Pasaporte Covid y Protección de Datos

05 de abril de 2021

Abrimos este tema de actualidad con la intención de arrojar algo de luz en alguna de las cuestiones planteadas en relación con los registros de vacunación y el conocido como Certificado Verde Digital o "Pasaporte Covid".

En primer lugar debería quedar claro que no debemos escoger entre soluciones a la pandemia y privacidad, si no que ambas cuestiones deben ir de la mano, ser compatibles y nuestra normativa lo permite ampliamente. Por ese motivo, debemos huir de las excusas de no poder llevar a cabo ciertos tratamientos por culpa de la normativa de protección de datos. Nada más lejos de la realidad.

Los registros de vacunación existen desde hace muchos años, siendo obligatorias o voluntarias pero recogiendo información de vacunas y vacunados. En el caso concreto del proceso de vacunación covid-19 podemos afirmar que la legitimación no podrá venir a través del consentimiento (art. 6.1.a) ya que el vacunado no se podrá negar a ser incluido en el registro una vez se haya vacunado. Tampoco sería el interés vital (art. 6.1.d y 9), ya que parece que el afectado en el momento de la vacunación tendrá plena capacidad de decidir. Por lo tanto, parece evidente que la base legal para el tratamiento de los datos relacionados con el registro de vacunación será en base al art. 6.1.e) – Misión en interés público, así como por el artículo 9.2.i. en base a las medidas adecuadas en relación con el control de la pandemia.

Mención a parte merecería quien toma la “libre decisión” de no vacunarse, que podría dar lugar a malinterpretaciones de si el dato que se trata es filosófico. Parece que no deba ser exclusivamente por cuestiones de opinión si no que pueda deberse a otras muchas cuestiones no necesariamente relacionadas con cuestiones filosóficas.

Respecto del conocido como Pasaporte Covid al que se ha referido recientemente  el CEPD, debemos tener en cuenta varias consideraciones. La principal, a nuestro juicio, es ¿Para qué se van a utilizar los datos? Parece obvio que si el tratamiento de los datos es con fin de asistencia sanitaria estos datos pueden tratarse con intención de colaboración transfronteriza. Podría darse, por ejemplo, que un afectado se vacune la primera dosis en España y necesite la segunda dosis en Francia o que requiera de asistencia sanitaria en otro país distinto y para ello sea necesario acceder a información sobre el proceso de vacunación.

Si el fin de tratamiento es otro distinto, parece que pese a no estar incluido como tal en el art. 9.1 de la LOPD-GDD, podría dar lugar a discriminación si no existe una alternativa razonable, por lo que no sería habilitante el consentimiento del interesado para facilitar sus datos a cualquier responsable. En base a todo ello, únicamente será de aplicación cuando esté previsto por las autoridades sanitarias, esto es, que exista una normativa que especifique en que casos es necesario estar vacunado para llevar a cabo ciertas actividades. En el contexto actual esto también puede dar lugar a una gran discriminación, en tanto la población en general aún no tiene la capacidad de decidir si ha optado por vacunarse o no. Por ello, es necesario incorporar alternativas proporcionales en cada caso como puede ser una prueba PCR o antígenos para el caso de las compañías aéreas pero claramente desproporcionadas si es para acceder a un recinto deportivo, una tienda o ir al cine.

Por último, debería quedar totalmente claro que el “Pasaporte Covid” o Certificado Verde Digital no debe utilizarse libremente para facilitar o denegar cualquier tipo de actividad y que solamente debe tener utilidad en el ámbito que especifiquen las autoridades sanitarias. Esta es una de las cuestiones que ha puesto de relieve el Comité Europeo de Protección de Datos, quien advierte de que no puede ser un requisito para la libre circulación de personas. También indica que una mala utilización de este certificado/pasaporte podría desencadenar un trato claramente discriminatorio que, en nuestra opinión, no debería quedar en manos de cada estado miembro.