Las multas de protección de datos superaron los 8 millones de euros en 2020
7 abril, 2021
Renta 2020 a ingresar: cómo fraccionar el pago del IRPF y alternativas de aplazamiento
19 abril, 2021Certificados de vacunación contra la Covid-19: pautas para tratar los datos personales
La posibilidad de emitir certificados de vacunación contra la Covid-19 parece ser un balón de oxígeno para los sectores más afectados por la crisis derivada de la pandemia de coronavirus. Algunas comunidades autónomas quieren tomar la delantera, como es el caso de Galicia, que ya ha anunciado que espera tener un certificado sanitario Covid-19 este mismo mes de abril. Pero el modelo de certificado de vacunación -también conocido como Certificado Verde Digital o «pasaporte Covid»– ya ha sido presentado por la Comisión Europea, que prevé ponerlo en marcha en junio en todos los países miembros. Pero surgen las dudas legales sobre cómo se debe tratar jurídicamente la información sobre vacunación y cuáles son las pautas para tratar lícitamente los datos personales.
- Las Fundaciones como impulsoras de la economía social
- NUEVA ERA EN EL REGISTRO HOTELERO (RD 933/2021): LA AEPD PROHÍBE EXPLÍCITAMENTE SOLICITAR COPIAS DE DNI O PASAPORTE A HUÉSPEDES
- El ICAM otorga el Premio a la Innovación Jurídica al Dr. Efrén Díaz Díaz por su trabajo sobre el uso dual civil y militar en el espacio
- El derecho como vocación y servicio: entrevista a Manuel Cuchet
- La Comunidad de Madrid amplía beneficios fiscales en herencias desde el 1 de julio 2025
En relación con los datos de vacunación de la población, la AEPD indica en su Memoria Anual 2020 que ha promovido la cooperación con las autoridades de protección de datos de los restantes Estados miembros, con el fin de emitir recomendaciones sobre la utilización de los datos de vacunación en las iniciativas que están desarrollando a escala europea la Comisión Europea y el Consejo sobre estos certificados.
Pero sobre el tratamiento de los datos personales relacionados con el procedimiento de vacunación, en el mes de diciembre de 2020, el Ministerio de Sanidad daba a conocer los detalles del sistema de información a través del cual todas las autoridades sanitarias autonómicas deben facilitar la información referente a la vacunación frente a la Covid-19.
Lo hacía por medio de una Resolución de la Dirección General de Salud Pública, de 16 de diciembre de 2020, que establecía que las Comunidades Autónomas debían remitir diariamente al Ministerio los datos de la vacunación, de acuerdo con la obligación de información establecida en el artículo 23 del Real Decreto Ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por la COVID-19, y en el artículo 65 bis de la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.
“La Unión Europea quiere garantizar el derecho a la libertad de movimiento dentro de la Unión sin discriminación por motivos económicos o financieros. Una exigencia necesaria para salvaguardar estos derechos es la garantía del derecho a la privacidad de los datos incluidos en el pasaporte Covid-19”
Efrén Díaz Díaz, abogado responsable del área de Tecnología y Telecomunicaciones del Bufete Mas y Calvet
Dicha Resolución incluye la ficha con los datos que se deberán cumplimentar por cada una de las personas vacunadas: fecha de nacimiento y el lugar de residencia, el tipo de vacuna, fabricante y lote así como el motivo de vacunación. Estos datos personales identificativos devienen “categoría especial de datos” por su relación directa con información de salud de las personas. En consecuencia, requieren medidas de seguridad, técnicas y organizativas, adicionales.
El Ministerio de Sanidad recalcaba que el procesamiento estadístico de estos datos y su representación geográfica es un elemento estratégico para el seguimiento de la pandemia y para la toma de decisiones por parte de las administraciones sanitarias. Y ya adelantaba que el tratamiento de los datos personales de los ciudadanos que accedieran a la vacuna permitiría la emisión de certificados de vacunación.
Privacidad y certificados de vacunación
Los principales aspectos de la Resolución de la Dirección General de Salud Pública sobre el tratamiento de datos de vacunación y la privacidad de los ciudadanos que accedan a alguna de las vacunas:
1. Datos de vacunación seudonimizados
Los datos de vacunación que hayan obtenido las Consejerías de Sanidad, Comunidades Autónomas y los Servicios de Sanidad Exterior deben estar seudonimizados, de manera que no se pueda identificar a las personas vacunadas.
La seudonimización de los datos personales, según el Reglamento General de Protección de Datos (RGPD) consiste en un procedimiento mediante el cual ya no puede atribuirse dichos datos a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. En otras palabras, se trata de convertir el dato personal en un dato que no pueda ser identificativo, pero que permita su utilización en este caso para los fines legítimos de la prevención y mitigación de la pandemia.
Y este procedimiento de seudonimización se debe realizar antes incluso de que dichos datos personales sean remitidos al Ministerio de Sanidad para facilitar el seguimiento y la vigilancia epidemiológica de la COVID-19, ya sea mediante su análisis estadístico y de georreferenciación.
Como ha destacado la reciente Memoria 2020 de la AEPD, las apps de contact tracing no solo han de engranarse en el marco de una estrategia global de salud pública, sino que precisan no ser objeto de decisiones automatizadas. En este sentido, dentro de las acciones de vacunación, también la AEPD destaca que los datos de localización recogidos por las telecos y similares “sólo pueden ser cedidos si han sido anonimizados por el proveedor o, si indican la posición geográfica, con consentimiento del interesado”.
2. Datos para la emisión de certificados de vacunación
A algunas personas les puede interesar contar con un certificado que acredite que ha sido inmunizado con alguna de las vacunas contra la Covid-19. Es lo que coloquialmente se ha dado a conocer como “pasaporte Covid”. Numerosos sectores de actividad relacionados con los viajes, el turismo, los eventos y congresos internacionales consideran que, junto con el proceso de vacunación, estos certificados de vacunación pueden ayudar a reactivar la economía en estos sectores, que han sido duramente castigados como consecuencia de la crisis derivada de la pandemia.
La posibilidad de emitir certificados de vacunación que acrediten la inoculación de la vacuna queda supeditada a la solicitud previa de forma expresa e inequívoca por parte de la persona interesada que haya recibido la vacuna contra la Covid-19. Así lo ha reconocido también la Memoria 2020 de la AEPD publicada el 6 de abril de 2021.
3. Tratamiento de los datos de los certificados de vacunación por parte de terceros
Pero, ¿qué ocurre con el tratamiento por parte de terceros de los datos personales que figuren en los certificados de vacunación? El tratamiento ulterior de datos en dichas certificaciones o “pasaporte Covid” debe cumplir con todas las garantías de protección de la privacidad personal.
En este sentido, se pone el acento en evitar el uso de dichos datos personales en contextos que puedan derivar en situaciones de discriminación, ya que la protección de datos es un derecho fundamental reconocido en Europa y ha de conciliarse y ponderarse con otros derechos como la igualdad de trato o la salud.
El Certificado Verde Digital o pasaporte Covid-19
Hace algunas semanas, la Unión Europea anunciaba que el conocido como “pasaporte de vacunación” o Certificado Verde Digital sería un código QR disponible en formato digital o impreso, gratuito, cuyo objetivo será facilitar la movilidad interna entre los distintos Estados miembros, Islandia, Liechtenstein, Noruega y Suiza, mientras dure la pandemia, pero que quiere activar de cara al verano.
Su respectivo titular podrá demostrar, al menos, tres aspectos: que ha sido inmunizado con alguna de las vacunas aprobadas por la Agencia Europea del Medicamento; que ha realizado un test RT-PCR negativo; o bien que ya ha pasado la Covid-19.
Con este certificado, se pretende facilitar la libre circulación en el espacio Schengen, pero ¿qué ocurrirá con los ciudadanos que no estén vacunados, no tengan un test RT-PCR negativo o que no hayan pasado la Covid-19? Podrán circular por los países de la UE, pero estarán sujetos a las limitaciones que establezca cada país, como cuarentenas durante algunos días u otros tipos de tests. No obstante, aún queda pendiente de confirmación el criterio que fijen los tribunales al aplicar las nuevas normas.
Te ayudamos a cumplir con el RGPD
El área de Tecnología y Telecomunicaciones del Bufete Mas y Calvet aborda asuntos relacionados con las tecnologías de la comunicación y la sociedad de la información, desde el cumplimiento y auditoría en protección de datos, el asesoramiento en materia de propiedad intelectual o la defensa de derechos de autor, etc. Nuestro equipo profesional también puede asesorar a las empresas de los sectores turístico, hostelero, vajes y movilidad, entre otros, para cumplir con la normativa de privacidad relacionada con el pasaporte Covid. Contacte con nuestro equipo de abogados para que le asesoremos de forma personalizada.