¿Está legitimado el tratamiento de datos del pasaporte COVID por parte de un local de ocio?

4 octubre 2021

Cada vez más se exige el pasaporte COVID para entrar a un local de ocio, pero ¿está legitimado el tratamiento de datos del pasaporte COVID por parte de un establecimiento de ocio?

4 octubre 2021

A pesar de que el objeto del pasaporte COVID es establecer la supresión gradual de las restricciones fronterizas a la libre circulación, en los últimos meses, hemos visto cómo en otros Estados Miembros ha proliferado la práctica de exigir la presentación del pasaporte COVID para poder entrar a un local de ocio y, de hecho, en España son varias las comunidades que han intentado o han implementado la medida, como Canarias y Galicia. La cuestión es: ¿el tratamiento de datos del pasaporte COVID por parte de un establecimiento de ocio se encuentra legitimado? Respondamos a esta pregunta, analizando en primer lugar el contexto.

La historia del pasaporte COVID

El pasado 1 de julio de 2021, entraba en vigor el Reglamento sobre el certificado COVID digital de la UE, que establece un marco para la expedición, verificación y aceptación de certificados COVID-19 interoperables de vacunación, prueba diagnóstica y de recuperación (certificado COVID digital de la UE), a fin de facilitar el ejercicio del derecho a la libre circulación de los europeos, y la supresión gradual de las restricciones a la libre circulación establecidas por los Estados miembros, de conformidad con el Derecho de la Unión, a fin de limitar de manera coordinada la propagación del SARS-CoV-2.

Asimismo, el Reglamento establece la base jurídica para el tratamiento de los datos personales necesarios para expedir los certificados COVID, y para verificar y confirmar su autenticidad y validez, en cumplimiento del Reglamento Europeo de Protección de Datos.

El conocido como pasaporte COVID es un certificado digital mediante el cual se acredita que una persona ha sido vacunada contra la COVID-19, se ha realizado una prueba cuyo resultado ha sido negativo, o se ha recuperado de la COVID-19.

En virtud del artículo 10.3 del Reglamento del certificado COVID digital de la UE,

3. Los datos personales incluidos en los certificados (…) serán tratados por las autoridades competentes del Estado miembro de destino o tránsito, o por los operadores de servicios de transporte transfronterizo de viajeros obligados por la legislación nacional a aplicar determinadas medidas de salud pública durante la pandemia de COVID-19, únicamente a fin de verificar y confirmar la vacunación, el resultado de la prueba o la recuperación del titular. A tal fin, los datos personales se limitarán a lo estrictamente necesario. No se conservarán los datos personales a los que se acceda (…)

En este contexto, la duda es clara: ¿es legítima la exigencia de un pasaporte pasaporte COVID por parte de un establecimiento de ocio? ¿De qué modo se hace la protección y el tratamiento de datos?

La visión de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) no ha tardado en pronunciarse al respecto, mostrando su preocupación por el tratamiento de datos que se realiza cuando se solicita el pasaporte COVID para acceder a tiendas, restaurantes o gimnasios. El concreto, el pasado 30 de julio, la AEPD comunicó que había enviado requerimiento de información a las Consejerías de Sanidad de las CCAA de Canarias y Galicia, para comprobar la licitud de este tratamiento de datos.

La AEPD recuerda que para poder tratar los datos es necesario contar con una base legal lícita. Asimismo, el tratamiento debe ajustarse a los principios de eficacia, necesidad y proporcionalidad. En concreto, el principio de proporcionalidad dispone que deben evitarse efectos discriminatorios, estableciendo garantías adecuadas y, siempre que sea posible, hay que realizar tratamientos menos invasivos. Todo ello teniendo en cuenta que por el momento no es obligatorio vacunarse, y que puede haber colectivos que no pueden recibir la vacuna por razones médicas o de otro tipo, además de que el proceso de vacunación todavía no ha finalizado y se basa en unos criterios de priorización que suponen que una parte de la población aún no haya podido acceder a la vacuna. Así que, por el momento, tendremos que esperar nuevas noticias al respecto.

Respuestas del Tribunal Supremo al uso del pasaporte COVID en locales de ocio

El pasado 18 de agosto, el Tribunal Supremo rechazaba exigir el pasaporte COVID para el ocio nocturno en Andalucía, por tratarse de una medida no efectiva.

Por el contrario, el pasado 14 de septiembre, el mismo Tribunal avalaba el uso del pasaporte COVID en la hostelería de Galicia, por tratarse de una medida “idónea, necesaria y proporcionada”.

Según la sección 4ª de la Sala de lo Contencioso-Administrativo del TS, exigir el pasaporte COVID no vulnera el derecho a la intimidad:

“Es cierto que se trata de una información médica, pero las connotaciones que impone la situación de pandemia, el carácter masivo de la vacunación y la solidaridad que comporta la protección y ayuda entre todos, devalúa la preeminencia de la intimidad en este caso”. (…)

“es la mera exhibición, es decir, enseñar o mostrar la documentación en cualquiera de las tres modalidades exigida. Sin que, desde luego, puedan recogerse los datos de los asistentes a tales locales, ni pueda elaborarse un fichero, ni hacer un tratamiento informático al respecto”.

Desde el punto de vista de la protección de datos, nos preguntamos si en este caso prima la preservación de la salud pública al derecho de la intimidad. Si bien es cierto que nos encontramos en un contexto epidemiológico, no podemos olvidar que estamos hablando de datos de salud, considerados sensibles, y que existe un derecho fundamental a la privacidad, el derecho a la protección de datos.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Maria Diví

Abogada.Responsable del Área de Derecho Digital.

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios