Más que un Pasaporte, estamos ante un Certificado que permite verificar el estar vacunado; el resultado de habernos realizado una prueba RT-PCR o rápida de antígenos; o el haber superado la enfermedad.
¿Qué es el Pasaporte COVID? ¿Qué datos personales aparecen en el mismo?
El Pasaporte COVID es un documento en formato papel o digital que contiene visible un código QR, que permite comprobar que ha sido emitido por la autoridad competente, y la siguiente información y datos personales: nombre y apellidos del sujeto; fecha de nacimiento; enfermedad o agente que se previene o del que se ha recuperado el ciudadano; tipo de vacuna o de test; vacuna administrada; nombre del test; fabricante o titular de la autorización de comercialización de la vacuna o del test; número en serie de vacunas o de dosis; fecha de vacunación, de recogida de la muestra o del resultado; resultado del test; el centro o instalación del test; Estado miembro de la vacunación o del test; Estado emisor del certificado; fechas de validez del certificado en los casos de los certificados de recuperación, con un máximo de seis meses después de la fecha del primer resultado positivo del test; e identificador único del certificado.
Cuando se escanea el código QR no se accede a la información del Certificado, sino que únicamente se verifica su validez y autenticidad, y los datos permanecen en poder de la autoridad con competencia para emitirlo, en el Estado miembro que lo ha expedido.
¿Por qué el llamado Pasaporte COVID está generando tanta polémica?
Para entender la polémica que rodea al Certificado COVID Digital de la Unión Europea, también llamado Pasaporte COVID o, inicialmente, Pasaporte o Certificado Verde Digital, debemos conocer cómo surgió y, sobre todo, para qué.
Ante el rotundo fracaso de las aplicaciones de rastreo de contactos como herramienta para prevenir la expansión del coronavirus por detectar fácilmente a los sujetos contagiados, trazar el virus y aislarlo, con la llegada de las vacunas, en el seno de la Unión Europea, la Comisión europea aprobó un Reglamento destinado a regular un modelo único de certificado de vacunación contra la COVID-19, el Certificado COVID Digital. Su finalidad era garantizar durante la pandemia la libertad de circulación de forma segura entre los Estados miembros, entrando en vigor el 1 de julio de 2021.
La polémica se produce porque, si bien dicho Pasaporte surgió con una finalidad muy concreta, en España se está empleando en algunas Comunidades para permitir la entrada, especialmente, en locales de ocio nocturno y restauración como bares y discotecas. E incluso, en Estados como Francia o Italia, rodeado de altercados y manifestaciones, se está solicitando para espacios públicos o para poder trabajar. La cuestión no surge sólo por lo controvertido de su uso, sino que, para echar más leña al fuego, los Tribunales españoles parecen estar adoptando soluciones dispares, siendo noticia que en Galicia se permite su uso, pero en Andalucía no. Son los Estados los que tienen competencia para regular todas las medidas necesarias para garantizar la protección de la salud pública y seguridad de sus ciudadanos. Y, más concretamente, en el caso español, son las Comunidades las que tienen competencia, entre otras cosas, para regular las medidas sanitarias, así como la adecuada utilización del ocio.
Así, algunas Comunidades Autónomas han aprobado normas en las que, con el fin de garantizar la salud pública, autorizan a locales de ocio y restaurantes a solicitar a sus clientes que exhiban su Pasaporte COVID para poder disfrutar de sus servicios. Lo que sucede es que esta medida, como otras tomadas durante la pandemia, limitan o afectan a otros derechos fundamentales. Entre ellos, nuestra privacidad.
¿Es seguro que los restaurantes o gimnasios, por ejemplo, dispongan de esos datos? Y si quieren utilizar dicho Pasaporte ¿cómo deben tratar esos datos?
Antes de responder finalmente a si se puede o no exigir, entendemos que ni restaurantes ni bares o cualquier otro local que pida el Pasaporte COVID se va a quedar con una copia del mismo, sino que simplemente se va a solicitar su visionado. Esto es, no se van a quedar o almacenar nuestros datos. Pero los van a ver, y este tratamiento va a tener unos efectos en los titulares de los datos que se visualizan, dejándoles o no entrar en el local de turno, con el potencial efecto discriminador que puede tener.
En relación estrictamente con lo que tiene que ver con el tratamiento de datos personales, desde el punto de vista jurídico es diferente sólo visualizar que realizar cualquier otro tratamiento posterior. Si se conservaran dichos datos, más allá de su visionado, las medidas a implementar serían diferentes en tanto que estamos hablando, además, de datos especialmente protegidos como son los relacionados con el estado de salud de una persona, y que deberían superar, como mínimo, los preceptivos análisis de riesgos y evaluación de impacto, o verse sometidos a procesos de anonimización.
Si las autoridades competentes aprueban su uso como una medida sanitaria para proteger la salud pública y evitar la propagación del virus, entonces dicho tratamiento de datos personales debe someterse a las necesarias garantías que eviten su alteración o uso indebido y, sobre todo, debe existir una norma que lo prevea expresamente y que regule de forma clara bajo qué condiciones se puede limitar nuestra privacidad, más allá de la normativa de protección de datos personales vigente, que también debe cumplirse.
Entonces, ¿existe una base legal apropiada para esta nueva situación o deberían aprobarse nuevas leyes para proteger estos datos personales?
Respecto del tratamiento de datos personales, ya existen normas que regulan los principios y condiciones para que un tratamiento de datos sea legítimo. Nos referimos tanto al Reglamento General de Protección de Datos europeo (RGPD) como a la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD), que prevén el tratamiento de datos de salud incluso en situaciones excepcionales o con fines como proteger intereses vitales o un interés público esencial.
Así pues, no deben aprobarse nuevas leyes para proteger nuestros datos, sino que deben aprobarse leyes, o modificarse las existentes, que legitimen limitar derechos. No podemos olvidar que cualquier limitación de un derecho no solo debe estar justificada, como es este caso por motivos de salud pública, sino que debe estar prevista legalmente y ser necesaria y proporcionada y basarse en criterios objetivos y no discriminatorios.
Es cierto que existen normas que legitiman tratar datos sensibles como son las normas sanitarias o el citado Reglamento sobre el Pasaporte COVID. El problema se produce por su falta de claridad. No hay una ley que, de forma clara y previsible, nos indique en qué situaciones se podrán ver limitados nuestros derechos fundamentales en el contexto en el que vivimos. No conozco ninguna ley que prevea el uso del Pasaporte COVID con los fines indicados. Esto es, los datos personales de los que estamos hablando en realidad ya están protegidos. Pero lo que deben aprobarse son normas que permitan el tratamiento de dichos datos con estas nuevas finalidades y que lo prevean de una forma clara evitando la inseguridad jurídica que actualmente se está generando.
Desde el comienzo de la pandemia se ha venido reclamando la modificación de la normativa sanitaria para que recogiera expresamente qué medidas se podían llevar a cabo para prevenir y contener el coronavirus limitando la privacidad, entre otros muchos derechos. Se reclamaba, y se reclama, una norma a nivel nacional, no autonómico, que regule de forma clara y previsible qué medidas se podrán llevar a cabo para contener la pandemia, que identificara el ámbito y alcance del tratamiento de datos y la finalidad específica que se persigue, y, sobre todo, que cumpla con los principios de eficacia, necesidad y proporcionalidad con el fin de evitar cualquier efecto discriminatorio. Y esto, con independencia de que luego las Comunidades autónomas lo pudieran concretar para su ámbito territorial. Es el Estado y no las Comunidades Autónomas el que tiene la competencia exclusiva para regular las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de sus derechos fundamentales.
Por último, la cuestión debería ser ¿se puede o no obligar a exhibirlo?
Toda medida que limite derechos fundamentales debe ser interpretada de forma restrictiva, estar prevista legalmente, demostrando ser una medida necesaria y proporcionada en una sociedad democrática.
¿El uso del Pasaporte COVID para entrar en una discoteca está previsto legalmente y es necesario en una sociedad democrática? Tengo dudas de la previsión legal de la medida. Y si no existe previsión legal, no se podría solicitar. Ahora bien, suponiendo que, aun con la falta de claridad que se exige, se considere, como se está haciendo, que las normas existentes posibilitan su uso, habría que analizar si dicho uso es necesario y proporcional.
El Tribunal Supremo ya se ha pronunciado en dos ocasiones. En Andalucía ha considerado que no era legítimo exigirlo porque era desproporcionado solicitarlo de forma general y sin tener en cuenta la tasa de incidencia. Pero, en Galicia, por el contrario, el citado Tribunal ha autorizado la obligación de exigirlo argumentando que la medida era idónea, necesaria y proporcionada en tanto que el beneficio que proporciona respecto de la reducción significativa de los contagios es muy superior al sacrificio que comporta.
La cuestión es que la respuesta a todas estas incertidumbres no puede venir sólo de un análisis jurídico, sino que debemos tener en cuenta y escuchar a la ciencia, pues deben ser las evidencias científicas las que condicionen la respuesta jurídica y las que determinen la eficacia y proporcionalidad de la medida propuesta de utilizar el Pasaporte COVID, algo parecido a lo que concluyó el Tribunal Supremo en Andalucía.
Existe una falsa sensación de que el Certificado da carta de inmunidad a sus portadores. Esto es altamente peligroso pues el Certificado sólo debería entenderse como una prueba de verificación de una vacunación, de la realización de un test o de haber superado la enfermedad. No hay prueba científica alguna consolidada sobre la duración de la inmunidad, sin contar con el peligro de las personas reinfectadas y asintomáticas.
No seré yo quien, en un Estado de Derecho, incumpla una sentencia, pero sí me planteo la decisión adoptada, especialmente en el caso gallego. Y no tanto por los Tribunales, que resuelven caso a caso con las normas que tienen en sus manos, sino por la falta de actividad de nuestros Poderes públicos, que podrían ofrecer una mejor solución al problema poniendo fin a la disparidad jurisprudencial que se está produciendo con claros efectos en la economía del país. Por ahora, habrá que estar a ese análisis de proporcionalidad que vengan haciendo nuestros Tribunales.
Más noticias de la Universidad de Alcalá
Sigue disfrutando de Dream Alcalá:
- Telegram: Recibe nuestras noticias y contenido exclusivo.
- Notificaciones: Da de alta o de baja las notificaciones en tu navegador.
- Newsletter: Recibe cada tarde un correo con nuestras últimas noticias.
- YouTube: Suscríbete para ver nuestros mejores vídeos.
Sé tú el periodista: envíanos tus fotos o noticias a través de Telegram.