El flujo trasfronterizo de datos personales ante la materialización del Brexit
17 febrero 2021
Un año de la ruptura del PrivacyShield (16/07/2020)
20 julio 2021
La Comisión Europea ha lanzado una propuesta de Reglamento para la creación de un certificado verde digital en aras a facilitar la libre circulación dentro de la Unión mientras dure la pandemia del COVID-19, con el objetivo de devolver la plena operatividad al mercado interior.
Los datos personales relativos a la salud, son considerados categorías especiales de datos personales por lo que merecen especial protección debido a que estos datos podrían entrañar importantes riesgos para los derechos y las libertades fundamentales de las personas.
A continuación, analizamos la Propuesta del Reglamento del Parlamento Europeo y del Consejo 2021/0068 (en adelante, la Propuesta) sobre el certificado verde digital en base a los principios relativos al tratamiento que establece el RGPD en su artículo 5.
1. LICITUD, LEALTAD Y TRANSPARENCIA
Licitud del tratamiento: para que el tratamiento sea lícito, se requiere el consentimiento del interesado u otra razón legítima de las que proclama el artículo 6, apartado 1, del RGPD.
Lealtad del tratamiento: este principio es el que rige la relación entre el responsable del tratamiento y los interesados y se traduce en que, por ejemplo, los interesados deben tener conocimiento de los riesgos potenciales asociados al tratamiento.
Transparencia en el tratamiento: el responsable tiene la obligación de adoptar cualesquiera medidas que sean necesarias para mantener a los interesados informados acerca de cómo van a ser utilizados sus datos personales. La información previa al tratamiento debe ser de fácil acceso, suficiente y emplear un lenguaje claro y sencillo.
El tratamiento de datos de carácter personal que se pretende, tiene su base jurídica -según indica el considerando 37 de la Propuesta-, en los artículos 6, apartado 1, letra c), y 9 apartado 2, letra g) del RGPD. El interés público para que sea legítimo, ha de tener una base en el Derecho de la Unión o de los Estados Miembros, este punto se entiende cumplido en tanto el certificado digital estará regulado por una norma con rango de ley - reglamento de la UE-.
En segundo lugar, respecto del principio de lealtad y transparencia, el artículo 9, apartado 2 de la Propuesta determina que los responsables del tratamiento serán las autoridades competentes del Estado miembro de destino – o quienes estas hayan determinado- por lo que habrá que atender a cómo estos aplican los referidos principios.
2. LIMITACIÓN DE LA FINALIDAD
Principio de limitación en la finalidad: cualquier tratamiento de datos de carácter personal debe realizarse bajo el fin previamente definido, no pudiéndose realizar tratamientos ulteriores de estos datos excepto si es compatible con la finalidad original o si el nuevo tratamiento se basa en uno de los fines que prevé el RGPD.
En este sentido, la finalidad de los certificados incluidos en el certificado verde digital es «facilitar el ejercicio de la libre circulación» y no que este se convierta en una condición previa para el ejercicio de este derecho; la ausencia de vacunación –por cualquier motivo- no puede en ningún caso constreñirlo. Por ello, tal y como aparece en el apartado 2 del artículo 9 de la Propuesta, los datos personales no serán tratados por el verificador para otros fines.
3. MINIMIZACIÓN DE DATOS
Principio de minimización de datos: indica que el tratamiento de datos ha de limitarse a lo necesario para cumplir con un fin legítimo; ha de ser proporcional a los intereses, derechos y libertades en juego y; se debe llevar a cabo cuando la finalidad de dicho tratamiento no se pueda cumplir de forma razonable, por otros medios.
La Propuesta establece en el considerando 38 que los datos personales que han de incluir los certificados, serán aquellos estrictamente necesarios para facilitar la libre circulación mientras dure la pandemia de COVID-19 y sólo podrán transmitirse a través de las fronteras con el objetivo de obtener la información necesaria para confirmar y verificar el estado de vacunación, test o recuperación del titular; después, serán eliminados de forma inmediata e irrevocable.
Algunos de los datos que deben incluirse en el certificado de vacunación (punto 1 del Anexo) son: «a) nombre: apellido (s) y nombre (s), en ese orden; b) fecha de nacimiento (…)»
Pero, ¿Es necesario que aparezca el nombre completo de la persona en un formato legible por el ser humano? Si existen otras alternativas al tratamiento de datos, como que los certificados contengan un código de barras interoperable - obligación impuesta por la Propuesta en su considerando 14-, podríamos estar ante una vulneración de este principio.
4. EXACTITUD
Principio de exactitud: Los datos, en todas las operaciones de tratamiento, deben ser exactos y estar actualizados en el contexto de la finalidad del tratamiento.
De acuerdo con el artículo 3, apartado 3 de La Propuesta, el titular tiene derecho a solicitar la expedición de un nuevo certificado cuando los datos personales en él contenidos o los datos relativos al estado de vacunación, test o recuperación del titular no sean exactos, si estos no están actualizados o si el certificado ya no está a disposición del titular. De esta forma, se está regulando el derecho de rectificación (artículo 6 RGPD).
5. LIMITACIÓN DEL PLAZO DE CONSERVACIÓN
Principio de limitación del plazo de conservación: en el momento en que los datos personales dejan de ser necesarios para los fines para los que fueron recabados, dichos datos deben ser suprimidos o anonimizados.
Respecto de este principio, es necesario distinguir cuando La Propuesta alude en su artículo 9 a los datos personales incluidos en los certificados (apartado 2) de los datos personales tratados (apartado 3); pues mientras los primeros no se conservarán, respecto de los segundos, no se preservarán en ningún caso, más allá del periodo durante el cual los certificados se utilicen para el ejercicio del derecho a la libre circulación. Asimismo, en el considerando 40 se prohíbe la conservación de los datos personales obtenidos.
6. INTEGRIDAD Y CONFIDENCIALIDAD
Principio de integridad y confidencialidad: se deben aplicar las medidas técnicas y organizativas necesarias que impidan el acceso, uso, modificación, difusión, pérdida, destrucción o daño accidental, no autorizado o ilícito.
Nada se dice al respecto del principio de integridad y confidencialidad. La Propuesta, deja en manos de los Estados miembros el deber de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento (artículo 32, apartado 1, letra b) del RGPD).
7. RESPONSABILIDAD PROACTIVA
Principio de responsabilidad proactiva: impone la obligación a los responsables y encargados del tratamiento de aplicar medidas de forma activa y continuada para promover y garantizar la protección de los datos y de ser capaces de demostrar el cumplimiento de las disposiciones entorno a esta materia.
En este sentido, la Propuesta se limita a indicar, en el apartado 5 de su artículo 9, que «responsables y encargados del tratamiento adoptarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento».
La realización de una evaluación de impacto (EIPD) antes de comenzar las actividades de tratamiento que puedan generar riesgos elevados para los derechos y libertades de las personas físicas, es una medida de responsabilidad activa. El RGPD en ningún caso prevé la posibilidad de que esta evaluación se pueda hacer a posteriori como determina La Propuesta en su artículo 14 pues, desde la entrada en vigor de este Reglamento, la Comisión tendrá hasta cuatro meses parara presentar el informe que contendrá, entre otros aspectos, la aclamada EIPD.
La Propuesta remite, en su considerando 37 y en el apartado 1 del artículo 9, a la aplicación del RGPD al tratamiento de datos personales efectuado en la aplicación de la presente Propuesta. Da la sensación de que la UE por una parte busca que no se produzcan disparidades en cuanto a la aceptación de unos documentos por unos Estados miembros y la no aceptación o imposición de requisitos adicionales por otros, sin embargo, quedan aspectos de suma importancia en materia de protección de datos que se delegan al arbitrio de los Estados miembros abriendo la puerta, por tanto, a que se sigan produciendo estas disparidades que utópicamente pretende unificar.
Para resolver las dudas sobre si esta regulación es suficiente y adecuada desde un punto de vista de colisión de derechos fundamentales y sobre si su aplicación supondrá la vulneración del derecho a la protección de datos, tendremos que esperar a la entrada en vigor del Reglamento, al desarrollo legislativo que realicen los Estados Miembros, y al informe que debe publicar la Comisión sobre el impacto de esta norma.
Glosario
RGPD: Reglamento General de Protección de Datos
TFUE: Tratado de Funcionamiento de la Unión Europea
CDDFFUE: Carta de los Derechos Fundamentales de la Unión Europea
OMS: Organización Mundial de la Salud
CEDH: Convenio Europeo de Derechos Humanos
UE: Unión Europea
Fuentes:
resource.html (europa.eu)
resource.html (europa.eu)
https://ec.europa.eu/info/live-work-travel-eu/coronavirus-response/safe-covid-19-vaccines-europeans/covid-19-digital-green-certificates_es
https://www.europarl.europa.eu/doceo/document/TA-9-2021-0145_ES.pdf
REGLAMENTO (UE) 2016/ 679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO - de 27 de abril de 2016 - relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/ 46/ CE (Reglamento general de protección de datos) (boe.es)
*Se han tenido en cuenta las enmiendas aprobadas por el Parlamento Europeo al texto de la Comisión.
