autoridad de control de Irlanda

La autoridad de control de Irlanda publica unas orientaciones sobre el tratamiento de datos relativos a las vacunas en el entorno laboral

La autoridad de control de Irlanda publica unas orientaciones enfocadas a las empresas en relación al tratamiento de datos de salud vinculados con las vacunas. 

 

Conforme el mundo comienza a ponerse en marcha de nuevo y el teletrabajo deja paso al trabajo presencial en algunas industrias, las empresas solicitan información sobre el enfoque que deben tomar en lo relativo al tratamiento de datos personales vinculados con las vacunas de sus empleados. ¿Pueden las empresas incentivar a sus trabajadores para que se vacunen? ¿Se pueden recoger datos relacionados con el estatus de vacunación de la plantilla?¿Cómo debe tratarse esta información? A la vez que avanzan los programas de vacunación por toda Europa y un gran número ha recibido ya al menos una de las dosis, las autoridades sanitarias y las autoridades de protección de datos trabajan para ofrecer a las empresas guías sobre si deben recoger algún tipo de datos específicos y cuáles serían los límites de dicha práctica. Así, la autoridad de control de Irlanda, el DPC, ha emitido un comunicado que contempla recomendaciones para las empresas sobre cómo actuar en estos casos. 

 

El tratamiento de datos de salud debería realizarse en consonancia con las políticas gubernamentales sobre salud pública. 

 

El tratamiento de datos de salud debería basarse en las indicaciones de los gobiernos nacionales en sus políticas de salud pública. Por ejemplo, el protocolo de seguridad en el trabajo de Irlanda sugiere que son muy pocas las circunstancias en las que las vacunas deberían ofrecerse como una medida de seguridad en el entorno laboral. Sin embargo, hay algunas excepciones, como ocurre con puestos vinculados con el cuidado de la salud en primera línea. En estas circunstancias las empresas están autorizadas a tratar datos relativos a las vacunas de sus empleados. En España, la vacunación en el ámbito laboral está regulada en el Real Decreto 664/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo, y tiene un carácter voluntario. Sin embargo, independientemente de la vacuna, en un espacio de trabajo deberían aplicarse algunas medidas generales, como distancia mínima, obligatoriedad de mascarilla y aplicación del teletrabajo para aquellos puestos que lo permitan, las cuales deberían considerarse como paso previo antes de entrar a valorar si la recogida de información sobre el estatus de vacunación de los trabajadores es necesaria. El principio de minimización indica que no deberán recogerse datos que no sean absolutamente necesarios para la finalidad perseguida. 

Bajo el RGPD, los datos de salud se consideran categorías especiales de datos, y merecen protección específica. 

 

En consideración de que aún no se ha probado la eficacia a largo plazo de las vacunas dada la posibilidad de que surjan nuevas variantes o que sean necesarios varios recordatorios para mantener la inmunidad, el tratamiento de datos vinculados con el estado de vacunación no puede, en este momento, catalogarse como esencial en términos generales. Además, es un dato de salud que entra en la categoría de datos especiales del RGPD y, como tal, requiere cierta protección específica bajo el derecho de la UE. El requisito para la empresa de tratar datos personales puede crear una situación de desequilibrio entre el interesado y el responsable cuando en dichos roles se encuentra la empresa y el trabajador, respectivamente. No se debería solicitar a la plantilla su consentimiento a estos efectos, pues, en caso de ser otorgado, probablemente no sería de forma libre. 

 

Incluso en los casos donde se requiera cierta información de los empleados en el contexto de la pandemia, los datos personales de salud deben permanecer protegidos con las debidas garantías. 

 

Existen algunas situaciones en las que la empresa, o el personal sanitaria, puede necesitar recoger ciertos datos de salud de sus empleados. Por ejemplo, en el contexto del COVID-19, si un trabajador tuviese que viajar, la empresa necesitará conocer si cumple con los debidos requisitos para hacerlo, y las condiciones en las que tendrá lugar, pues en algunos casos se exige un período de aislamiento o cuarentena. En estos casos, se preguntaría a los trabajadores la fecha en la que podrían reincorporarse a su puesto, y la información necesaria podrá variar con la actualización de los protocolos de cada país y el avance de la pandemia. En aquellos sectores en los que sea necesario recopilar información sobre la vacuna, las empresas deberán mantenerse actualizadas de las recomendaciones sobre salud pública.  

¿Tienes dudas sobre cómo cumplir con la normativa en lo relativo al tratamiento de datos de salud en el contexto del COVID-19? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.

El CNIL publica su opinión

El CNIL publica su opinión sobre los pasaportes COVID-19 para eventos masivos.

El CNIL emite su opinión en la implementación y uso de los pases COVID-19 para la admisión a eventos masivos en Francia. 

 

Mientras que el mundo intenta progresivamente recuperar su actividad normal durante la pandemia del COVID-19, Francia está considerando utilizar los pases COVID-19 para determinar la admisión a los eventos masivos a partir de 1000 personas. Esta medida surge en un esfuerzo de reabrir ciertos establecimientos y retomar sus actividades con minimización del riesgo de contagio del virus. Estos pases COVID-19, al igual que los pasaportes COVID-19, incluirían información relativa a la vacuna, a tests negativos o prueba de recuperación. A pesar de que originariamente se desarrollaron para facilitar los desplazamientos durante la pandemia, el Gobierno de Francia busca aprovechar esta oportunidad y emplearlos para controlar el acceso a los eventos masivos, a fin de que estas actividades se reactiven mucho antes.  

 

El CNIL deja claro que estos pases no deberán usarse más allá de la crisis sanitaria. 

 

El CNIL explica que el uso pretendido de estos pases es únicamente durante el tiempo que dure la pandemia, con lo que tienen así por tanto un carácter temporal. En consideración de que se trata de una iniciativa sin precedentes y las implicaciones que puede tener en las vidas de los ciudadanos, la autoridad de control hace especial hincapié en el hecho de que se trata de una medida tomada con la finalidad específica de gestionar la crisis sanitaria y en consecuencia debería usarse sólo por el período durante el que sea aplicable según la evolución de la pandemia del COVID-19. Además, el CNIL requiere que el impacto de este sistema en la situación sanitaria sea monitorizado, estudiado y documentado a intervalos regulares sobre la base de datos objetivos, para así determinar si las autoridades públicas deberían seguir usándolo. 

 

El CNIL quiere garantizar que el uso de estos pases se limitará a los eventos masivos. 

 

Mientras que el CNIL reconoce la utilidad de estos pases para la admisión en los eventos masivos, también destaca que, para la protección de los derechos y libertades de las personas, su aplicación debería estrictamente limitarse a tales circunstancias. La autoridad de control quiere asegurarse de que se excluyen lugares relacionados con las actividades diarias de la población, como restaurantes, espacios de trabajo, tiendas, etc. Asimismo estos pases no deberían emplearse para la admisión a ningún lugar vinculado con libertades fundamentales (en particular, la libertad de manifestarse, la libertad sindical o la libertad religiosa). El CNIL considera que la exclusión específica de estos lugares y la prohibición de utilizarlos en esas esferas puede minimizar cualquier implicación del uso de este sistema en los derechos y libertades de los sujetos. El CNIL cree también que debería existir más información y transparencia sobre el tipo de eventos donde el control mediante estos pases se considera apropiado, así como la imposición de medidas que confirmen que los pases no se utilizan en lugares ni eventos que no cumplen dichas características. 

 

El CNIL quiere evitar que el uso de los pases resulte en discriminación, y busca proteger los datos personales de los interesados. 

 

A fin de evitar cualquier tipo de discriminación, el CNIL está destacando la necesidad de que los pases sean accesibles para todos, lo que incluye asegurar que están disponibles tanto en papel como en formato digital. También es importante asegurarse de que no existe discriminación basada en el tipo de información que se presenta en los pases, ya sea prueba de vacunación, resultados negativos o recuperación tras pasar el virus. Dada la naturaleza sensible de los datos que estos pasos contendrían, es clave hacer algunas consideraciones especiales para limitar la divulgación de información de salud. En relación a ello, el CNIL sugiere la implementación de una solución que hiciese posible limitar el acceso a la misma a personas autorizadas. Por otro lado, la autoridad de control cree que las verificaciones de los pases deberían tener un Código de color (verde o rojo) junto a la identidad de su propietario, de manera que no se revele si se ha vacunado, hecho una prueba o recuperado de una infección de COVID-19 previa. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

pasaportes COVID-19

La autoridad de control italiana cuestiona los pasaportes COVID-19

Ante la inminente introducción de los pasaportes COVID-19 en la UE, la autoridad de control italiana ha señalado algunos aspectos que requieren especial atención antes de que comiencen a aplicarse. 

 

Lo certificados de viaje o “pasaportes COVID-19” se emitirán este verano en la UE, con la fecha de introducción oficial fijada para finales de junio, aunque la mayoría de países de la UE deberían estar técnicamente preparados para la primera semana de junio, tal y como informa este artículo de Euractiv. A fin de evitar retrasos, el objetivo es tener los sistemas para el funcionamiento de estos certificados ya preparados en el momento en que la legislación se publique. Estos pasaportes COVID-19, sobre los que escribimos el mes pasado, se crean con la intención de ser válidos y operativos por toda Europa, y tomarán la forma de un código QR que contendrá información sobre el estatus de la persona en relación a la vacuna del COVID-19 o el virus (ya sean resultados negativos o la confirmación de presencia de anticuerpos). Dada la cantidad de datos que se espera que estos códigos QR contengan y la naturaleza de los mismos, las autoridades de protección de datos de Europa están siguiendo de cerca la emisión de estos pasaportes para asegurar que se respetan los derechos y libertades de los interesados. La autoridad de control italiana ha emitido un comunicado donde señala algunos aspectos clave que requieren especial atención en este sentido. 

 

Se espera que veinte países, incluida Italia, formen parte del primer grupo en comprobar los aspectos técnicos de interconexión de los sistemas, a partir de la segunda semana de mayo.   

 

Se ha dividido y puntuado a los Estados Miembros de la UE en tres categorías conforme a su preparación y disposición para comenzar las pruebas. El primer grupo incluye Italia, Francia, España y Alemania y se espera que empiecen a probar los sistemas interconectados a partir de la segunda semana de mayo. El tercer y último grupo lo haría en torno a mediados de junio. Estas pruebas técnicas incluyen la comprobación de toda la configuración, tras confirmar que el sistema se ha validado y cambiar las claves. Por este motivo, un oficial de la UE explicó que los Estados Miembro se han dividido en grupos para que las pruebas se efectúen por fases. 

 

Mientras que se lleva a cabo el trabajo técnico para sentar las bases de los pasaportes COVID-19, la UE trabaja en la base legal de la iniciativa. 

 

El 29 de abril, el legislador europeo adoptó una decisión de negociación sobre la propuesta de la Comisión de los pasaportes COVID-19 o “certificados verdes digitales”, lo cual sienta la fase de la negociación inter-institucional donde el Consejo representará 27 Estados Miembro. El objetivo es tener el sistema de certificación operativo para el verano, en un esfuerzo de salvar el sector europeo del turismo. A pesar de los plazos cortos que se han fijado al respecto, las autoridades de control están supervisando el proceso de cerca. 

 

La autoridad de control italiana ha emitido un comunicado donde señala algunos de los principales aspectos críticos de los pases de vacunación.

 

La autoridad de control italiana ha manifestado sus preocupaciones alrededor de los pasaportes COVID-19. El CEPD informó de que la autoridad de control italiana ha señalado que se dan en el sistema importantes deficiencias desde una perspectiva de protección de datos, como la falta de evaluación de posibles riesgos a gran escala que afecten los derechos y libertados de los individuos. Contrario a lo que establecen los requisitos del RGPD, el decreto denominado “Italia reabre” no ofrece una base legal adecuada para introducir y regular los pasaportes COVID-19. Entre los problemas de los que alerta la autoridad de control italiana, se encuentra el hecho de que el decreto no especifica la finalidad para el tratamiento de datos de salud, y allana el camino para futuras aplicaciones variadas e imprevisibles que podrían potencialmente entrar en conflicto con las iniciativas de la UE y actuar en contra del RGPD. Si bien la autoridad de control italiana incide en que los aspectos críticos que han detectado son elementos que podrían haberse solucionado de manera sencilla y rápida de antemano, también ha ofrecido su ayuda y cooperación al gobierno para resolver estos conflictos.  

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Certificados digitales verdes

Certificados digitales verdes: el CEPD y el SEPD publican una opinión conjunta al respecto.

A la luz del debate que están generando los certificados digitales, el CEPD y el SEPD han publicado su opinión conjunta en relación a los mismos en el ámbito de privacidad y protección de datos. 

 

Los certificados digitales verdes, también denominados “pasaporte vacuna” no están, al contrario de lo que se cree, dirigidos específicamente a las vacunas. De hecho se propone que los certificados digitales verdes o pases consistan en un código QR que contenga información sobre el estatus de cada persona en relación al virus del COVID-19. Los elementos específicos de dicha información pueden girar en torno a la vacuna y contar con detalles sobre qué vacuna se empleó o cuándo fue administrada, o también recoger datos sobre test de COVID-19 negativos y la fecha en que se realizaron. Este código podría asimismo aportar información sobre los anticuerpos presentes en el sistema inmune de una persona, y si se han desarrollado tras haber estado contagiado del virus con su posterior recuperación. Las vacunas no son obligatorias en este momento, y los certificados digitales verdes propuestos por la Comisión Europea pretenden hacer más sencilla la identificación del estado actual de una persona con respecto al COVID-19, si se han vacunado o no, lo cual facilitaría el desplazamiento entre países de la EU para cualquiera que necesite viajar durante la pandemia. 

 

La publicación conjunta del CEPD y del SEPD abarca de manera específica los aspectos de la propuesta relativos a la protección de datos personales. 

 

Inicialmente la Comisión publicó una propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la emisión, verificación y aceptación de certificados de vacunación, pruebas y recuperación para nacionales de terceros países que se encontrasen o estuviesen residiendo de manera legal en los Estados Miembro durante la pandemia del COVID-19 el 17 de marzo. El CEPD y el SEPD señalan que el objetivo de la propuesta es facilitar el ejercicio del derecho de libre movimiento dentro de la UE durante la pandemia del COVID-19. Dada la importancia particular de estas propuestas y su impacto en los derechos y libertades de los sujetos en relación al tratamiento de sus datos, el EDPB y el SEPB han publicado una opinión conjunta sobre los aspectos específicos relacionados con la protección de los datos personales. Se destaca que es esencial que la propuesta sea consistente y no entre en ningún caso en conflicto con la aplicación del RGPD. 

 

Conforme a la opinión conjunta del CEPD y el SEPD, los certificados digitales verdes deberían enfocarse desde un punto de vista holístico y ético. 

 

El CEPD y el SEPD recomiendan que la Comisión tome un enfoque holístico y ético en la propuesta, en un esfuerzo por acompasar todos los aspectos relativos a la privacidad y a la protección de datos, y a los derechos fundamentales de los sujetos en general. Afirman que la protección de datos no es un obstáculo para la lucha contra la actual pandemia y el cumplimiento con la normativa de protección de datos ayudará a que los ciudadanos confíen en los marcos que se establezcan. El CEPD y el SEPD aconsejan que cualquier medida que adopten los Estados Miembro o las instituciones de la UE debe basarse y orientarse conforme a los principios generales de efectividad, necesidad y proporcionalidad. Además, indican que la Organización Mundial de la Salud (OMS) recoge en su documento provisional referente a las consideraciones sobre la prueba de vacunación del COVID-19 para viajeros internacionales lo siguiente: “(…)las autoridades nacionales y los operadores intermedios no deberían introducir requisitos de prueba de vacunación del COVID-19 para viajeros internacionales como una condición de salida o entrada, puesto que todavía hay un gran desconocimiento en torno a la eficacia de la vacuna para reducir la transmisión del virus”.  

 

El CEPD y el SEPD afirman en su opinión conjunta que estos certificados digitales verdes no deberán conducir a la creación de ninguna base de datos central de datos personales a nivel europeo bajo el pretexto del marco de los Certificados Digitales Verdes. Además, hacen mención específica al hecho de que estos certificados deben estar disponibles tanto en formato digital como físico, para asegurar así la inclusión de todos los ciudadanos independientemente de su nivel de familiarización con la  tecnología. Se apela por otro lado a la manera en que estos certificados serán emitidos, si automáticamente o bajo solicitud de los sujetos. El considerando 14 y los artículos 5(1) y 6(1) de la propuesta actualmente rezan lo siguiente “(…) Los Estados Miembro deberían emitir certificados conforme al marco de los Certificados Digitales Verdes de manera automática o bajo petición (…)”

 

El CEPD y el SEPD valoran positivamente la inclusión en la propuesta de los derechos y libertades de los sujetos así como el cumplimiento con la normativa de protección de datos. 

 

El CEPD y el SEPD valoran de manera positiva que la propuesta menciona de forma explícita que el cumplimiento con la regulación europea de protección de datos es clave para la aceptación comunitaria de los certificados de vacuna, prueba y recuperación. El considerando 38 de la propuesta establece que “conforme al principio de minimización de datos, los certificados deberían únicamente contener los datos personales que sean necesarios para el cumplir con el propósito de facilitar el ejercicio del derecho de libre movimiento dentro de la Unión durante la pandemia del COVID-19”. El CEPD y el SEPD recomiendan que se incluya una referencia al RGPD en el principal texto de la propuesta, pues es la base legal para el tratamiento de los datos y la emisión de certificados de vacunación interoperables, como enfatiza el considerando 37. 

 

El Artículo 3(3) de la propuesta establece que los ciudadanos podrán obtener estos certificados sin coste, y pueden renovarlos para actualizar la información o reemplazarla cuando sea necesario. Mientras que el CEPD y el SEPD comparten esta postura, también recomiendan aclarar que el certificado original, así como sus modificaciones, deberán emitirse bajo petición de los sujetos. Esto es muy importante a fin de mantener la accesibilidad para todos. 

 

El CEPD y el SEPD apuntan la necesidad de prestar atención a la minimización de datos y a una serie de aclaraciones en torno a la período de validez de los datos tratados. 

 

Hay algunas categorías y campos de datos que se tratarían dentro del marco de los Certificados Digitales Verdes. Como resultado, el CEPD y el SEPD consideran que la justificación de la necesidad de tales campos de datos personales debe estar claramente definida en la propuesta. Además, se requiere una explicación más elaborada sobre si todos las categorías de datos personales deben necesariamente incluirse en el código QR para el formato digital y el físico. Apuntan que la minimización de datos se puede lograr mediante un enfoque de varios conjuntos de datos o códigos QR. Por otro lado, se enfatiza la ausencia de especificaciones en la propuesta en relación a la fecha de expiración o período de validez de cada certificado. Es importante mencionar que el CEPD y el SEPD establecen de manera clara que, dado el ámbito de la propuesta y el contexto de pandemia, la declaración de enfermedad o agente del cual el sujeto se ha recuperado debe limitarse únicamente al COVID-19 y sus variantes. 

 

El CEPD y el EDPS insisten en la importancia de contar con las adecuadas medidas de privacidad y seguridad técnicas y organizativas en el contexto de la propuesta.  

 

En relación al marco de los Certificados Digitales Verdes, el CEPD y el SEPD recomiendan que se estructuren de manera especial las medidas de privacidad y seguridad a fin de asegurar el cumplimiento de los responsables y encargados del tratamiento que el marco requiere. La opinión indica que los responsables y encargados deberían tomar medidas técnicas y organizativas adecuadas que confirmen un nivel de seguridad apropiado al riesgo del tratamiento de datos personales de acuerdo con el artículo 32 RGPD. Estas medidas tendrían que incluir el establecimiento de procesos para evaluaciones regulares de la efectividad de las medidas de privacidad y seguridad que se adoptan. 

 

Mientras que el CEPD y el SEPD aprecian la aclaración que contiene la propuesta sobre el rol de los responsables y encargados de tratamiento, también recomiendan que se especifique, a través de una lista completa y detallada, todas las entidades que se prevé que actúen como responsables y encargados de tratamiento en los Estados Miembro, tomando en consideración el uso de estos certificados en múltiples estados por parte de personas que viajan de manera intracomunitaria. También apuntan que la propuesta debería ofrecer explicaciones sobre el papel de la Comisión en torno a las leyes de protección de datos en el contexto de este marco, garantizando la interoperabilidad entre certificados. Se solicita también que se preste atención al Artículo 5(1)(e) RGPD, en relación al almacenamiento de los datos personales, así como indicaciones sobre el período de almacenamiento que los Estados Miembro no deberían exceder, más allá de la pandemia. Además, el CEPD y el SEPD recomiendan que la Comisión explique de manera explícita si se esperan transferencias internacionales de datos personales y cuándo, junto a las salvaguardas dentro de la legislación para asegurar que los terceros países sólo tratan los datos personales para finalidades específicas por las cuales estos datos se intercambian, dentro del marco. 

 

¿Tus actividades de tratamiento de datos personales cumplen con la Directiva ePrivacy, el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.