Registro de vacunas: certificado europeo para movilidad y algoritmo de vacunación en la protección de datos personales
Registro de vacunas: certificado europeo para movilidad y algoritmo de vacunación en la protección de datos personales
A raíz del Día Internacional de Protección de Datos, parece interesante analizar el impacto que la actual emergencia sanitaria ha provocado en esta materia. En concreto, analizaremos algunas de las ideas más resonadas en los últimos días sobre la vacunación contra el Covid-19, las cuales tienen especial transcendencia en la esfera privada del individuo.
Las medidas que pueden tener un impacto mayor en esta materia, y que son objeto de análisis, son: la elaboración de registros de vacunación, la expedición de certificados de movilidad o la aplicación de algoritmos tendentes a decidir qué grupos deben recibir las primeras vacunas. El propio nombre de estas tres medidas ya desprende un potencial riesgo para la salvaguarda de los derechos de los individuos en materia de protección de datos, por lo que deberemos atender al desarrollo de las mismas en los próximos meses para poder concluir cual es el impacto real y si, efectivamente, se pueden alcanzar las garantías apropiadas para el tratamiento de los datos y, lograr frenar la propagación de la pandemia, que es el objetivo principal que se desprende de estas medidas.
(I) Registros de vacunación y principios de la normativa de protección de datos
La vacunación en España tiene carácter voluntario por norma general. Ahora bien, tanto en aquellos casos en los que la persona decida vacunarse como aquellos otros en los que se niegue, la Estrategia de vacunación frente a COVID-19 en España publicada implica un tratamiento de datos personales a través de la creación de registros.
Por un lado, las dosis de la vacuna administrada se están registrando en un sistema de información de vacunación de cada comunidad autónoma que se comparte con el Ministerio de Sanidad. Por otro, en los casos en los que se rechaza recibir la vacuna se registra la causa de no vacunación con la finalidad de “conocer las posibles razones de reticencia en diferentes grupos de población”, según el documento.
En cualquier caso, la creación de estos registros no exime a sus responsables de la observancia de la normativa de protección de datos. Por ello, deberán cumplir con obligaciones como la de informar sobre las condiciones del tratamiento (finalidad, plazos de conservación, destinatarios de los datos…), minimizar el número de datos personales tratando los estrictamente necesarios o limitar la finalidad del tratamiento de tal forma que los datos sean recogidos con fines determinados, explícitos y legítimos. Igualmente, en caso de un posible tratamiento ulterior de los datos con fines distintos – como el de los certificados de vacunación-, éste solo se debe producir si existe compatibilidad con los fines de su recogida inicial, informando en todo caso a los interesados de ese nuevo fin.
(II) Certificados de vacunación y/o movilidad
El pasado 19 de enero la Comisión Europea emitía un comunicado sobre las decisiones y enfoque coordinado para vencer la situación provocada por el Covid-19 en el que divisa como aspecto clave, aunque en una fase prematura, un enfoque común europeo en el que los certificados de vacunación se empleen con propósitos más allá de la protección de la salud.
Sin embargo, como primer arranque de esta medida, el certificado de vacunación tendrá la misión principal de efectuar un control de la movilidad entre países para evitar la propagación de la pandemia. En este sentido, su implantación podría afectar a ciertos derechos y libertades fundamentales de los ciudadanos protegidos a nivel comunitario, entre ellos, la protección de datos y el derecho de libre circulación de personas.
Dicho lo cual, no debe obviarse que nos encontramos ante un escenario novedoso, el cual no cuenta, todavía, con una base jurídica sólida para implantar medidas como la aquí analizada. Por tanto, la presente situación sanitaria nos deja, con cierta habitualidad, en un limbo jurídico, sobre todo en estos casos donde se impacta de manera directa a la privacidad y libertad de los ciudadanos.
No obstante, tal y como indicó la AEPD en uno de sus últimos informes emitidos sobre la situación del Covid-19, “las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia”.
Ahora bien, la novedad de las circunstancias tampoco debería desembocar en una desvirtuación de la protección de los datos personales de los individuos ni, por supuesto, producir efectos discriminatorios para los ciudadanos. En este sentido, parece conveniente el establecimiento de una serie de criterios comunes, claros y específicos para que pueda garantizarse, por un lado, el estándar de protección mínimo establecido en el RGPD y, por otro, el respeto a derechos básicos de los ciudadanos, como la libertad de circulación de personas.
Con propósito de alcanzar este objetivo, y lograr un equilibrio adecuado que permita sustentar estas decisiones, resulta necesario establecer, por un lado, una limitación clara de la finalidad buscada con el tratamiento de estos datos y, por otro, justificar debidamente la base de legitimación utilizada, así como la circunstancia que levante la prohibición, de las dispuestas en el artículo 9 RGPD, para el tratamiento de esta categoría especial de datos (datos de salud). Asimismo, los órganos que sean identificados como responsables del tratamiento deberán garantizar que se aplican todos los principios desprendidos de la normativa de protección de datos (artículo 5 RGPD) y, entre ellos: el tratamiento de los datos con licitud, lealtad y transparencia; limitación de la finalidad; principio de exactitud; y, en especial, el principio de minimización de datos.
Por todo ello y, a tenor de lo expuesto, no cabe duda de que esta medida podría llegar a provocar, entre otras consecuencias, discriminaciones o limitaciones de los derechos de los ciudadanos injustificadas, en caso de no adoptarse las garantías suficientes y adecuadas para la protección de estos derechos.
Dicho lo cual, algunas de las preguntas fundamentales que deberían ponerse sobre la mesa llegado este punto serían las siguientes:
¿Existen bases suficientes para realizar este tratamiento? Y, en caso afirmativo, ¿es posible la implantación de otras medidas menos intrusivas para lograr la finalidad buscada?
La respuesta a estas preguntas resulta de gran importancia para lograr el equilibro antes mencionado, entre: la situación de emergencia sanitaria y los derechos básicos mencionados de todo ciudadano.
(III) Algoritmos de priorización y decisiones sobre los individuos
Hace unas semanas se mediatizó una noticia de un Hospital en EE. UU. que había desarrollado un algoritmo capaz de priorizar qué trabajadores de su centro debían recibir las primeras dosis de vacuna y, por error, había excluido a sanitarios en primera línea en favor de personal que atendía de forma remota a los pacientes.
En España, la Estrategia de vacunación define un modelo de priorización de las vacunas según las dosis disponibles y según el contexto epidemiológico. Ese orden de prioridad se realiza tras evaluar los riesgos de exposición, transmisión, morbilidad grave y mortalidad, así como el impacto socioeconómico de la pandemia en cada grupo de población y, además, aplicando el desarrollo de modelos matemáticos.
Pese a no mencionarse términos como “algoritmo «o “Inteligencia Artificial” en el documento es muy probable que la priorización sobre grupos y, por tanto, selección de qué personas deben vacunarse primero, este basado en técnicas y modelos que conllevan lo que, en el argot de protección datos, llamaríamos decisiones individuales automatizadas sobre los individuos.
Si llegásemos a esta conclusión, no habría mejor práctica por parte de los responsables del tratamiento de nuestros datos personales que, en un ejercicio de transparencia, se proporcionase esa “información significativa sobre la lógica aplicada” y “la importancia y las consecuencias previstas” que viene exigiendo la normativa.
Al fin y al cabo, quién no tendría interés en conocer el detalle de los datos empleados para la toma de decisión, la importancia relativa que cada uno de ellos tiene en la toma de decisión, la calidad de los datos de entrenamiento y el tipo de patrones utilizados o la existencia o no de supervisión humana cualificada.