Según informa la Comisión Europea, el Certificado Verde Digital de Vacunación (CVD) es una acreditación digital que contribuirá a garantizar que las restricciones actualmente en vigor puedan suprimirse de manera coordinada, facilitando la movilidad de los ciudadanos de la Unión Europea. Este certificado incluirá únicamente la información clave necesaria, como el nombre, la fecha de nacimiento, la fecha de expedición, la información pertinente sobre la vacuna / la prueba / la recuperación y un identificador único. En principio, la intención del Gobierno de España es tenerlo implantado en junio de este año, de modo que sea plenamente funcional de cara a los meses de verano.
Puesto que este es un proyecto que ha generado algo de controversia, a continuación, Ruth Benito, Of Counsel de ELZABURU y especialista en derecho de protección de datos personales y privacidad, realiza un análisis de los requisitos que a nivel de privacidad se espera de dicho certificado en su puesta en marcha:
1.- Protección de Datos y seguridad desde el diseño y por defecto
Este es el primer punto por dos motivos, fundamentalmente:
- Contrariamente a lo que se suele pensar, aplicar criterios de privacidad y seguridad desde el inicio de cualquier proyecto ayuda a sacar éste adelante con mejores resultados a nivel de eficacia del propio proyecto y de confianza de los individuos, minora los riesgos para estos y evita tener que realizar posteriores ajustes.
- Nos preocupa que en la propuesta de Reglamento europeo sobre el Certificado Verde Digital (CVD) se haya indicado que no se ha llevado a cabo una Evaluación de Impacto dada la urgencia existente, cuando tales evaluaciones son uno de los instrumentos que más confianza pueden aportar a la ciudadanía.
2.- Transparencia total
Los ciudadanos europeos tenemos derecho a conocer con exactitud cuál es la información que este certificado va a manejar sobre nosotros, cómo se va a manejar y quiénes son los implicados en dicho manejo.
La futura publicación del Reglamento sobre el CVD (ahora mismo sólo propuesta) aportará bastante información al respecto, pero aún quedarán muchas particularidades propias de cada Estado miembro, sobre todo respecto a las empresas, tecnología y medidas de seguridad aplicadas en cada caso.
3.- No discriminación
Algo en lo que varios países han hecho hincapié es que este CVD no debe permitir que se produzca ningún tipo de discriminación.
Este Certificado se crea para facilitar la libre circulación de los ciudadanos europeos de manera segura entre los Estados miembros de la UE. Por lo tanto, debe garantizarse que sólo se utilizará para este fin y no para otras cuestiones que podrían implicar discriminación, ni siquiera por parte del propio titular del certificado, como por ejemplo si se aprovechara en procesos de selección para puestos de trabajo.
Cabe cuestionarse si el CVD ya viene de serie con una cierta discriminación y es que aquellos que no se hayan podido vacunar aún ni hayan pasado la enfermedad, tendrán que costearse unas pruebas diagnósticas, cuyo resultado pueda figurar en el Certificado o puedan acreditarlo por otra vía a efectos de poder viajar.
4.- Utilidad y eficacia reales
La información reflejada en el CVD debe estar actualizada en todo momento, pero también debe ser apropiada para el objetivo perseguido. Este es un punto que parece que a día de hoy no se ha resuelto de manera total y es que no se tiene aún evidencia científica de que las personas inmunizadas, bien por haber pasado la enfermedad bien por haber sido vacunadas, no sean transmisoras de la enfermedad, es decir que no puedan contagiar a otros.
Por otra parte, tampoco se sabe, por ser pronto aún, cuánto tiempo durará esa inmunidad. En consecuencia, la información no parece todo lo fiable que sería deseable para los fines que se persiguen, lo que puede chocar con el principio de exactitud de los datos. Entendemos que se debe ir avanzando en la cuestión y que se tendrán en cuenta las conclusiones y evidencias científicas para realizar los ajustes necesarios en el sistema que garanticen la mayor eficacia del mismo con una correcta utilización de nuestros datos personales.
5.- Minimizar los datos
Tanto los que se manejen en las “tripas” del CVD como los que finalmente se reflejen en la aplicación o el papel a la hora de viajar, deben ser los mínimos realmente necesarios para el objetivo perseguido.
No sabemos aún con exactitud cuál será la información que se muestre cuando se haga uso del pasaporte, pero es algo que debe analizarse con detalle. Por ejemplo, podría bastar con una especia de “Apto” o “No apto” para viajar, si no hiciera falta conocer cuál es la situación que habilita a la persona (estar vacunado, haber pasado la enfermedad o tener una prueba diagnóstica con resultado negativo), o podría ser necesario conocer la situación concreta habilitante pero no hacer falta, a efectos de permitir el acceso al territorio, saber qué vacuna concreta se ha inoculado, o qué tipo de test se ha realizado, etc.
6.- Vigilar a los compañeros de viaje
Las autoridades nacionales deberán evaluar si los proveedores de la tecnología, infraestructura, almacenamiento, etc., ofrecen garantías suficientes a fin de que el manejo de esa información personal, que es sensible, se realice con las medidas de seguridad apropiadas y no se vayan a producir injerencias injustificadas en los derechos de los ciudadanos europeos. En todo caso, entendemos que la empresa o empresas elegidas, de cara a España, deberán cumplir con las medidas que resulten necesarias en virtud del Esquema Nacional de Seguridad.
7.- Interoperabilidad
Tal y como ya se recoge en la propuesta de Reglamento europeo, deben reunirse unas condiciones uniformes para la expedición, verificación y aceptación de los certificados en todos los países de la UE. De otro modo no se estaría facilitando realmente la movilidad de los europeos en territorio de la Unión.
8.- Universal y gratuito
La propuesta de Reglamento también prevé, acertadamente, que el CVD debe ser universal y gratuito, lo que no significa que tenga que permitirnos viajar gratis y por todo el mundo (¡ya quisiéramos!), sino que todos los europeos deben poder acceder al certificado de manera gratuita.
La gratuidad es realmente una condición para que el CVD sea universal. Pero también debe garantizarse que podrán beneficiarse del mismo de manera efectiva ciertos sujetos vulnerables, como por ejemplo menores de edad (quienes además no están recibiendo la vacuna), personas con discapacidad (accesibilidad) o personas desfavorecidas por la brecha digital.
9.- El que parte y reparte se lleva un tortazo
Esto no es una tarta de la que se pueda sacar tajada. Por lo tanto, las autoridades y compañías involucradas en el CVD, fuera de los fines previstos, no pueden compartir la información sanitaria de los europeos o aprovecharla en modo alguno y los operadores transfronterizos de servicios de transporte de viajeros que deban acceder a los certificados, no deberían generar sus propias bases de datos con la información de éstos.
10.- Que no venga para quedarse
El CVD sólo tiene sentido, y por tanto justificación y legitimación, mientras dure la pandemia y/o emergencia sanitaria. Por lo tanto, superada tal situación (ojalá sea más pronto que tarde), tanto el certificado como la tecnología que lo sustenta debe cesar y la información sanitaria de los europeos que haya quedado almacenada en los sistemas del CVD debe ser eliminada.
Anteriormente publicado en Confilegal, por Luis Javier Sánchez.
Para más información, puede escuchar la entrevista en la que participó Ruth Benito para Ventaja Legal, de Capital Radio.
Autora: Ruth Benito
Visite nuestra página web