Pasaporte Sanitario Digital

  • Valoración del Riesgo: ¿Hasta que punto es seguro el Pasaporte Sanitario Digital?
  • Valoración de la Privacidad: ¿Vulnera nuestra Privacidad como ciudadanos?

La ficción ya ha llegado en forma de realidad. Si ya lo vimos en películas como “Gattaca” o “Contagio” en los próximos días veremos cómo Canarias será el primer “destino seguro” con pasaporte sanitario digital.

Así se lo ha trasladado el Director General de la Organización Mundial de Turismo, OMT, Zurab Pololikashvili, a la Consejera de Turismo del Gobierno de Canarias, Yaiza Castilla.  Esta noticia que tiene lugar tras la colaboración iniciada entre ambas instituciones para compartir y desarrollar medidas que respalden la recuperación turística de Canarias como destino seguro.

¿El objetivo? Asegurar una mayor tranquilidad en los pasajeros a la hora de hacer turismo, así como una ayuda a las compañías aéreas para poder aumentar la capacidad de sus vuelos. ¿La consecuencia? Todos los viajeros de este vuelo pionero, llevarán, gracias a la aplicación hi+Card (Health iCard), un perfil digital único en sus smartphones, donde una entidad sanitaria, acreditada por el Ministerio de Sanidad, registra la correspondiente información médica.

Por otro lado, el pasado 13 de mayo la Comisión Europea publicó una serie de documentos proponiendo una estrategia común para la gradual reactivación de los viajes transfronterizos.

Si bien la Comisión Europea hace hincapié en la implementación de medidas menos intrusivas en la privacidad de los viajeros como es el distanciamiento social, en cuanto no resulta viable garantizar la seguridad de los pasajeros mediante la implementación de dichas medidas, da pie al uso de tecnologías innovadoras indicando que, por ejemplo, las aplicaciones de rastreo de contacto pueden ser una medida de gran utilidad para prevenir el contagio sujeto a las correspondientes salvaguardas de la privacidad de los viajeros. En cualquier caso, la Comisión afirma que el uso de los servicios de transporte no puede estar sujeto al uso de dichas aplicaciones por parte de los viajeros.

Son varias las cuestiones que se nos presentan ante esta nueva medida que posiblemente veamos implantada en otros ámbitos, como el laboral. En relación a esto último, algunas Organizaciones de China y Corea ya han implantado este método entre sus empleados, Alemania está a punto de hacerlo y, en España, la existencia de esta tecnología para este ámbito es una realidad, ¿se llegará a implantar?

 

¿Aporta seguridad esta medida?

Volviendo al ejemplo del vuelo a Canarias, a falta de conocer cuál va a ser la información médica que proporcione la citada “entidad sanitaria”, podemos contemplar diferentes escenarios que ampararían a dicha entidad a expedir el denominado “pasaporte digital” (en principio, pasajeros que han dado negativo en la correspondiente prueba serológica habiendo o no estado previamente contagiados con la COVID19).

Según los expertos, el hecho de haber pasado o no la enfermedad no es crucial desde un punto de vista de seguridad, aunque aquellos que lo hayan pasado y generado anticuerpos tienen menos posibilidades de enfermar de nuevo al estar su cuerpo preparado para combatirlo. Sin embargo, no sería extraño tener una recaída ante un nuevo contagio ya sea por mayor exposición a carga vírica o por mutación del virus.

Lo que realmente se vuelve crítico es conocer si el viajero está o no infectado y aquí es donde surgen las dudas. Por mucho que una entidad sanitaria acredite que un individuo hoy se encuentra libre de Covid19 ¿Quién asegura que mañana a las 12h cuando coja un avión no se ha contagiado? ¿Qué vigencia temporal tiene este certificado? ¿Cómo puedes mantenerlo en el tiempo más allá de unos minutos?

En esta línea, la OMS ha indicado que, a día de hoy, no existen evidencias suficientes sobre la inmunidad por anticuerpos y, por tanto, desaconseja la creación de los denominados pasaportes inmunológicos.

A priori y a falta de especificar claramente los tipos de pruebas a realizar, no se contempla como una medida que asegure totalmente la ausencia de la COVID-19 en un avión, por poner un ejemplo. Salvo una prueba inmediata de detección de contagios no va a haber una medida 100% segura y, en todo caso, ya sabemos que el riesgo “0” no existe.

 

¿Existe legitimación para el tratamiento de datos en el contexto de los pasaportes sanitarios digitales? ¿Vulnera nuestra Privacidad como ciudadanos?

Supongamos que salvamos el punto anterior y se considera una medida idónea. ¿Hasta que punto es lícita esta discriminación? ¿se podría perjudicar al ciudadano limitando el uso de este medio de transporte? ¿Nos convertiremos en una sociedad de ciudadanos de primera y de segunda como en “Gattaca” o en ciudadanos con una pulsera por la que, según el color, se delimite nuestra capacidad de movilidad como presagiaba “Contagio”?

Desde el punto de vista de la privacidad de los ciudadanos, los riesgos que podrían derivarse del uso de este medio podrían ser varios. Desde la posibilidad de acceso a los datos por parte de ciberdelincuentes, al cruce de estos datos del ciudadano con otros asociando su salud con su localización, su lectura remota o simplemente no encontrase al alcance de ciertas personas que, a día de hoy, no pueden hacer uso de teléfonos inteligente, como bien ha indicado la AEPD.  

Lo que hemos aprendido con el RGPD es que el riesgo inherente para el derecho fundamental a la privacidad de la persona de este tratamiento no es un concepto estático sino sujeto a la correspondiente evaluación del impacto para la protección de los datos de las personas y que, en función de sus resultados, nos debería proporcionar las medidas de cumplimiento idóneas que mitiguen ese impacto de manera que este tratamiento se pueda llegar a considerar hasta aceptable en un momento dado.

Antes de entrar a valorar la base legitimadora que conteste a esta pregunta, aunque parezca obvio, es necesario señalar que nos encontramos ante un supuesto de tratamiento de datos personales que identifican a una persona concreta, por cuanto que el pasaporte digital sanitario se asocia a un titular que lo porta.

Adicionalmente, cabe indicar que el tratamiento se refiere a, entre otros, datos de salud, es decir, categoría especial de datos, con lo que, además de la necesidad de contar con una base legitimadora para este tratamiento en el sentido del art.6 del RGPD (condición que haga lícito el tratamiento), requiere un amparo legal reforzado en los términos del art.9 del RGPD (circunstancia que excepcione la prohibición general de no tratar datos personales de esta tipología).

Además, la licitud del tratamiento deberá ser analizada desde el punto de vista de cada uno de los agentes participantes en el sistema (la autoridad sanitaria, la compañía aérea que usa estos datos, etc.)

En cuanto a la base legitimadora, podrían plantearse tres principales alternativas y la idoneidad de cada una dependerá del carácter voluntario o no de la medida. Éstas serían:

  • El consentimiento (explícito) del ciudadano,
  • La protección de su interés vital,
  • El cumplimiento de una misión realizada en el interés público, como la protección frente a amenazas transfronterizas graves para la salud.

 

Optar por el consentimiento puede ser la vía más garantista, si bien, la misma puede también implicar problemas prácticos en su aplicación, ya que, para que el consentimiento sea válido tiene que ser considerado manifestado libremente. Para que el consentimiento sea considerado libre, de conformidad con los considerandos 42 y 43 del RGPD, debería ofrecerse al ciudadano una alternativa equivalente (en términos de validez, coste, comodidad, etc.) al uso del pasaporte digital sanitario de manera que no se viera mermada la capacidad de coger el vuelo de aquellas personas que optasen por no consentir el tratamiento del dato por esta vía. Pongamos el ejemplo de las compañías aéreas. Si en un vuelo tenemos dos colectivos, uno que ha prestado su consentimiento y ha obtenido el pasaporte digital sanitario, y otro que ha decidido no hacerlo. En esta situación, la compañía aérea debería asegurar que una parte de cada vuelo esté en condiciones para garantizar el distanciamiento social y el resto del avión se encuentre sin restricciones de este tipo, algo que podría provocar considerables trastornos en la gestión de los vuelos, así como fricciones entre los usuarios por no disponer de la “tranquilidad” que se presupone ante el uso de esta avanzada iniciativa. Como hemos indicado, en línea con las recomendaciones de la Comisión Europea, no se podría discriminar a aquellos pasajeros que han optado por no utilizar este tipo de tecnología.

Vista la problemática del consentimiento, se plantea la posibilidad de amparar dicho tratamiento en el 6.1. d) en conexión con el art. 9.2. c) del RGPD referidos ambos a la protección del interés vital del interesado como causa habilitante, si bien, este supuesto solo se contempla para el caso de que la persona no se encuentre capacitada para dar su consentimiento, lo que, nos conduciría nuevamente a la primera opción de necesidad del consentimiento.

En último lugar, se plantea la vía de amparo de dicho tratamiento en el art.6.1. e) en conexión con el art. 9.2.i) del RGPD, esto es, por razón de un interés público esencial como supuesto habilitante en su consideración como necesario para la prevención de una amenaza global de la salud de los pasajeros. Sin embargo, tanto el Reglamento como nuestra norma local, la LOPDGDD nos requiere que el uso de dicha causa habilitante tenga amparo en una normativa con rango de ley (española o europea). En este sentido, dado que el sector del transporte aéreo es altamente regulado, el amparo podría encontrarse bien en la propia Ley de Seguridad Aérea y los análogos Reglamentos comunitarios o bien puestos en conexión con la regulación sanitaria. No obstante, en línea con los últimos pronunciamientos de la AEPD y del Tribunal Constitucional sobre el uso de datos de categoría especial, la norma habilitante debe identificar y especificar el interés público esencial que se pretende salvaguardar, apreciar la proporcionalidad del tratamiento, determinar reglas precisas y, sobre todo, establecer en la propia norma un conjunto de medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del sujeto afectado.

En este sentido, la problemática de emplear esta base legitimadora radica tanto en la posible falta de amparo normativo como en la dudosa proporcionalidad, idoneidad y necesidad de emplear una medida que potencialmente puede suponer un perjuicio para el derecho fundamental a la protección de datos de los pasajeros.

Como en otros supuestos de análisis de viabilidad de empleo de tecnologías intrusivas en la privacidad durante la actual crisis epidemiológica, se plantea la duda principal sobre si la misma es realmente necesaria o si se pueden emplear otras medidas, menos invasivas de la privacidad, que pueden otorgar los mismos o superiores niveles de eficacia. Asimismo, en línea con lo que hemos indicado respecto a la fiabilidad de las pruebas que darían pie al pasaporte sanitario digital, se puede discutir la idoneidad de la medida en cuestión.

 

¿Qué hay de la prevención de Riesgos Laborales de los trabajadores de las aerolíneas?

No podemos dejar de señalar que podría existir un amparo legal que podría devenir de una extensión de la prevención de los riesgos laborales de los propios empleados que trabajen en el interior del avión.

En este sentido las compañías aéreas, al igual que el resto de las empresas, tienen la obligación, impuesta en la Ley 31/1995, de 8 de noviembre, de adoptar medidas para prevenir los riesgos laborales de sus empleados (en este caso el sobrecargo y la tripulación de cabina) y de garantizar la seguridad y salud de su entorno laboral (en nuestro caso el interior de la aeronave).

En base a lo anterior, encontraríamos sustento para tratar los datos relativos a la salud en la necesidad de cumplir las obligaciones establecidas en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b del RGPD), ello siempre que haya un informe favorable del Servicio de Prevención de Riesgos de la Compañía aérea en este sentido.

En todo caso, al realizar este tipo de tratamientos, no se pueden dejar de observar que serán de aplicación el resto de obligaciones que se imponen al responsable del tratamiento, como son el cumplimiento de los principios recogidos en la normativa aplicable (art. 5 del RGPD), entre los que cabe destacar el relativo a la limitación del tratamiento de los datos y el de minimización, y la necesidad de implantación de las medidas de seguridad que resulten apropiadas (art. 32 del RGPD).

 

¿Qué opinan las autoridades de control?

Hasta ahora, las autoridades competentes en materia de protección de datos han puesto el foco en el desarrollo de aplicaciones que permitan el rastreo de contactos a fin de controlar y disminuir la propagación del coronavirus y en la toma de temperatura en centros de trabajo y establecimientos comerciales.

En menor medida, han opinado sobre el concepto de pasaportes inmunológicos, si bien, la AEPD, ha indicado de manera tangencial que se trata de un sistema de identidad móvil que incluye información sobre inmunidad y que solo puede tener ventajas cuando el alta se produce a distancia y si la información que gestiona se actualiza rápidamente. Además, se requiere un plus de seguridad en estas soluciones y sería deseable un alto grado de interoperabilidad.

Si bien la AEPD desaconseja el uso de este tipo de aplicaciones en un contexto que requeriría su uso por parte de la totalidad de la población, deja abierta la posibilidad de su uso en ámbitos muy concretos, el cual, en nuestra opinión, podría ser el sector del transporte aéreo.

Teniendo en cuenta el ejemplo de la iniciativa de la OMT y otras aplicaciones similares que están apareciendo en el mercado, resulta claro que se requieren opiniones y guías adicionales por parte de las autoridades competentes en materia de protección de datos sobre la legitimación en el uso de esta solución. A este respecto se considera indispensable la intervención del sector de la salud, siendo muy oportuno que las autoridades sanitarias competentes se pronunciasen y facilitasen a las empresas y a los ciudadanos criterios claros sobre la viabilidad de su empleo.

 

Conclusión

Vista la complejidad del asunto y las dudas que se plantean respecto de la viabilidad de implementar este tipo de medidas, resulta claro que estamos ante un supuesto que requiere una primera ponderación entre dos derechos fundamentales 1) el de la protección de datos y 2) la protección de la salud, sin perjuicio de que existan otros derechos y libertades que puedan verse afectados, directa o indirectamente.

En tanto llega lo anterior y con independencia de la controversia que se ha generado respecto a otras medidas que actualmente se están implementando para luchar contra la pandemia, podemos concluir 2 cosas:

  • Se puede llegar a encontrar una base legal adecuada para la implementación de tales medidas aunque siempre requerirá de una meticulosa evaluación en cada situación y en todo caso, habrá que incluir el respeto a los principios y derechos fundamentales.
  • El riesgo 0 no existe, y no hay ninguna prueba, ni pasaporte digital que pueda evitar que haya un viajero contagiado por Covid-19 dentro de una aeronave si esta prueba no es inmediata y en la puerta de la aeronave previo a su acceso.

 

En Ecix Group trabajamos para ayudar a nuestros clientes en materia de Compliance así como en identificar, gestionar y evitar Riesgos jurídicos y empresariales. Si quieres conocer más sobre estas medidas que impactan en nuestra seguridad y protección de datos no dudes en contactarnos.

 

Esmeralda Saracibar

Socia Ecix Group

Compartir

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp