Comentarios a la propuesta del Parlamento Europeo y del Consejo del certificado verde digital. Protección de datos sanitarios y análisis ético jurídico[*]

Comments on the proposal of the European Parliament and of the Council of the digital green certificate. Protection of health data and ethical legal analysis

Gloria María González Suárez¹ 

ABSTRACT: Due to the current situation we are facing due to the COVID-19 pandemic, the implementation of a digital green certificate has been proposed on several occasions. On March 17, 2021, the European Commission presented a proposal to create the certificate in order to facilitate the exercise of the right of free movement within the European Union during the pandemic. All this raises various legal questions regarding the protection of health data, the right of free movement and the efficacy and proportionality of measures that must be analyzed from both the legal and ethical point of view since, on certain occasions the application of measures may affect the right of equality of citizens.

Keywords: Digital green certificate, immunity passport, covid-19, health data protection, free movement.

SUMARIO: I. Introducción. II. Datos relacionados con la salud. 1. Concepto. 2. Tratamiento y acceso de los datos sanitarios. 3. Posibles vulneraciones del RGPD. III. Problemas ético-jurídicos. 1. Desigualdad y derecho a la libre circulación. 2. Eficacia y proporcionalidad de las medidas. IV. Conclusiones. V. Bibliografía.

Es conocido por todos que con los acontecimientos acaecidos en este último año en relación con el SARS-COV-2, que produce la enfermedad de la COVID-19, se ha tratado en diversas ocasiones la posibilidad de la implantación de un pasaporte inmunitario o certificado digital verde para poder viajar con plena libertad entre los Estados Miembros de la Unión Europea (UE). El 17 de marzo de 2021, la Comisión Europea^[2] presentó una propuesta de creación del certificado con el fin de facilitar el ejercicio del derecho a la libre circulación dentro de la UE durante la pandemia mediante el establecimiento de un marco común para la expedición, verificación y aceptación de certificados interoperables de vacunación, test y recuperación de la COVID-19.

Estos certificados^[3] son una herramienta (en formato digital o en papel) que certifica si una persona ha desarrollado inmunidad. Dicha inmunidad puede haber sido desarrollada por haber recibido las dosis correspondientes de la vacuna; por haber pasado la enfermedad (de modo que el pasaporte tendría una duración inferior); o por presentar una PCR negativa (frente a lo cual no habría seguridad en el momento de realización del viaje de que esta circunstancia no ha cambiado). Es decir, contiene datos relacionados con la salud según se define en el propio Reglamento 2016/679/UE, General de Protección de Datos (en adelante, RGPD).

Dentro del ámbito sanitario una de las cuestiones que más controversia genera es el tratamiento de los datos del paciente. Para poder abordar jurídicamente la protección de datos sanitarios dentro de este contexto es necesario saber qué se conoce por datos relativos a la salud y de qué protección gozan los mismos dentro de nuestro ordenamiento jurídico, entre otras cuestiones.

1. Concepto

La definición de los datos relacionados con la salud está regulada en el artículo 4.15 del RGPD donde se establece que “son los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”. En este sentido se precisa más la definición en el Considerando 35 del RGPD estableciendo de manera taxativa qué tipo de información se incluye en esta categoría. 

Además, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de protección de datos de carácter personal, en su artículo 5.1 g) los define como “las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo”. 

Si bien es cierto que con el RGPD se ha avanzado en lo relativo a proporcionar una definición del concepto, ante la amplitud de esta definición que implica una indeterminación de esta, se ha puesto de relieve por la doctrina que en algunas situaciones es difícil delimitar si se está ante un dato de salud, y, si, por tanto, se debe dar la protección que se debe a los mismos, o si ha existido, en su caso, una vulneración de dichos datos. Dicha determinación se está produciendo en la jurisprudencia ante la resolución de los casos concretos planteados ante nuestros tribunales y ante la Agencia Española de Protección de Datos^[4] (AEPD). 

En definitiva, no cabe duda de que se trata de un concepto muy amplio en el que se puede afirmar que están incluidos los datos de vacunación de una persona. No hay que olvidar que este tipo de datos se analizan como derechos fundamentales de la personalidad, de nueva generación, ya que ostentan autonomía propia en orden a su desarrollo actual como de futuro, teniendo su propia naturaleza jurídica y su propio marco conceptual y normativo. Superado en cierto sentido su vinculación a la intimidad de la cual se ha desgajado, configurándose de esta forma como un nuevo derecho fundamental, con un haz de facultades y con su propio contenido, dejando de ser un derecho derivado hasta convertirse en autónomo tal como destaca la doctrina en la materia^[5].

2. Tratamiento y acceso de los datos sanitarios

El artículo 4.2 del RGPD define “tratamiento” como “cualquier operación sobre datos personales como la recogida, registro, comunicación, difusión o cualquier otra forma de acceso”. Se puede afirmar, por tanto, que la obligación por parte del particular de exhibir su pasaporte de inmunidad quedaría encuadrada dentro de esta definición de tratamiento de datos. 

Sin embargo, dicho tratamiento, cuando se trata de datos relacionados con la salud, está prohibido en base al artículo 9.1 del RGPD, a no ser que se justifique en alguno de los motivos contenidos en el punto 2 del mismo, relativo a las de circunstancias que pueden concurrir para poder llevar a cabo el tratamiento o cesión de las categorías especiales de datos. En este caso, podría justificarse en el supuesto contenido en el 9.2.i) donde se permite el tratamiento si “es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud (…)”. 

Esto nos lleva a plantearnos la posibilidad de su implantación con todas las garantías legales, pues todo parece indicar que la situación actual bien podría figurar dentro del supuesto mencionado. No obstante, se debe tener en cuenta lo contenido en el artículo 9.2 de Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD), referido a las categorías especiales de datos, donde se establece que “los tratamientos de datos contemplados en las letras g) h) e i) del 9.2 RGPD deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad”.

Por otra parte, la Disposición adicional 17 (relativa a los tratamientos de datos de salud) de la LOPDPGGD, establece “que se encuentran amparados en las letras g) h) e i) del 9.2 RGPD, los tratamientos de datos relacionados con la salud que estén regulados en las siguientes leyes y sus disposiciones de desarrollo:

a) La Ley 14/1986, de 25 de abril, General de Sanidad.

b) La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.

c) La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

d) La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.

e) La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias.

f) La Ley 14/2007, de 3 de julio, de Investigación biomédica.

g) La Ley 33/2011, de 4 de octubre, General de Salud Pública.

h) La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.

i) El texto refundido de la Ley de garantías y uso racional de los 105 medicamentos y productos sanitarios, aprobado por Real Decreto Legislativo 1/2015, de 24 de julio.

j) El texto refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, aprobado por Real Decreto Legislativo 1/2013 de 29 de noviembre”.

Se podría, por tanto, concluir que, en base a las disposiciones anteriormente citadas, en lo que a la protección de datos sanitarios se refiere, se justifica el tratamiento de estos para la implantación del certificado dentro de la casuística hasta el momento expuesta, pues, el tratamiento de todos los datos constituye un medio apto para llevar a cabo el fin que en cada caso concreto se quiere alcanzar^[6].

Por otra parte, la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, reconoce en su artículo 7 el derecho a la intimidad. En su artículo 16, además, regula los usos de la historia clínica, estableciendo en el apartado 3 el acceso a la historia clínica “cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población”. En cuanto a quién debe realizar el acceso establece a continuación que “las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos”.

Teniendo en cuenta que los datos de vacunación, o el hecho de haber pasado o no la enfermedad, e incluso obtener un resultado de PCR negativo son datos que forman parte de la historia clínica del paciente, deben respetarse todas las disposiciones en materia de protección de datos sanitarios expuestas anteriormente (tanto a nivel europeo como nacional) y esto conlleva que el acceso a estos datos se haga por profesionales sanitarios, algo que complica su implantación.

Conviene señalar que, en la Propuesta de Reglamento sobre certificados interoperables de vacunación, de test y de recuperación (certificado verde digital) no se prevé ninguna excepción al régimen de protección de datos de la UE y los Estados miembros deben aplicar normas claras, con garantías sólidas, en consonancia con la normativa de protección de datos de la UE, por lo que para su implantación deben contemplarse todas las exigencias legislativas comentadas.

3. Posibles vulneraciones del RGPD

En el art. 9 de la Propuesta del Reglamento del certificado verde digital, relativo a la protección de datos, se establece información relativa al principio de limitación de finalidad y sobre el principio de limitación del plazo de conservación estableciéndose que “los datos personales se limitarán a lo estrictamente necesario” y que “no se conservarán más tiempo del necesario para su finalidad y, en ningún caso, más allá del período durante el cual los certificados podrán utilizarse para ejercer el derecho a la libre circulación”. Teniendo en cuenta la especial clasificación de los datos sanitarios como datos sensibles, así como su especial protección, resulta básica la aplicación de tales principios, asegurándose de que dichos datos no serán tratados ulteriormente de manera incompatible con los fines para los que se produce su tratamiento y asegurando que no serán mantenidos más tiempo del necesario. 

Por otra parte, el artículo 9 especifica la consideración de las autoridades competentes en cada Estado Miembro como las autoridades responsables del tratamiento de los datos para la expedición del certificado. El RGPD prevé que el responsable del tratamiento realice un análisis de riesgos para poder determinar las medidas que deberá adoptar para cumplir con todas las obligaciones. Los Considerandos 84 y 76 del RGPD establecen, además, que cuando exista probabilidad de que un tipo de tratamiento entrañe un alto riesgo para los derechos de las personas, el responsable del tratamiento deberá realizar una evaluación de impacto de las operaciones de tratamiento. 

Además, el Considerando 89 hace referencia a situaciones de alto riesgo en el tratamiento, como por ejemplo las que implican el uso de nuevas tecnologías o son de nueva clase, y el articulado del RGPD menciona que será necesaria la Evaluación de Impacto cuando se produzca un tratamiento a gran escala de las categorías especiales de datos. Por su parte, la LOPDGDD concreta aún más las operaciones de tratamiento teniendo en cuenta los mayores riesgos entre los que se encuentra el tratamiento masivo de datos. 

Se puede observar que la implantación del certificado digital verde está dentro de todos los supuestos mencionados para los cuales sería necesaria realizar la Evaluación de Impacto y, además, el RGPD es claro en el momento de realización de esta; debe ser antes del tratamiento. 

Pues bien, habida cuenta de la urgencia, la Comisión no ha llevado a cabo la evaluación de impacto, ni tiene intención de contemplarla ya que así lo especifica en la propia Propuesta del Reglamento. No parece un requisito que deba obviarse teniendo en cuenta las disposiciones contenidas en el RGPD y la LOPDGDD, pues, los datos de salud en entornos epidemiológicos igualmente deben ajustarse a la protección que se brinda a los datos personales en general, pero conviene precisar que dependerá la misma, por lo menos desde nuestro punto de vista, a la ponderación entre la protección de la vida, de la salud^[7].

No obstante, dadas las excepcionales circunstancias que vivimos, se podrá limitar, y nunca suspender, el derecho a la protección de datos personales en favor de la salud pública y los intereses vitales de los interesados y las demás personas físicas, cumpliendo siempre con los deberes de información y respetando los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad, además de exigirse a los responsables del tratamiento una responsabilidad proactiva en el cumplimiento de estos principios^[8].

Aparte de los problemas jurídicos en relación con la protección de datos, existen otros problemas éticos-jurídicos en cuanto a su implantación que deben igualmente ser expuestos.

1. Desigualdad y derecho a la libre circulación

De conformidad con el artículo 21 del Tratado de Funcionamiento de la Unión Europea (TFUE), todo ciudadano de la Unión tiene derecho a circular y residir libremente en el territorio de los Estados miembros, con sujeción a las limitaciones y condiciones previstas en los Tratados y en las disposiciones adoptadas para su aplicación. El derecho fundamental a la libertad de circulación y residencia está, además, contenido en el artículo 45 de la Carta de los Derechos Fundamentales de la Unión Europea.

Por otra parte, la Directiva 2004/38/CE dispone que los Estados miembros pueden restringir la libertad de circulación y residencia de los ciudadanos de la UE y de los miembros de sus familias, independientemente de su nacionalidad, por motivos de orden público, seguridad o salud públicas. Es decir, estamos dentro de la casuística que permite tal restricción. Sin embargo, no por ello se puede decir que está exento de problemas jurídicos pues, tal restricción depende de los datos de inmunidad contenidos en el certificado por lo que, puede desembocar en un riesgo de exclusión social ya que no existe disponibilidad de vacunas para toda la población por lo que, quedaría fuera de la voluntad del particular que está esperando a que se vacunen los grupos prelacionados. Frente a esto, el Consejo Alemán de ética de febrero de 2021^[9] señala que mientras quienes se quieren vacunar no puedan, se considera socialmente injusto. 

No cabe duda de que los Estados miembros deben coordinar sus acciones al adoptar y aplicar medidas en el ámbito de la libre circulación para proteger la salud pública en respuesta a la pandemia de la COVID-19, y que con el hecho de contemplar como una de las posibles casuísticas que no restringe el derecho a la libre circulación sea una PCR negativa, ha querido con ello evitar esa desigualdad producida a efectos de considerar la vacunación o el hecho de haber pasado la enfermedad como únicos requisitos, evitando de ese modo que quien quiera ejercitar su derecho de movilidad y deba hacerlo por motivos de peso y no tenga acceso a la vacuna busque contagiarse. Este contagio intencionado es más probable en aquellas personas en una situación económica más vulnerable, quienes podrían verse obligadas a elegir entre infectarse para obtener el pasaporte.

2. Eficacia y proporcionalidad de las medidas

Llegados a este punto es necesario plantearse la eficacia real de las medidas relacionadas con la implantación del pasaporte inmunitario, pues, de demostrarse ineficaces se estaría vulnerando el principio de proporcionalidad. Estamos ante un virus desconocido y, aunque la ciencia ha avanzado considerablemente en un tiempo récord, no hay certidumbre sobre la capacidad de contagio de vacunados y no vacunados. Hasta ahora se ha demostrado que las personas vacunadas pueden contagiarse pasando la enfermedad de una manera menos gravosa, pero no se ha demostrado que esas personas no contagien sobre todo teniendo en cuenta el surgimiento de nuevas cepas, variaciones y mutaciones que ponen en entredicho la eficacia de las vacunas. Es decir, se hace difícil argumentar la eficacia de interponer restricciones que comporten una restricción de derechos a quienes no tengan inmunidad, habiendo riesgo de reinfección de quienes sí la tengan e incluso de contagio entre quienes hayan sido vacunados. 

De hecho, la relación entre la supresión de los síntomas y la supresión de la infección aún no se conoce para las vacunas de la Covid-19 existentes, solo se hará evidente en estudios de seguimiento a largo plazo^[10], por lo que se podría concluir que aún no se conoce la eficacia real de la medida a adoptar, pudiendo esta considerarse desproporcionada con las evidencias existentes hoy en día. Además, en el desarrollo de las vacunas contra el SARS-CoV-2 que han sido aprobadas hasta ahora, solo se ha examinado la inmunidad clínica, es decir, la ausencia de síntomas en las propias personas vacunadas, pero no un posible efecto sobre la propagación de la infección dentro de familias o grupos^[11].

No cabe duda de que deben establecerse las garantías adecuadas debiendo existir una real ponderación entre la restricción de derechos que ello comporta y en el impacto en el nivel de protección de la salud de la población en general, apelando al principio de proporcionalidad entre ambos. El principio de proporcionalidad constituye un criterio general a seguir para determinar la validez de los límites que se quieran imponer a los derechos. Concretamente, exige que, en la persecución de un fin concreto, cuando un derecho ha de verse afectado negativamente, dicha afección sea la mínima posible^[12]. Se trata de un instrumento jurídico que evita los excesos a la hora de limitar los derechos fundamentales y que actúa, en este sentido, como herramienta de control de dichos límites^[13]. 

Por otro lado, las medidas de control de infecciones incluyen restricciones a las libertades civiles que deben justificarse ética y legalmente. Por tanto, debe comprobarse en cada caso si por motivos de protección las cargas son necesarias, eficaces, eficientes y razonables, a la vista de los objetivos perseguidos, y qué perjuicios para la vida social, económica y cultural las acompañan, también en el ámbito a largo plazo^[14].

En conclusión, es necesaria una reforma normativa que de cobertura legal a la aplicación del certificado de manera que se pueda asegurar que dicha persona no puede contagiar la COVID-19. Dicha reforma tendría que dar respuesta a dudas tales como a quién se le puede exigir, en qué condiciones o quién lo tendría que validar^[15].

Aunque pueda parecer que la creación del certificado digital verde es una novedad, lo cierto es que antes de su implantación ya se está llevando a cabo sin las garantías jurídicas adecuadas, pues, hoy en día, ya se están solicitando PCR negativas para entrar en ciertos países y esto no parece a priori haber generado ningún problema. De hecho^[16], el artículo 31 del Reglamento Sanitario Internacional (2005) de la OMS permite exigir, “un examen médico, la vacunación u otras medidas profilácticas, o certificado de vacunación o prueba de la aplicación de otras medidas profilácticas”. En caso de negarse a que se practiquen dichas medidas, se puede denegar la entrada por lo que, visto desde esta óptica no parece existir problema jurídico alguno a la hora de solicitar PCR negativas para la entrada a un país, más teniendo en cuenta la situación actual.

Sin embargo, desde la óptica de la protección de datos sanitarios y el tratamiento de los mismos a gran escala es necesaria su regulación de manera que se habilite una forma segura de implantar la expedición, verificación y aceptación de los certificados que documenten el estado de salud del titular. De este modo, se pueden levantar determinadas restricciones al derecho a la libre circulación impuestas durante la pandemia y que, como se ha señalado, son de dudosa eficacia, afectando por tanto al principio de proporcionalidad y al derecho a la igualdad de las personas. 

Por otra parte, es imprescindible que esto se lleve a cabo a nivel europeo, pues de no ser así cada Estado Miembro adoptaría sistemas diferentes dando lugar a que el derecho de libre circulación se vea aún más afectado con motivo de la aceptación de diferentes documentos en los Estados Miembros.

Aunque pudiera parecer una intromisión en los datos relacionados con la salud de las personas, lo cierto es que se hace imprescindible encontrar una forma de circulación más segura, ya que gracias a su implantación se podrá ir recuperando gradualmente la movilidad, potenciando la reactivación económica.

Si bien es cierto que el trato de derechos fundamentales y de especial categoría de datos indica una especial consideración, las limitaciones no son absolutas porque la normativa prevé excepciones, que en determinados casos se deben contemplar, tal y como ocurre en la actualidad donde debe primar la protección de la salud del conjunto de la sociedad.

• ALVENTOSA DEL RÍO, J., “Nuevos retos jurídicos de la Sociedad Digital”, Monografía, Revista de derecho y nuevas tecnologías, Aranzadi, 2017.
• Deutscher Ethikrat, Besondere Regeln für Geimpfte?, Berlín, 2021 https://www.ethikrat.org/publikationen/publikationsdetail/?tx_wwt3shop_detail%5Bproduct%5D=150&tx_wwt3shop_detail%5Baction%5D=index&tx_wwt3shop_detail%5Bcontroller%5D=Products&cHash=823d98f02728e258468368f3d2b686ed
• Deutscher Ethikrat, Solidarity and Responsibility during the Coronavirus Crisis, Berlín, 2020. https://www.ethikrat.org/en/press-releases/press-releases/2020/solidarity-and-responsibility-during-the-coronavirus-crisis/
• HUESO COTINO, L., ¿Se puede restringir derechos a quienes no tengan pasaporte de vacunación? Tres escenarios. http://www.cepc.gob.es/cepc/blog/blog_cepc/2021/03/17/-se-puede-restringir-derechos-a-quienes-no-tengan-pasaporte-de-vacunaci%C3%B3n-tres-escenarios
• POLACK, F. P., et al., “Safety and efficacy of the BNT162b2 mRNA Covid-19 vaccine”, New England Journal of Medicine, Vol. 383, Núm. 27, 2020, p. 2612. https://www.nejm.org/doi/pdf/10.1056/NEJMoa2034577
• PUBLIC HEALTH ENGLAND, COVID-19 Vaccine Surveillance Strategy, 2021 https://www.gov.uk/government/publications/covid-19-vaccine-surveillance-strategy
• SANTOS GARCÍA D, Nociones Generales de la Ley Orgánica de Protección de Datos, Tecnos, Madrid, 2005.
• SÁNCHEZ PATRÓN, J. M.: “El régimen jurídico europeo aplicable a la confidencialidad de los datos relativos a la salud de las personas”, en TOMÁS-VALIENTE LANUZA, C. (coord.), La salud: intimidad y libertades informáticas, Tirant lo Blanch, Valencia, 2006.
• SARMIENTO RAMÍREZ-ESCUDERO, D., El control de proporcionalidad de la actividad administrativa, Tirant lo Blanch, Valencia, 2004.
• TERRADILLOS ORMAETXEA, E., Principio de Proporcionalidad, constitución y Derecho del Trabajo, Tirant lo Blanch, Valencia, 2004.