Según ha comunicado la Agencia, tras tener conocimiento de varias iniciativas públicas que generalizan “la utilización del certificado de vacunación“, ha decidido analizar si esta medida respeta el derecho fundamental de la ciudadanía a la protección de sus datos personales. La normativa europea recoge que la información relativa a la salud de los ciudadanos son datos especialmente sensibles, por lo que su tratamiento requiere mayores exigencias.

“Las autoridades europeas de protección de datos hemos expresado nuestra preocupación por la utilización de certificados dentro de los Estados para finalidades tales como el acceso a tiendas, restaurantes o gimnasios, así como su uso en otros contextos como el laboral”, ha indicado la AEPD en la nota de prensa.

También ha afirmado que se debe contar con una base legal apropiada y ajustada a los principios de “eficacia, necesidad y proporcionalidad” y teniendo en cuenta la existencia de otras medidas de protección menos invasivas.

Protección de Datos, además, ha incidido en que exigir este documento puede resultar “discriminatorio“, ya que la vacunación no es obligatoria en España y existen colectivos que, debido a razones médicas, no pueden recibir la vacuna. Además, el hecho de que el proceso de vacunación se rija por criterio es de priorización implica que parte de la población aún no haya podido recibir alguna o todas las dosis necesarias.

La entrada Protección de datos avisa de la posible vulneración de derechos que ocasionará el certificado COVID se publicó primero en DataProtectPlus.

Sin embargo, la aparición de este fármaco entraña numerosas dudas legales, algunas relacionadas con la vacuna y la protección de datos: ¿estamos obligados a vacunarnos?, ¿pueden despedirnos si decidimos no vacunarnos?, ¿pueden utilizar este dato como criterio para el acceso a eventos privados? Son algunas de las cuestiones planteadas más frecuentes, pero no las únicas; a continuación, daremos respuesta a las más habituales.

¿Es obligatorio vacunarse?

No, como sucede con el resto de vacunas en España, es voluntaria y no obligatoria. Aun así, existen herramientas para obligar a la vacunación, como es el caso de la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública. Este precepto legal habilita a la autoridad sanitaria para que, “en caso de enfermedades transmisibles, realice las acciones preventivas y de control oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.

¿Quedará registrado si decidimos no ponernos la vacuna?

Las comunidades deberán comunicar diariamente a Sanidad los datos de los vacunados, así como notificar quiénes han rechazado la inyección del fármaco y porqué (por ejemplo, si se ha rechazado por no querer vacunarse aun o si está contraindicada, o simplemente, no quiere). Esta información se mantendrá hasta, al menos, la finalización de la situación de crisis sanitaria.

El documento establece que serán las consejerías de Sanidad de las comunidades y los centros de vacunación de sanidad los encargados de recoger los datos de todos los puntos que administren la vacuna y de remitir los mismos al Ministerio de Sanidad a través de la plataforma informática establecida.

El responsable del tratamiento de ello será el Ministerio. La finalidad del tratamiento de los datos es el análisis a efectos estadísticos y de georreferenciación y «adicionalmente, la acreditación del acto de vacunación mediante la emisión del correspondiente certificado, previa solicitud expresa e inequívoca del interesado o su representante legal«.

Para ello, indica el documento, los datos de identificación de las personas vacunadas se custodiarán separados del resto, «con medidas de seguridad específicas y adecuadas», conforme al Esquema Nacional de Seguridad.

Cuando comience la vacunación, las comunidades tendrán que informar a los ciudadanos de estas finalidades del tratamiento de los datos y en particular, sobre los términos de la cesión de los mismos al Ministerio. Y Sanidad pondrá los datos, los indicadores y representación geográfica resultantes de este sistema a disposición de las comunidades.

Es un registro anónimo, que seguirá, en principio, las directrices de lo que establece la ley de protección de datos y no se hará público, pero será compartido con la Unión Europea. La finalidad de este registro es conocer los motivos que llevan a la población a no querer vacunarse.

Y si nos vacunamos, ¿se cederán los datos médicos de los vacunados a terceros?

Es una cuestión controvertida, pues, tal y como ha ocurrido en Israel, muchos israelíes han empezado a temer por la seguridad de sus datos médicos confidenciales pues Netanyahu ha incluido en el contrato con Pfizer que cederá los datos sanitarios de los vacunados a cambio de dar preferencia a Israel en el suministro de la vacunación, quedando dichos datos en manos de la farmacéutica. La finalidad de dicha cesión sería “determinar con qué porcentaje de vacunación se alcanza la inmunidad de rebaño”. Las autoridades israelíes han querido disipar la preocupación de la población sobre la cesión de sus historiales médicos y de su privacidad en el hecho de que “solo se facilitará información personal de forma desagregada y sin identificar, a efectos estadísticos, y que, en caso de que se revele accidentalmente la identidad de un paciente, Pfizer debe tratarla de forma confidencial y devolverla al sistema de salud”. También obliga a la farmacéutica a “abstenerse de obtener información sobre los pacientes entre los datos que recibe”.

Se debería ver el contrato firmado entre las farmacéuticas y la UE para ver si las vacunas se han pagado con algo más que dinero, es decir, con información médica de la población que ha recibido la vacuna, y si es así, con qué garantías.

¿Se va a crear un “Pasaporte de vacunación” para viajar por Europa?

Es otro de los dilemas que divide a los países de la UE: los países más dependientes del turismo (como España o Italia) lo defienden, los que no (como Francia o Rumanía), lo consideran discriminatorio, ya que en la mayoría de los estados la vacunación no es obligatoria y además hace relativamente poco que acaba de empezar.

Más allá de las fronteras europeas, la OMS, de momento, se opone a los pasaportes de vacunados contra la Covid-19 para poder viajar, pues aún es pronto para verificar la efectividad de las vacunas para reducir la transmisión del virus. Hay que tener en cuenta, además, que no todos tienen la misma disponibilidad a estas vacunas.

Y, en el ámbito de la empresa, ¿nos podrían despedir si no nos vacunamos?

Es común entre mucha parte de la población desconfiar de las primeras vacunas, pues hay encuestas en las que se determina que se prefiere esperar un tiempo prudencial a que se consoliden los resultados de las vacunas e incluso, no vacunarse.

Y, ¿qué dice la ley al respecto? Por una parte, en España, la vacunación en el ámbito laboral se regula en el art. 8.3 del RD 664/1997, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos: “cuando exista riesgo por exposición a agentes biológicos para los que haya vacunas eficaces, estas deberán ponerse a disposición de los trabajadores, informándoles de las ventajas e inconvenientes de la vacunación.” El problema radica en que este reglamento se aplica a determinados colectivos del sector biosanitario, como médicos, enfermeros y técnicos de laboratorio, y siempre con carácter voluntario, es decir, en estos casos, la empresa tiene el deber de ofrecer el tratamiento, pero es el empleado quien decide si se somete a él o no. Aunque si no se vacuna y puede haber riesgo para terceras personas, pueden aplicársele medidas disciplinarias, eso sí, siempre proporcionales al daño que podría ocasionar.

A parte de esta normativa, en España prima el derecho del individuo sobre su propio cuerpo frente al colectivo y la protección de la salud de los demás (y  la Ley de Autonomía del Paciente, además, regula el derecho a negarse a un tratamiento médico que no sea deseable), y no hay ninguna otra norma que obligue a la vacunación ni hay ninguna en el horizonte por parte del legislador. En este sentido, si se produjera el despido disciplinario de un trabajador por su negativa a vacunarse, con toda probabilidad, el juez acabaría declarándolo como improcedente, al no existir una base legal para justificar la extinción del contrato.

Entonces, ¿no existe “nada” que nos obligue a vacunarnos?

La situación sería diferente si, desde el Ministerio de Sanidad, se publicase una norma que constriñera a administrar la vacuna a toda la sociedad o a determinados trabajadores, en base a la Ley Orgánica de Medidas Especiales de Salud Pública, alegando motivos de urgencia y necesidad. Ante este escenario, los trabajadores no podrían negarse a ser vacunados, primando entonces el interés colectivo sobre el individual.

Por otra parte, nos encontramos con una sentencia del Tribunal Superior de Justicia (STSJ Andalucía 2393/2013, de 22 de julio) donde los jueces confirmaron la vacunación forzosa de unos niños granadinos no vacunados contra el sarampión, afirmada en primera instancia, basándose en la LO de Medidas Especiales en Materia de Salud Pública y en la Constitución que, en su artículo 43.2, reconoce la facultad de las autoridades para inmunizar de forma forzosa a la población en casos excepcionales, en caso de que la gente no lo haga voluntariamente. Dicha sentencia se basaba en que “la convivencia en un Estado social y democrático de Derecho supone, no solo el respeto de los derechos fundamentales a título individual, sino también que su ejercicio no menoscabe el derecho del resto de la sociedad que se rige por unas pautas de conducta que persiguen el interés general”.

Debido al vacío legal existente, se pueden generar muchos conflictos en el seno de las empresas, así como dilemas tanto morales, jurídicos y éticos en la población. Ya tenemos base jurisprudencial para que, de forma muy restringida, con el debido soporte legal y siempre valorando la posible colisión de derechos que pudiera existir, los jueces puedan aplicar el precedente de los niños granadinos. La otra solución sería que el Gobierno regule la obligatoriedad de la vacunación para salvaguardar tanto la salud pública como la actividad económica de las empresas. En un contexto de riesgo general, en esa ponderación de derechos, en determinadas circunstancias pesaría más el derecho a la protección, a la salud, a la integridad y a la vida que al derecho individual.

En palabras del magistrado Joaquim Bosch, en una entrevista en el diario.es decía que “aunque la ley actual ampara posibles medidas de vacunación obligatoria, sería aconsejable una regulación legal específica si se optara por esta solución de vacunación obligatoria contra la COVID para poder imponerla sin que ello genere problemas jurídicos y para evitar todo tipo de dudas, porque la ley es muy amplia y no se dice nada de vacunas”.

A todo ello se añade que el Gobierno se muestra muy seguro afirmando que en el verano casi el 70 % de la población española estará vacunada, sin embargo, con las últimas noticias que están comunicando los medios y la falta de suministros a los que cada vez más las comunidades autónomas se van enfrentando parece que este objetivo no será fácil de cumplir.

Fuente: Legaltoday.com

La entrada Protección de datos y vacunas anticovid se publicó primero en DataProtectPlus.

En el Boletín Oficial del Ministerio de Defensa del pasado 10 de septiembre, se delimitaron las responsabilidades en esta labor conjunta entre Sanidad y las Fuerzas Armadas y se especificaron las pautas para preservar la confidencialidad durante la gestión de los datos personales de los pacientes.

Las medidas estarán en conformidad con el Reglamento Europeo 

Para garantizar “la seguridad del tratamiento de los datos personales recabados” las medidas que necesiten tomar deben estar en conformidad con el artículo 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

En línea con las pautas recogidas en dicho fragmento del Reglamento Europeo, los rastreadores del ejército podrán asignar seudónimos a los pacientes y cifrar sus datos. Además, entre otras directrices, el mismo apartado recomienda poner en práctica “un proceso regular de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas”.

El documento parlamentario también especifica que quien acceda a los datos personales, sea o no el encargado, debe tratar dichos datos siguiendo las instrucciones del responsable, que en este caso es el Ministerio de Sanidad. Así como el Boletín de Defensa igualmente estipula que los datos personales únicamente pueden tratarse “siguiendo las instrucciones documentadas del responsable”.

Esto se aplica a las transferencias de datos personales a un tercer país o una organización internacional, a no ser que el Derecho de la Unión o la legislación nacional que se aplique impida el cumplimiento de esas instrucciones; en cuyo caso, “el encargado informará al responsable (Sanidad) de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público”.

En el caso de que haya errores, imprevistos o robos de datos, los rastreadores están obligados a notificar “las violaciones de seguridad al responsable, así como a las autoridades de protección de datos competente y, de ser necesario, a los interesados”.

Sanidad es el organismo responsable de las labores de rastreo

Puesto que Sanidad es el responsable, los rastreadores están obligados a poner a su disposición “toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas”. Pueden ser sometidos a auditorías, incluidas inspecciones, por parte del Ministerio o de otro auditor autorizado por este.

Además, los rastreadores deberán informar inmediatamente al Ministerio “si, en su opinión, una instrucción o actividad de tratamiento infringe las disposiciones en materia de protección de datos de la Unión o de la legislación nacional”.

Asimismo, si Sanidad así lo requiere, se “suprimirán o devolverán todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos”.

Por otra parte, las directrices de Defensa recuerdan medidas obvias para garantizar la seguridad de los datos personales como limitar su uso al rastreo del coronavirus (y no para otros fines), no trasladarlos a terceros o no recurrir a subcontrataciones.

Fuente: El Confidencial Digital

La entrada Los militares rastreadores usarán seudónimos para la protección de datos de los pacientes se publicó primero en DataProtectPlus.

En la actualidad, la aplicación cuenta con unos dos millones de descargas en sus versiones para los sistemas operativos Android e iOS pero no es posible conocer esas descargas por territorios porque «se ha querido preservar la identidad de los usuarios que se descargan la aplicación y que sus datos sean anónimos. Por ello no existe geolocalización y la aplicación funciona por bluetooth».

Desde Data Protect Plus tenemos algunas dudas respecto a la privacidad con esta aplicación porque aunque no existe una localización GPS explícita, al ser por bluetooth, podemos entender que sí existe una geolocalización implícita. Además, los protocolos de criptografía son bastantes frágiles y es más fácil el hackeo.

Nos genera intranquilidad que la Agencia Española de Protección de Datos pidiera información al Gobierno sobre la seguridad de esta app y aún no ha recibido respuesta al respecto. Es importante haber realizado un estudio sobre los problemas o dificultades que pudiera presentar la aplicación.

El Comité Europeo de Protección de Datos exige una evaluación de impacto a quien desarrolla la app, en este caso al Gobierno de España, para evaluar los riesgos que supone implementar este tratamiento de datos, implementar la aplicación en el uso por parte de los ciudadanos, que tampoco se ha realizado

Una app de rastreo de contactos como ésta debería permitir rastrear usuarios e identificar sus contactos de forma anónima y segura para evitar falsos positivos. Debe gestionarlo de forma descentralizada, siguiendo las recomendaciones europeas, para evitar crear una base de datos que quede bajo el control de gobiernos o empresas.

El verdadero riesgo es que Radar COVID obliga a tener el Bluetooth conectado todo el tiempo. ¿A qué nos exponemos exactamente? Encabezando la lista nos encontramos con el bluesnarfing, es decir, la capacidad del criminal de conectarse a nuestro dispositivo sin que lo sepamos, robando o comprometiendo la información que tenemos en nuestro teléfono móvil. No es solo un problema en sí de la propia aplicación.

¿Compensa el riesgo y, sobre todo, compensa considerando que las Administraciones no están haciendo el esfuerzo de disponer de suficientes rastreadores que son mucho más efectivos e importantes que estas apps?

Veremos cómo se presenta esta app cuando todas las Comunidades Autónomas estén utilizándola y esté a pleno rendimiento.

La entrada La app Radar Covid ¿es un problema para nuestra privacidad? se publicó primero en DataProtectPlus.