Los pasaportes de vacunación pueden ser una medida clave para la vuelta a la normalidad post COVID. Sin embargo, las autoridades deben asegurarse de que el sistema se pone en marcha cumpliendo escrupulosamente con las leyes de protección de datos. De ello dependerá una parte importante de su éxito.

Los pasaportes de vacunación o, certificados verdes digitales, como los ha bautizado la Comisión Europea, serán:  «una acreditación de que una persona ha sido vacunada contra la COVID-19, se ha recuperado de la COVID-19 o se ha realizado una prueba cuyo resultado ha sido negativo.»

A pesar de la utilidad que estos pasaportes puedan tener para el retorno a la normalidad, no se deben perder algunos aspectos fundamentales relacionados con la protección de datos. Como ha declarado la directora del Comité Europeo de Protección de Datos (EDPB): «Cualquier medida adoptada a nivel nacional o UE que implique el tratamiento de datos personales debe respetar los principios generales de efectividad, necesidad y proporcionalidad.»

Base legal para el tratamiento

Uno de los aspectos clave en materia de protección de datos es la necesidad de sustentar los pasaportes sobre una base legal de tratamiento sólida que garantice que el funcionamiento de este sistema es totalmente transparente y que se usa sólo en los casos en los que está justificado.

El RGPD recoge en su artículo 6 distintas bases legales sobre las que se puede apoyar la creación de pasaportes de vacunación. Sin duda, una de ellas podría ser el la necesidad de proteger los intereses vitales del interesado (Art.6.1.d) y otra el interés público (Art.6.1.e).

Finalidad

El EDPB y el Supervisor Europeo de Protección de Datos (EDPS) también han advertido sobre la posibilidad de que se usen los datos de los pasaportes de vacunación para crear una base de datos centralizada a nivel europeo que luego se pueda usar para otros fines distintos. Este riesgo está relacionado con el principio de limitación de finalidad por el que los datos recabados sólo podrán ser usados para el propósito original. Es decir, que no se puede aprovechar y usar esta base de datos para, por ejemplo, establecer un censo sanitario europeo.

Minimización de datos

Otro principio al que se tiene que plegar el nuevo sistema de pasaportes de vacunación es el de minimización de datos por el que se debe garantizar que sólo se recogerán aquellos datos que realmente son necesarios para cumplir con el propósito expuesto. Este aspecto es clave a la hora de diseñar el pasaporte de vacunación.

Limitación de tratamiento

Los responsables de la creación de pasaportes de vacunación deberán asegurarse también de que este sistema está en funcionamiento sólo mientras es necesario, algo ya contemplado ya que el propio documento de la Comisión informa de que el «sistema de certificado digital verde es una medida temporal» que «se suspenderá una vez que la Organización Mundial de la Salud (OMS) declare el fin de la emergencia de salud pública internacional por la COVID-19».

Seguridad e integridad de datos

Al tratarse de un documento del que puede depender el acceso a determinados beneficios, es muy probable que se produzcan intentos de falsificación. Además, al tratar datos sanitarios sensibles con un alto valor, el riesgo de ataque informático es muy alto. Por lo tanto, la UE debe asegurarse de que se ponen en marcha las medidas necesarias para garantizar la seguridad y la integridad de los datos.

Conclusión

Los pasaportes vacunales han iniciado ya su periplo legislativo y todavía están pendientes del visto bueno del Parlamento Europeo y el Consejo. Su puesta en marcha podría hacerse efectiva este verano y podrían convertirse en una medida clave para lograr una vuelta a una relativa normalidad. Para ello, necesitarán ir de la mano de la protección de datos.