimización de datos se puede lograr mediante un enfoque de varios conjuntos de datos o códigos QR. Por otro lado, se enfatiza la ausencia de especificaciones en la propuesta en relación a la fecha de expiración o período de validez de cada certificado. Es importante mencionar que el CEPD y el SEPD establecen de manera clara que, dado el ámbito de la propuesta y el contexto de pandemia, la declaración de enfermedad o agente del cual el sujeto se ha recuperado debe limitarse únicamente al COVID-19 y sus variantes.
El CEPD y el EDPS insisten en la importancia de contar con las adecuadas medidas de privacidad y seguridad técnicas y organizativas en el contexto de la propuesta.
En relación al marco de los Certificados Digitales Verdes, el CEPD y el SEPD recomiendan que se estructuren de manera especial las medidas de privacidad y seguridad a fin de asegurar el cumplimiento de los responsables y encargados del tratamiento que el marco requiere. La opinión indica que los responsables y encargados deberían tomar medidas técnicas y organizativas adecuadas que confirmen un nivel de seguridad apropiado al riesgo del tratamiento de datos personales de acuerdo con el artículo 32 RGPD. Estas medidas tendrían que incluir el establecimiento de procesos para evaluaciones regulares de la efectividad de las medidas de privacidad y seguridad que se adoptan.
Mientras que el CEPD y el SEPD aprecian la aclaración que contiene la propuesta sobre el rol de los responsables y encargados de tratamiento, también recomiendan que se especifique, a través de una lista completa y detallada, todas las entidades que se prevé que actúen como responsables y encargados de tratamiento en los Estados Miembro, tomando en consideración el uso de estos certificados en múltiples estados por parte de personas que viajan de manera intracomunitaria. También apuntan que la propuesta debería ofrecer explicaciones sobre el papel de la Comisión en torno a las leyes de protección de datos en el contexto de este marco, garantizando la interoperabilidad entre certificados. Se solicita también que se preste atención al Artículo 5(1)(e) RGPD, en relación al almacenamiento de los datos personales, así como indicaciones sobre el período de almacenamiento que los Estados Miembro no deberían exceder, más allá de la pandemia. Además, el CEPD y el SEPD recomiendan que la Comisión explique de manera explícita si se esperan transferencias internacionales de datos personales y cuándo, junto a las salvaguardas dentro de la legislación para asegurar que los terceros países sólo tratan los datos personales para finalidades específicas por las cuales estos datos se intercambian, dentro del marco.
¿Tus actividades de tratamiento de datos personales cumplen con la Directiva ePrivacy, el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Infórmate aquí.