“Certificado verde digital” y privacidad
El pasado 17 de marzo se publicó la propuesta de Reglamento del Parlamento Europeo y del Consejo de Europa relativo al denominado «certificado verde digital». Se trata de una propuesta sobre un marco para la emisión, verificación y aceptación de tres certificados interoperables sobre vacunación, pruebas y recuperación, para facilitar la libre circulación dentro de la UE. A finales del mes de marzo una opinión conjunta emitida por el Comité Europeo de Protección de datos y el Supervisor Europeo de Protección de datos arrojó algo de luz sobre las eventuales implicaciones de dicha medida en lo relativo a los datos personales.
Dicha Opinión Conjunta concluyó en que es de extrema relevancia vigilar el cumplimiento de los principios de eficacia, necesidad y proporcionalidad, logrando un justo equilibrio entre los objetivos de interés general perseguidos y los derechos individuales de los ciudadanos (en concreto a la protección de sus datos personales). En este sentido, la proporcionalidad de la medida se justificaría en la limitación del tratamiento de datos al mínimo indispensable y estableciendo un plazo de conservación posterior.
Tal como se establece en la Opinión Conjunta, es recomendable realizar una evaluación de impacto acompañando a la propuesta, la cual justificaría la trascendencia de las medidas que se están adoptando.
Es importante destacar que esta propuesta no autoriza ni legitima la creación de una base central de datos personales a nivel de la UE con el pretexto del «Certificado Verde Digital»
La esencia del sistema consiste en acreditar mediante este certificado una suerte de inmunidad que permitiría la libre circulación entre fronteras de la UE, pero ¿Y si fuera este un medio a emplear por otros agentes para sus propios fines con potenciales resultados discriminatorios?
El ejemplo paradigmático es una nueva contratación, imaginemos que las empresas comienzan a prevalerse de este tipo de medidas para contratar personal, con el consiguiente efecto discriminatorio para los ciudadanos que no puedan acreditar esa inmunidad (teniendo también en cuenta la poca evidencia científica existente que respalde el hecho de haber recibido una vacuna contra el COVID-19 otorgue inmunidad y por cuánto tiempo)
Pues bien, en su opinión conjunta, el Comité Europeo de Protección de datos y el Supervisor destacan que cualquier uso ulterior del “certificado verde digital” y los datos personales a él relacionados deberán respetar los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea y el Reglamento Europeo de Protección de datos, lo que implicaría la creación de una base jurídica adecuada en los Estados miembros. Por ello, deberían implementarse medidas para evitar el uso no deseado de los datos obtenidos, ya que, sin una base de legitimación apropiada el tratamiento podría entrañar un riesgo para los derechos y libertades de los individuos, así pues, vigilar el respeto de los principios de eficacia, necesidad y proporcionalidad es básico.
Es importante considerar que el “certificado verde digital” no solo contiene información sensible directamente, sino también deducible, así pues, en función de los criterios de vacunación, podría conocerse que una persona tiene una enfermedad concreta que justifica que se haya vacunado cuando no le correspondía por su edad.
Teniendo en cuenta la especial sensibilidad de los datos contenidos es de suma relevancia que los responsables y encargados de tratamiento adopten las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado.
Entre estas medidas, podrían considerarse, por ejemplo, el establecimiento de procesos para una prueba, valoración y evaluación periódicas de la efectividad de las medidas de privacidad y seguridad adoptadas. Seguridad y privacidad que han de vigilarse desde el momento de la determinación de los medios a emplear como en el momento del propio tratamiento, de acuerdo con los principios de protección desde el diseño y por defecto.
Finalmente, en su opinión conjunta, el Comité Europeo de Protección de Datos y el Supervisor recomiendan que se cree una lista de todas las entidades que actuarán como responsables de tratamiento y los destinatarios de los datos en ese Estado. Dicho listado se publicaría y facultaría a los ciudadanos para conocer la identidad del responsable del tratamiento al que acudir para el ejercicio de sus derechos.
Miembro del Grupo de Expertos ITSM4Privacidad
Team Leader ITSM4Privacidad
Comité de Estándares de itSMF España