El Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (SEPD) han adoptado un dictamen conjunto sobre una propuesta de un certificado verte digital recientemente publicado desde la Comisión Europea.
El certificado verte digital tiene el fin de permitir la libre circulación dentro de la Unión Europea durante la pandemia de COVID-19 mediante un marco común para dejar la comprobación y la aceptación si una persona ha sido vacunada y con cual vacunas, si ha curado del COVID-19 y cuando o revela un resultado negativo.
Bajo opinión, las autoridades de control subrayan que los legisladores tienen que garantizar que el funcionamiento del certificado verte digital sea conforme al Reglamento General de Protección de Datos y que se basa sobre un sólido marco jurídico que afronta adecuadamente los riesgos para los derechos de las personas, incluido los viajes entre miembro de la Unión Europea.
Si bien un certificado verte digital pueda contribuir a viajar más seguros y al ejercicio del derecho de libertad de movimiento, el tratamiento de datos por este fin puede llevar a un riesgo de disparidad de tratamiento de las personas debido a el diferente acceso a vacunas, pruebas y certificados de enfermedad.
Las Autoridades de Control subrayan que actualmente existe una notable incertidumbre sobre la duración de la inmunización después de la enfermedad o la vacunas y la medida en la cual la vacunas impide la transmisión del virus.
En la medida en la cual se han establecido en los Estados miembros marcos para el uso del certificado verte digital para el acceso a servicios y locales, esto es posible solo bajo una legislación que tiene que respetar los principios de eficiencia, necesidad y proporcionalidad.
Estas bases jurídicas tendrían que definir claramente el ámbito del tratamiento de datos, el fin preciso, las categorías de destinatarios de datos y las garantías para prevenir el abuso de los derechos de las personas, en particular en el caso del tratamiento automatizado y del tratamiento de datos sensibles. Las nuevas bases jurídicas para el adicional tratamiento del certificado verte digital tienen que ser en línea con el fin originario del tratamiento a nivel de la Unión Europea, es decir el fin de permitir la libre circulación dentro de la Unión.
El dictamen subraya que el marco para el certificado verde no debería crear un conjunto de datos personales centralizado a escala de la UE y no debería elaborarse más tiempo del estrictamente necesario. Tras el fin de la pandemia COVID-19, es posible que estos datos ya no se procesen. El marco propuesto para un certificado verde debe definir con mayor claridad las categorías de datos que deben tratarse, la notificación de las personas, la conservación de los datos y las obligaciones de los encargados y los responsables del tratamiento.