La semana pasada la Comisión Europea presentó su propuesta de Certificado Verde Digital para facilitar la libre circulación dentro de la UE mientras persista la pandemia actual. Mediante este pasaporte COVID 19, los ciudadanos vacunados, recuperados o con resultados negativos en coronavirus podrán circular libremente entre los Estados Miembros. Ahora bien, esta medida reabre una vez más el debate sobre la proporcionalidad en el tratamiento de datos de salud.

Como consecuencia de la situación vivida este último año, hemos visto cómo nuestros datos de salud han sido tratados por las autoridades, entre otros, sobre la base del interés público con el fin de colaborar para frenar una pandemia. Sin embargo, en muchas ocasiones esta base legitimadora y nuestros datos se han utilizado de forma extralimitada. ¿Por quiénes? Por entidades que no contaban con potestad para ello. Así, la emisión del Certificado Digital siembra nuevamente el debate sobre la idoneidad y justificación de dar publicidad y tratar los datos de salud de este modo.

En principio, la información prevista a incluir en este ‘pasaporte COVID’ será:

  • Nombre y fecha de nacimiento del ciudadano.
  • Fecha de emisión.
  • Información sobre la vacunación, recuperación y/o prueba de contagio realizada.

Es importante que, si bien esta medida para el pasaporte COVID responde a una decisión europea, no se ejecute de forma aislada. Aún menos sin respetar los principios en protección de datos ya instaurados en la comunidad.

¿Qué sucede entonces con el Reglamento de Protección de Datos?

En especial, conforme al RGPD, juega un papel importante el principio de minimización de datos. Bajo este principio se requerirá valorar y determinar, de forma previa, a la formalización del Certificado. Centrándose en los datos que resulten estrictamente necesarios para facilitar la circulación. Así, deberán recogerse la mínima información personal posible que permitan al Estado de destino verificar la situación del ciudadano para autorizar su entrada. Es decir, los resultados concretos de pruebas, informes médicos o valoraciones adicionales serán considerados datos extralimitados para esta finalidad y su inclusión en el Certificado Verde supondría una vulneración del RGPD.

Adicionalmente, la Comisión Europea se ha pronunciado en su proyecto sobre la titularidad de los datos de salud. En todo caso, los datos seguirán siendo titularidad del ciudadano y del Estado Miembro de origen. Además, en respeto del principio de limitación de la finalidad, el Estado Miembro de destino no podrá emplear los datos del Certificado más allá que para la verificación, sin que esté permitida la inclusión de los datos y creación de repositorios propios con ellos. Esto es, únicamente se autorizará la lectura y validación del Certificado. Aunque se trate de una primera propuesta de la Comisión, esta posible decisión sienta los pilares para el que será un nuevo tratamiento de datos realizado por los Estados Miembros y las autoridades, debidamente legitimado y que deberá respetar el RGPD.

Conclusión

En definitiva, el Certificado nos permite ver cómo una vez más, incluso las autoridades europeas y ante situaciones extraordinarias de pandemia, resulta vital velar por los principios en protección de datos. Es por ello que diariamente, tanto en actuaciones frente a la COVID como en el día a día de una compañía, no es posible actuar al margen de la norma europea.

Así, desde UBT Legal & Compliance velamos por la adecuación de las decisiones de nuestros clientes para el desarrollo de su actividad de forma alineada a las decisiones europeas.

Miriam Romano, Consultora Legal de Protección de Datos y Nuevas Tecnologías.

AGENDAR LLAMADA