Pasaporte COVID y Protección de Datos ¿Estamos seguros?

Mayo está llegando a su recta final. Con la llegada del verano a la vuelta de la esquina, y sobre todo tras un annus horribilis como fue 2020, todos estamos deseando hacer las maletas y reservar los billetes con destino a nuestras próximas vacaciones, aunque sepamos que no podremos viajar tan libremente como lo hacíamos antes del COVID.

Para facilitarnos las cosas, la Unión Europea ha llegado a un acuerdo para crear un certificado común para los 27 países, que ayude a la movilidad de los ciudadanos por Europa. Previsiblemente entrará en vigor el próximo 1 de Julio, y se llamará “Certificado COVID digital de la UE”, pero todos lo conocemos ya como Pasaporte COVID.

Teniendo en cuenta que el certificado recogerá datos personales de su portador, entre ellos datos sensibles de salud, ¿Qué medidas se han tomado para garantizar el cumplimiento de la normativa de protección de datos? ¿Nuestros datos están seguros?

Resumen del contenido

1 Reglamento
2 ¿Cómo funcionará?
3 ¿Qué datos incluirá el pasaporte COVID?
4 Vacunas aceptadas y países
5 ¿Cómo lo solicito? ¿Puedo viajar sin él?
6 ¿Cuándo entrará en vigor?
7 Protección de Datos y Pasaporte COVID

Reglamento

El pasado 17 de Marzo, la Comisión Europea aprobó el proyecto de Reglamento sobre la expedición, verificación y aceptación del certificado de vacunación europeo y posteriormente solicitó un dictamen conjunto al Comité Europeo de Protección de Datos (CEPD) y al Supervisor Europeo de Protección de Datos (SEPD).

En el dictamen las autoridades consideran que este proyecto es muy importante por el gran impacto que tiene en la protección de las libertades y los derechos individuales en relación con el procesamiento de datos personales, y por ello solicitan a los legisladores:

Que definan mejor el objetivo del certificado e instauren un mecanismo de vigilancia sobre su uso en cada Estado miembro.

Se quiere evitar que un documento destinado a facilitar la libre circulación dentro de la UE sea utilizado por algunos países para prohibir realizar ciertas actividades, discriminando a quienes no dispongan del mismo, pues algunos Estados ya sugirieron que podrían utilizarlo como requisito para entrar en restaurantes o gimnasios, o incluso usarlo en el ámbito laboral.

Que se descarte el uso del certificado una vez haya concluido la pandemia de COVID.

En el proyecto se deja la puerta abierta a que la Comisión, sin necesidad de tramitación parlamentaria, pueda prolongar el uso de este pasaporte ante enfermedades infecciosas similares que puedan derivar en pandemia.

Que se especifique de manera expresa que los Estados tendrán prohibido el acceso y uso de los datos recogidos en el certificado una vez haya pasado la pandemia
Que se haga pública la lista de todas las entidades que podrán actuar como controladores, procesadores o receptores de los datos en cada Estado miembro, para que el ciudadano sepa a quién debe dirigirse en caso de ejercimiento de derechos sobre sus datos personales.

El 20 de Mayo se alcanzó un acuerdo político provisional entre el Parlamento Europeo y el Consejo, por lo que el certificado podría estar listo a finales de Junio.

¿Cómo funcionará?

El pasaporte COVID será una especie de salvoconducto para poder viajar a otros países miembros de la UE, Liechtenstein, Islandia y Noruega, sin tener que someterse a otras medidas restrictivas (como el control de temperatura, cuarentena o PCR obligatoria).

Se expedirá de manera gratuita a todo aquel que lo solicite, siempre que cumpla alguno de los siguientes requisitos:

Haber sido vacunado
Haberse realizado recientemente una prueba PCR negativa
Haber pasado la enfermedad

El certificado se expedirá en formato digital y en papel, e incluirá un código QR que contendrá toda la información del certificado de vacunación, además de un código que sirva para verificar la autenticidad y validez del mismo.

¿Qué datos incluirá el pasaporte COVID?

El certificado deberá recoger los datos esenciales de la persona vacunada y del producto utilizado, y la información deberá aparecer en las lenguas oficiales del país de expedición y en inglés.

El Reglamento estipula que se recogerán 20 datos, de los cuales 11 serán de carácter imprescindible, así que el pasaporte contendrá como mínimo:

Nombre y apellidos
Fecha de nacimiento
Enfermedad para la que ha sido inmunizado
Tipo de vacuna
Marca
Empresa autorizada para su fabricación o comercialización
Número de dosis necesarias
Fecha y lugar de vacunación
Identificación del emisor
Resultado de la prueba PCR
Si se ha pasado la enfermedad

Vacunas aceptadas y países

El reglamento establece que los Estados miembros deberán emitir el certificado a todas las personas a las que se les haya administrado alguna de las vacunas autorizadas por la Agencia Europea del Medicamento (EMA) que hasta ahora son las de BioNTech/Pfizer, Moderna, AstraZeneca y Janssen.

También se expedirá a las personas inoculadas con vacunas autorizadas a nivel nacional como han sido la rusa Sputnik V y la china Sinopharm en Hungría o Eslovaquia. Y para todas aquellas aceptadas por la Organización Mundial de la Salud (OMS).

Sin embargo, los derechos de paso que conferirá cada vacuna no serán los mismos. En el caso de las autorizadas por la EMA, todos los Estados que reconozcan su inyección como vía para la libre circulación de sus ciudadanos deberán conceder el mismo derecho a los ciudadanos de otros Estados miembros vacunados igualmente con dichos fármacos. Y los países que permitan la libertad de movimiento tras la primera dosis de las vacunas que necesitan dos (todas menos la de Janssen) deberán conceder esa misma libertad a los ciudadanos de otros Estados miembros que también hayan recibido la primera dosis.

Pero, en el caso de las vacunas autorizadas a nivel nacional, ese reconocimiento será facultativo de cada país miembro. Es decir, un ciudadano húngaro vacunado con el fármaco ruso o chino, solo podrá desplazarse sin restricciones a los países de la UE que reconozcan el uso de esas vacunas.

¿Cómo lo solicito? ¿Puedo viajar sin él?

En España el pasaporte lo sellarán y entregarán las Comunidades Autónomas, y se podrá solicitar en hospitales, centros sanitarios, etc. Pero si no deseas solicitarlo no tienes por qué hacerlo. El objetivo del certificado es acelerar los procesos de entrada y salida de los países a las personas vacunadas, por lo que viajar sin el certificado seguirá siendo posible como hasta ahora, teniendo en cuenta que cuando llegues al país en cuestión deberás cumplir con las medidas restrictivas que establezca su normativa.

¿Cuándo entrará en vigor?

Una vez se apruebe el Reglamento, el pasaporte COVID entrará en vigor el 1 de julio y tendrá una validez de un año. No obstante, como ya comentamos, en principio el pasaporte COVID será temporal: En el momento en que la OMS reconozca finalizada la pandemia dejará de ser utilizado.

En España, las personas que cuenten con la pauta completa de vacunación podrán entrar al país sin restricciones desde el próximo 7 de junio.

Protección de Datos y Pasaporte COVID

Teniendo en cuenta el tipo de datos que recogerá el certificado (datos personales y de salud), es sencillo ver que existe un conflicto entre el pasaporte COVID y la aplicación de la normativa de protección de datos

Los datos estarán recogidos en un código QR, que, en principio, cualquiera con un smartphone podría escanear. Aún no se sabe con qué tipo de medidas de seguridad contará el pasaporte, ni si la información estará cifrada de manera que solo será visible para el personal autorizado, pero podemos pensar que si la UE está trabajando para que todos los países puedan establecer la misma infraestructura informática necesaria tanto para emitir como para poder leer los certificados, habrán implementado también unas medidas de seguridad adecuadas a los datos tratados.

No obstante, el Reglamento en su artículo 9 menciona:

El acceso a los datos personales contenidos en el certificado solo podrá hacerse con el objetivo de ver y verificar la información para facilitar la libertad de movimiento dentro de la UE durante la duración de la pandemia de COVID-19.
Los datos personales serán procesados por las autoridades competentes de cada Estado miembro de destino o por el personal transfronterizo encargado de velar por las medidas sanitarias implementadas contra la expansión del COVID-19.
Los datos personales necesarios para la expedición del certificado no podrán ser almacenados más tiempo del necesario para su propósito, ni tampoco una vez finalice la pandemia.

Algunas cosas quedan aún en el aire, pero a priori parece que nuestros datos estarán seguros y no se utilizarán con otros fines, ni más allá del tiempo indicado, aunque habrá que esperar a la aprobación y aplicación del Reglamento en cada país para verificarlo.

Desde ExpertosLOPD® te recordamos que estamos aquí para ayudarte en materia de protección de datos, ¡contáctanos y te enviaremos presupuesto sin compromiso!