Certificado digital verde: algunas consideraciones desde la óptica de la protección de datos

El 17 de marzo pasado la Unión Europea presentó lo que ha denominado el «Certificado Verde Digital». Este certificado busca garantizar la movilidad de la ciudadanos de la UE dentro de sus 27 estados miembros. Pero ¿Qué implica este Certificado también conocido como el pasaporte sanitario europeo?

Vayamos por partes. Muchos de los Estados de la UE han impuesto una serie de medidas que han restringido de forma importante la movilidad de los ciudadanos al interior de la UE. Este certificado propuesto por la Unión Europea busca que los ciudadanos puedan desplazarse libremente por los territorios de la UE a partir del verano mientras dure la pandemia de la Covid-19. No obstante lo anterior, en ejercicio de su propia soberanía, los Estados podrán seguir imponiendo determinadas medidas por razones de salud pública como puede ser la solicitud de una prueba PCR negativa para poder entrar en un determinado país o una cuarentena obligatoria.

¿Cómo será este certificado verde o este pasaporte sanitario?

Se trata de un documento que podrá ser tanto físico (impreso) como digital que incluirá una serie de información como si la persona ha sido vacunada, si tiene anticuerpos por haber pasado ya la enfermedad o bien, si cuenta con una prueba PCR con resultado negativo. Es importante tomar en cuenta que el hecho de no estar vacunado no es condición tanto para que no se expide dicho certificado como para negar la entrada a un determinado territorio, esto con el fin de garantizar el derecho a la libre circulación en igualdad de condiciones evitando caer en discriminaciones sobre aquellas personas que no se hayan vacunado.

Por tanto, el certificado busca de cierta forma garantizar la movilidad dentro de la UE en los meses siguientes y mientras dure la pandemia en condiciones de igualdad para todos los ciudadanos del aUE. No obstante, es importante tomar en cuenta que cualquier país tiene plena libertad y autonomía para imponer aquellas medidas que considere necesarias para garantizar la salud pública al interior de sus fronteras. Por otro lado, la lógica de crear este certificado es establecer un mayor control y coordinación en el flujo de personas que visiten determinados territorios dentro de la UE. Por ejemplo, monitorear posibles brotes producidos por un ciudadano que esté de vacaciones, por ejemplo, en Alemania. El certificado podrá medir y controlar de mejor forma el contagio y hacer un seguimiento mucho más preciso.

¿Qué impacto tiene este certificado verde desde le óptica de la protección de datos? 

Esta pregunta es uno de los puntos que han generado mayor preocupación en torno al lanzamiento de este nuevo «pasaporte sanitario». En este sentido, es importante tomar en cuenta que tanto la UE como sus Estados Miembro deben adecuarse a las propias disposiciones establecidas en el RGPD. En este sentido, el pasaporte sanitario solo deberá contener aquellos datos que resulten indispensables para cumplir la finalidad que se ha fijado. Por ejemplo, el certificado contendrá datos como el nombre, el número de pasaporte, si el ciudadano ha sido vacunado o si tiene una PCR con resultado negativo. Sin embargo, no podrá contener con más detalles que puedan resultar invasivos para la privacidad de los usuarios, cumpliendo, por tanto, con el criterio de minimización de datos.

Otro punto importante a tomar en cuenta es que el certificado será emitido por autoridades sanitarias autorizadas dentro de cada estado  miembro. El certificado contará con un código QR que será escaneado por la autoridad a la llegada a otro estado y únicamente determinará si dicho certificado es auténtico y fue emitido por una autoridad competente para expedirlo. Por tanto, los Estado no podrán tratar ni conservar datos adicionales a los ya contenidos en dicho certificado.

Por otro lado, al existir un tratamiento de datos considerados sensibles pertenecientes a una categoría especial de datos conforme al RGPD, dicho tratamiento solo deberá hacerse de forma temporal, lo que implica que el tratamiento se efectúe mientras dure la situación de emergencia que estamos viviendo y posteriormente no deberán exigirse este tipo de mecanismos. Lo más probable es que conforme vayan avanzando los procesos de vacunación, habrá un punto donde se podrá hacer necesario que los países soliciten algún tipo de certificado de vacunación para poder entrar en determinados territorios, pero no adelantemos acontecimientos.

Sin duda el lanzamiento de este certificado por parte de la UE busca garantizar la movilidad de los ciudadanos dentro de los países de la UE. No obstante, no debemos perder de vista que en este caso entran en juego dos derechos: el derecho mismo a la libertad de circulación y el derecho a la privacidad y la protección de datos. Por tanto, habrá que vigilar que efectivamente se cumplan con las garantías que determina el RGPD y que se cumpla con el criterio de temporalidad.

Se espera que este Certificado Verde Digital se lance para las vacaciones de verano por lo que habrá que estar atento de la tramitación correspondiente ante el Parlamento Europeo y el Consejo, así como la implementación de los mecanismos que permitan que este certificado sea eficaz al interior de cada uno de los Estados de la UE.

Gerardo A Steta
Abogado por la Universidad Panamericana (México) y graduado en derecho por la Universidad Internacional de la Rioja (España). Cuenta con un posgrado en Derecho y Negocio de las Nuevas Tecnologías, Internet y Audiovisual. Especialista en temas de Telecomunicaciones, Medios, Tecnologías y Protección de Datos. Actualmente, es asesor legal en el despacho de abogados Cremades & Calvo-Sotelo en su oficina de Madrid, donde presta asesoría a clientes nacionales y extranjeros en temas de protección de datos, telecomunicaciones y nuevas tecnologías. Es, asimismo, profesor de posgrado invitado en la Universidad CEU San Pablo.