Requerimiento de información por parte de la AEPD a varias CCAA
La Agencia Española de Protección de Datos ha comprobado la existencia de varias iniciativas públicas en relación con la utilización del certificado vacunal para entrar en diversos establecimientos (tiendas, restaurantes, etc.). Por este motivo ha enviado un requerimiento de información a las comunidades autónomas de Canarias y Galicia con el objetivo de verificar la licitud del tratamiento de datos personales.
Las autoridades de protección de datos han expresado su preocupación por la utilización de este certificado dentro de los Estados miembros de la UE para finalidades tales como el acceso a tiendas, restaurantes, gimnasios o centros deportivos, así como el uso en el ámbito laboral.
El uso para estos fines de certificados de vacunación trae como consecuencia la necesidad de contar con una base legal apropiada que se ajuste a los principios de eficacia, necesidad y proporcionalidad, teniendo en cuenta la existencia de otras medidas que sean menos invasivas, evitando de esta manera efectos discriminatorios.
Hay que tener presente que la vacunación no es obligatoria, que hay personas que por razones médicas no pueden recibir la vacuna y que, la evolución de dicha vacunación se basa en criterios de priorización que implica que una parte de la población todavía no ha podido vacunarse.
Para poder generalizar el uso del certificado vacunal de los ciudadanos que entran a establecimientos, siendo una medida para contener el coronavirus, debe acreditarse su necesidad por las autoridades sanitarias y tiene que ser obligatoria, puesto que si fuese voluntaria perdería efectividad.
De manera adicional, si se acudiera a la base jurídica del cosentimiento, para poder apreciar un consentimiento libre, sería necesario que no se derivara ninguna consecuencia negativa, es decir, que no se impidiera la entrada al establecimiento en cuestión.
Teniendo presente que ya no está vigente el estado de alarma, la obligatoriedad de solicitar el certificado vacunal por parte de los establecimientos tiene que establecerse por una norma con rango de ley. En tal caso, la base jurídica sería el artículo 6.1.c) del RGPD («el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento»).
En relación con lo dicho anteriormente, debe hacerse especial incidencia en la necesidad de justificar que no existan otras medidas más moderadas para la consecución del propósito perseguido con igual eficacia.
Es fundamental cumplir con el principio de minimización, en virtud del cual podría ser suficiente con mostrar a la entrada del establecimiento el certificado vacunal. De la misma manera, debe aplicarse el principio de limitación de la finalidad, de forma que los datos sólo deben poder utilizarse para la finalidad de luchar contra el Covid-19, así como el principio de limitación del plazo de conservación (en el caso de que la ley obligara a la conservación de los datos).
De acuerdo con estos criterios, en el caso de que la ley obligara a los establecimientos a recabar y a conservar durante un tiempo determinado los certificados de vacunación, dichos establecimientos serían responsables de la recogida de datos en virtud de una obligación legal establecida por una norma con rango de ley y la administración autonómica sería la cesionaria de esos datos por razones de interés público previstos en la ley.
Fuente parcial: AEPD