La intención del Gobierno de España es tener implantado el Certificado Verde Digital en junio.
Diez claves que los Gobiernos deben considerar para que su pasaporte de vacunación sea efectivo y proteja la privacidad
|
24/4/2021 06:48
|
Actualizado: 23/4/2021 19:11
|
El Certificado Verde Digital de Vacunación (CVD), más conocido como pasaporte de vacunación, facilitará la movilidad en el ámbito de la Unión Europea.
Al mismo tiempo garantizará la protección de la salud pública y permitirá retomar progresivamente la actividad económica de forma segura.
Así lo ha destacado recientemente en rueda de prensa el secretario general de Salud Digital, Información e Innovación del Sistema Nacional de Salud, Alfredo González, quien ha explicado que el Gobierno de España y las Comunidades Autónomas ya han comenzado a trabajar en la implantación del Certificado Verde Digital en nuestro país para cumplir los plazos establecidos.
La intención del Gobierno de España es tener implantado el Certificado Verde Digital en junio, de modo que pueda estar operativo a finales de ese mes y estar a pleno funcionamiento para la campaña de verano.
Esta iniciativa parte del pleno respeto a la normativa sobre protección de datos vigente e informa puntualmente a la Agencia Española de Protección de Datos (AEPD), el Certificado Verde Digital tiene como principales características su sencillez e interoperabilidad para toda la Unión Europea, así como su gratuidad y universalidad.
Generará un certificado digital unipersonal, mediante código QR, que proporcionará información sobre si la persona que lo porta ha sido vacunada contra el coronavirus, cuenta con un resultado negativo de prueba diagnóstica y prueba de que se ha recuperado de la enfermedad.
Confilegal ha pedido a Ruth Benito, ‘of counsel’ de Elzaburu y especialista en derecho de protección de datos personales y privacidad, un análisis de los requisitos que a nivel de privacidad se espera de dicho certificado en su puesta en marcha.
Ruth Benito, ‘of counsel’ de Elzaburu y especialista en Derecho de protección de datos personales y privacidad.
1. Debe definir la Protección de Datos y seguridad desde el diseño y por defecto, son principios del RGPD
A su juicio, «aplicar criterios de privacidad y seguridad desde el inicio de cualquier proyecto ayuda a sacar éste adelante con mejores resultados a nivel de eficacia del propio proyecto y de confianza de los individuos, minora los riesgos para éstos y evita tener que realizar posteriores ajustes”.
En este sentido, subraya, “nos preocupa que en la propuesta de Reglamento Europeo sobre el Certificado Verde Digital (CVD) se haya indicado que no se ha llevado a cabo una Evaluación de Impacto dada la urgencia existente, cuando tales evaluaciones son uno de los instrumentos que más confianza pueden aportar a la ciudadanía”.
2. Ser transparente con los datos de los ciudadanos
Benito recuerda que “los ciudadanos europeos tenemos derecho a conocer con exactitud cuál es la información que este certificado va a manejar sobre nosotros, cómo se va a manejar y quiénes son los implicados en dicho manejo”.
Para esta experta, “la futura publicación del Reglamento sobre el CVD (ahora mismo solo propuesta) aportará bastante información al respecto, pero aún quedarán muchas particularidades propias de cada Estado miembro, sobre todo respecto a las empresas, tecnología y medidas de seguridad aplicadas en cada caso”.
3. Evitar cualquier tipo de discriminación
Recuerda que “algo en lo que varios países han hecho hincapié es que este CVD no debe permitir que se produzca ningún tipo de discriminación. Que el no llevarlo no le impida al ciudadano a moverse”.
También recuerda que “este Certificado se crea para facilitar la libre circulación de los ciudadanos europeos de manera segura entre los Estados miembros de la Unión Europea”.
“Por lo tanto, debe garantizarse que solo se utilizará para este fin y no para otras cuestiones que podrían implicar discriminación, ni siquiera por parte del propio titular del certificado, como por ejemplo si se aprovechara en procesos de selección para puestos de trabajo”, indica.
Otra cuestión que señala es que «el CVD ya viene de serie con una cierta discriminación, y es que aquellos que no se hayan podido vacunar aún ni hayan pasado la enfermedad, tendrán que costearse unas pruebas diagnósticas, cuyo resultado pueda figurar en el Certificado o puedan acreditarlo por otra vía a efectos de poder viajar”.
4. Utilidad y eficacia real del CVD
Apunta que “la información reflejada en el CVD debe estar actualizada en todo momento, pero también debe ser apropiada para el objetivo perseguido”.
“Este es un punto que parece que a día de hoy no se ha resuelto de manera total y es que no se tiene aún evidencia científica de que las personas inmunizadas, bien por haber pasado la enfermedad bien por haber sido vacunadas, no sean transmisoras de la enfermedad, es decir, que no puedan contagiar a otros”, subraya.
Esta experta indica que “por otra parte, tampoco se sabe, por ser pronto aún, cuánto tiempo durará esa inmunidad. En consecuencia, la información no parece todo lo fiable que sería deseable para los fines que se persiguen, lo que puede chocar con el principio de exactitud de los datos”.
En su opinión, “entendemos que se debe ir avanzando en la cuestión y que se tendrán en cuenta las conclusiones y evidencias científicas para realizar los ajustes necesarios en el sistema que garanticen la mayor eficacia del mismo con una correcta utilización de nuestros datos personales”.
5. Minimizar los datos personales
Respecto a los datos personales, señala que “tanto los que se manejen en las ‘tripas’ del CVD como los que finalmente se reflejen en la aplicación o el papel a la hora de viajar, deben ser los mínimos realmente necesarios para el objetivo perseguido”.
“No sabemos aún con exactitud cuál será la información que se muestre cuando se haga uso del pasaporte, pero es algo que debe analizarse con detalle”, aclara.
Por ejemplo, podría bastar con una especie de “Apto” o “No apto” para viajar, si no hiciera falta conocer cuál es la situación que habilita a la persona (estar vacunado, haber pasado la enfermedad o tener una prueba diagnóstica con resultado negativo), o podría ser necesario conocer la situación concreta habilitante pero no hacer falta, a efectos de permitir el acceso al territorio, saber qué vacuna concreta se ha inoculado, o qué tipo de test se ha realizado, etc.
6. Contar con proveedores tecnológicos solventes y fiables
Las autoridades nacionales deberán evaluar si los proveedores de la tecnología, infraestructura, almacenamiento, etc. ofrecen garantías suficientes a fin de que el manejo de esa información personal, que es sensible, se realice con las medidas de seguridad apropiadas y no se vayan a producir injerencias injustificadas en los derechos de los ciudadanos europeos.
Se da por descontado que este desarrollo tecnológico tenga en cuenta los criterios antes diseñados de privacidad por defecto y desde el diseño para cumplir el Reglamento General de Protección de Datos (RGPD).
Junto con eso, “entendemos que la empresa o empresas elegidas, de cara a España, deberán cumplir con las medidas que resulten necesarias en virtud del Esquema Nacional de Seguridad”, aclara Benito.
7. Debe ser un certificado interoperable en toda la UE
Esta jurista señala que “tal y como ya se recoge en la propuesta de Reglamento, deben reunirse unas condiciones uniformes para la expedición, verificación y aceptación de los certificados en todos los países de la UE. De otro modo no se estaría facilitando realmente la movilidad de los europeos en territorio de la Unión”.
Esto permitirá que se pueda utilizar en todo el territorio de la UE.
“Al parecer la UE lo que está pensando es que se lleve a cabo a través de la Red Europea de Sanidad Electrónica, pero no sabemos realmente cómo esta de avanzado el proyecto. Se trata de garantizar la integración de los sistemas nacionales en una red europea”, comenta esta experta.
8. Configurar un documento universal y gratuito
A su juicio, “la propuesta de Reglamento también prevé, acertadamente, que el CVD debe ser universal y gratuito, lo que no significa que tenga que permitirnos viajar gratis y por todo el mundo (¡ya quisiéramos!), sino que todos los europeos deben poder acceder al certificado de manera gratuita”.
También señala que “la gratuidad es realmente una condición para que el CVD sea universal”.
“Pero también debe garantizarse que podrán beneficiarse del mismo de manera efectiva ciertos sujetos vulnerables, como por ejemplo menores de edad (quienes además no están recibiendo la vacuna), personas con discapacidad (accesibilidad) o personas desfavorecidas por la brecha digital», subraya.
9. Uso de la información solo para este tema sanitario
Para Ruth Benito, “esta iniciativa no es una tarta de la que se pueda sacar tajada”.
“Por lo tanto, las autoridades y compañías involucradas en el CVD, fuera de los fines previstos, no pueden compartir la información sanitaria de los europeos o aprovecharla en modo alguno y los operadores transfronterizos de servicios de transporte de viajeros que deban acceder a los certificados, no deberían generar sus propias bases de datos con la información de éstos”, indica.
10. Certificado algo coyuntural que debe suprimirse tras la pandemia
Al final, comenta, “el CVD solo tiene sentido y, por tanto justificación y legitimación, mientras dure la pandemia y/o emergencia sanitaria”.
“Por lo tanto, superada tal situación (ojalá sea más pronto que tarde), tanto el certificado como la tecnología que lo sustenta debe cesar y la información sanitaria de los europeos que haya quedado almacenada en los sistemas del CVD debe ser eliminada», comenta a Confilegal.
Noticias Relacionadas:
