El “Certificado Verde Digital”: hacia un pasaporte europeo de vacunación
El 17 de marzo de 2021, la Comisión Europea presentó una Propuesta de Reglamento para crear el llamado “Certificado Verde Digital” con el fin de facilitar la libre circulación dentro de la Unión Europea (UE) durante la actual situación de pandemia de COVID-19. La propuesta tiene por objeto establecer un marco común para la expedición, verificación y aceptación de certificados interoperables de vacunación, test y recuperación de la COVID-19, de forma que permitirá demostrar a los ciudadanos de la Unión que cumplen los requisitos de salud pública impuestos por el país de destino. De este modo, las restricciones a la libre circulación vigentes para limitar la propagación de la COVID-19 podrían levantarse de cara al verano.
Cabe señalar que el Certificado Verde Digital englobará tres tipos de certificados:
- Certificado de vacunación, que confirme que el titular ha recibido una vacuna contra la COVID-19 en el Estado miembro que expide el certificado.
- Certificado test, que indique el resultado del titular y la fecha de una prueba RT-PCR, o un test rápido de antígenos.
- Certificado de recuperación, que confirme que el titular se ha recuperado de una infección por COVID-19.
Será expedido gratuitamente por los Estados miembros, por ejemplo, por las autoridades sanitarias, hospitales o centros de pruebas en formato digital o en papel, aunque podrá solicitado en ambos formatos. Para evitar falsificaciones, contendrá un código de barras interoperable (código QR) que permita verificar la autenticidad, validez e integridad del certificado, además de mostrar la información en la lengua del país expedidor y en inglés. Dicha información debe limitarse a la estrictamente necesaria para identificar claramente a su titular, así como la vacuna contra la COVID-19 o el resultado del test de infección o anticuerpos, la fecha y el lugar de vacunación.
Como se deriva de la propuesta, el Certificado implica el tratamiento de categorías especiales de datos, lo que reabre el debate surgido meses atrás en torno a las tomas de temperatura o el rastreo mediante la geolocalización a través de diversas aplicaciones móviles, poniendo una vez más en la balanza el derecho a la salud frente al derecho a la privacidad. Dadas las posibles repercusiones en los derechos fundamentales de las personas, esto es, el derecho al respeto de la vida privada y familiar y el derecho a la protección de datos de carácter personal contenidos en la Carta de Derechos Fundamentales de la Unión Europea (CDFUE), la injerencia en esos derechos debe estar justificada.
Así las cosas, la injerencia de la autoridad pública en el ejercicio de estos derechos está justificada, como señala la CDFUE, en tanto en cuanto esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para el bienestar económico del país y para la protección de la salud. Por otro lado, el Reglamento General de Protección de Datos (RGPD) permite el tratamiento de categorías especiales de datos, entre los que se encuentran los datos relativos a la salud, cuando sea necesario por razones de un interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros, así como por razones de interés público en el ámbito de la salud pública.
Sin embargo, es necesario analizar los riesgos que conlleva esta medida para la privacidad y garantizar el respeto de los principios de protección de datos definiendo la proporcionalidad de la misma en relación con la finalidad perseguida y asegurando su duración y alcance como medida temporal, que se suspenderá una vez que la Organización Mundial de la Salud declare el fin de la emergencia de salud pública internacional. Dado que los datos personales que van a tratarse incluyen datos sensibles relativos a la salud, debe garantizarse un nivel muy elevado de protección.
Para ello, resulta imprescindible analizar quién va a tener acceso a los datos que se tratan y concretamente, qué datos van a recabarse. El Reglamento propuesto indica que los certificados deben contener únicamente los datos personales que sean necesarios como el nombre, la fecha de nacimiento, la fecha de expedición, la información pertinente sobre la vacuna, prueba o la recuperación, los datos del emisor del certificado y un identificador único. Los datos personales incluidos en los certificados serán tratados por las autoridades competentes del Estado miembro de destino, o por los operadores transfronterizos de servicios de transporte de viajeros obligados a aplicar determinadas medidas de salud pública durante la pandemia, a fin de confirmar y verificar el estado de vacunación, test o recuperación del titular. En todo caso, la información contenida en el certificado no podrá ser conservada por los países de destino y los datos permanecerán en el Estado que expedidor del mismo. Para este fin, no se creará una base de datos europea sobre vacunación, test o recuperación, sino que se optará por un mecanismo de verificación descentralizada.
En otro orden de cosas, el hecho de no poseer un certificado vacunación no debería considerarse como un impedimento para poder desplazarse libremente a través del territorio de la UE en aquellos casos en que los ciudadanos puedan cumplir los requisitos legales en materia de salud pública por otros medios, ni tampoco debería poder utilizarse este certificado para fines privados, pues ello excedería de la finalidad para la que fueron recogidos los datos.
En definitiva, la implementación de esta medida encaminada a la recuperación económica y a la reactivación del turismo deberá tener muy en cuenta la privacidad desde el diseño y por defecto, la minimización de los datos y su limitación en el tratamiento a la finalidad perseguida, garantizando que se aplican las medidas técnicas y organizativas adecuadas y debiendo ajustarse a las recomendaciones emitidas por el Supervisor Europeo de Protección de Datos, del que se espera un dictamen al respecto.
Elena Álvarez Monroy, Legal Team