La Unión Europea ha propuesto un marco para los certificados que revelen si han sido vacunados, si han tenido el COVID-19 o si han resultado negativo. El Comité Europeo de Protección de Datos (EDPB), junto al Supervisor Europeo de Protección de Datos (SEPD), han dejado una declaración formal sobre los aspectos de privacidad.
El 17 de marzo la Comisión Europea ha presentado un proyecto de ley sobre la emisión, la verificación y la aceptación de los certificados de coronavirus, conocidos también como “certificados verdes digitales”. El fin de los certificados es de render más fácil viajar entre las fronteras nacionales en Europa.
Los certificados asumirán la forma de un código QR en carta o en la aplicación y funcionarán en todos los países de la Unión Europea. El proyecto de ley será probablemente incluido en el acuerdo del EEE si será adoptado, y por esto es importante también para Noruega.
La Unión Europea propone que el certificado sea utilizado en las fronteras y que los datos no sean archivados durante la lectura del certificado.
El EDPB y el SEPD han dejado ahora una declaración formal sobre el proyecto de ley como parte del procedimiento legislativo.
Tiene que ser necesario y proporcionado
El EDPB y el SEPD afirman que la privacidad no impide la lucha contra las pandemias. Esto significa que no debe obstaculizar buenas soluciones, sino también que las soluciones tienen que ser desproporcionadas, no ir más lejos de lo necesario y respetar los principios de privacidad.
Es importante recordar que el estado de coronavirus de las personas es un dato sensible. Si un joven que no es un experto de la salud ha sido vacunado, puede ser sensible porque indica que el/ella es parte de un grupo puesto en peligro y por esto ha sido prioritario en la cola de las vacunas.
La declaración indica que falta una evaluación del impacto de proyecto de ley. Por esto, puede ser difícil demostrar el efecto del proyecto de ley. Al mismo tiempo, la declaración reconoce la situación extraordinaria en la cual nos estamos y que esta situación lleva también una serie de riesgos.
Peligro de discriminación
La declaración subraya que el fin de los certificados tiene que ser claramente indicado en la ley. Subraya además que la ley tendría que incluir medidas para reducir al mínimo los riesgos para las personas, incluido el riesgo de un utilizo secundarios no intencionales.
Los singulos estados podrían también querer no utilizar los certificados dentro del país, por ejemplo, para alentar las medidas tomadas. El uso de los certificados dentro de un país puede llevar a discriminaciones, por ejemplo en el puesto de trabajo.
La declaración recuerda que si los certificados tienen que ser utilizados además de las fronteras, esto tiene que tener una base separada para el tratamiento en la legislación nacional. Tiene que ser efectuada una evaluación de impacto, la ley tiene que ofrecer garantías suficientes que los derechos de las personas sean protegidos y la medida tienen que ser apropiada, necesaria y proporcionada. Cualquiera discriminación jurídica o factual tiene que ser evitada.
La discriminación puede ocurrir, por ejemplo, si un país recoge solo los certificados de vacunas y no certificados para una enfermedad o una prueba negativa. El EDPB y SEPD piensan que la ley tendría que pedir a todos los países aceptar que todas las tres tipologías de certificados: si han sido vacunados contra el COVID-19, si tenían el COVID-19 o si han resultado negativos.
Puede ser ampliado
El proyecto ley ofrece a la Comisión Europea adicionales oportunidades de aportar cambios en el curso. La Comisión Europea puede modificar los datos personales que incluir en el certificado y puede declarar que el marco se aplicará también en otras situaciones de pandemia. El EDPB y SEPD piden que estas autorizaciones sean reducidas.
El proyecto de ley afirma también que la Comisión suspenderá el marco cuando la pandemia esté terminada. El EDPB y el SEPD piden reglas más claras que no tendrían que permitir el acceso y el uso de datos después de la pandemia.
Seguridad y preguntas sin respuesta
La declaración afirma que en el proyecto de ley no está bastante claro cómo proteger la seguridad de las informaciones. Además, la declaración señala una serie de otras preguntas a las cuales el proyecto no contesta:
- ¿Cuáles actores serán respectivamente encargados y responsables del tratamiento de datos?
- ¿El certificado está en línea con el principio de minimización de datos?
- ¿El certificado tiene que ser creado autónomamente o cuando la persona lo pide?
- ¿Los datos personales serán transferidos fuera del EEE?