Hoy, el Parlamento Europeo debate y vota el texto de compromiso interinstitucional sobre el reglamento o los reglamentos relativos al Certificado COVID Digital de la UE (EU DCC, también conocido como Certificado Digital Verde y Pase Verde Europeo). La legislación propuesta regula el "marco para la expedición, verificación y aceptación de certificados interoperables de vacunación, de test y de recuperación" con el objetivo de facilitar la libre circulación durante la pandemia de COVID-19.
Liberties y su socio epicenter.works, esperan que el Parlamento Europeo apruebe hoy la legislación. El texto final de compromiso que se adoptará es una clara victoria para los derechos humanos y los derechos digitales.
Logros principales
1. Se facilitará el acceso a las pruebas de diagnóstico para evitar sociedades a dos niveles
El texto del reglamento principal (en
adelante, el texto) subraya la necesidad de un acceso universal,
equitativo y asequible a las vacunas y pruebas de COVID-19. Para apoyar
la capacidad de realizar pruebas de los Estados miembros, la Comisión ha
movilizado 100 millones de euros para adquirir más de 20 millones de
pruebas rápidas de antígenos. Asimismo, a través de un acuerdo con la
Cruz Roja para aumentar la
capacidad de diagnóstico en los Estados miembros mediante servicios
pruebas móviles se han movilizado otros 35 millones
de euros.
2. Certificados en papel para quienes no tienen un teléfono inteligente
De acuerdo con el texto, "con el fin de garantizar la interoperabilidad y la igualdad de acceso, incluso para las personas vulnerables, como las personas con discapacidad, y para las personas con acceso limitado a las tecnologías digitales, los Estados miembros deberían expedir los certificados para el Certificado Digital COVID de la UE en formato digital o en papel, o en ambos. Los futuros titulares deben tener derecho a recibir el certificado en el formato de su elección" (considerando 14).
Liberties y epicenter.works mostraron su preocupación porque, según las propuestas de la Comisión, los Estados miembros tenían la posibilidad de decidir cómo iban a expedir los certificados y no estaban obligados a hacerlo de la forma más accesible para el usuario final. El formato digital está pensado para que se visualice y almacene en dispositivos móviles. Pero, si expiden únicamente certificados digitales, los Estados podrían agravar las desigualdades y la exclusión social. Liberties propuso que se exigiera la expedición de los certificados en ambos formatos o, si querían expedir el certificado solo en formato digital, que garantizaran que cualquier persona dispusiera de un dispositivo capaz de almacenarlos y visualizarlos.
3. Un final a la vista
El texto contiene una cláusula de extinción. Este reglamento se aplicará durante 12 meses a partir de su entrada en vigor, lo qu supone una mejora importante, pues cualquier restricción de los derechos fundamentales con el objetivo de combatir la crisis de COVID-19 no debería continuar tras la pandemia. Seguiremos de cerca cómo se aplica esta propuesta en los Estados miembros y las obligaciones de información de la Comisión Europea e insistiremos en que, una vez finalizado el periodo de expiración, el sistema se cierre.
Liberties y epicenter.works insistieron en la necesidad de establecer unas condiciones claras para dejar de utilizar los certificados. La necesidad de certificar nuestro estado de salud cuando nos desplazamos dentro de Europa no puede convertirse en algo que forme parte de la vida normal.
4. Protección del historial médico
Los certificados únicamente contendrán los
datos personales estrictamente necesarios "para facilitar el
ejercicio del derecho a la libre circulación dentro de la Unión durante la
pandemia COVID-19" (considerando 38). Se expedirá un
certificado distinto para cada vacunación, prueba o recuperación,
de modo que no se recogerá ningún historial médico del titular a
efectos del Certificado Digital COVID europeo.
Tanto epicenter.works como Liberties mostraron su preocupación por el tratamiento de datos sensibles sobre la salud en el ámbito de esta propuesta y por los medios por los que muestra esta información a terceros. En especial, los certificados de recuperación podrían indicar una desventaja de por vida de una persona (COVID duradero). Habida cuenta de que el historial de los Estados miembros a la hora de considerar los riesgos de las nuevas tecnologías para controlar los riesgos de la pandemia de COVID-19 no es especialmente bueno, nos preocupó la falta de detalles sobre la protección de los datos personales en la propuesta de la Comisión.
5. Evitar la vigilancia
Se
garantizará que "la verificación de un certificado tiene que producirse
fuera de línea y sin informar al emisor o a cualquier otro tercero
sobre la verificación. El marco de confianza debe basarse en una
infraestructura de clave pública con una cadena de confianza desde las
autoridades sanitarias de los Estados miembros u otras autoridades de
confianza hasta las entidades individuales que emiten los certificados"
(considerando 15). Además, los verificadores tendrán prohibido conservar
los datos personales obtenidos del certificado. Hasta aquí llegaría el alcance de la UE. Los Estados miembros
que vayan más allá del reglamento, utilizando este sistema para
controlar el acceso a tiendas y restaurantes a nivel nacional, tendrán
que adoptar una legislación nacional con garantías equivalentes.
epicenter.works advirtió del peligro de una arquitectura centralizada para la verificación de los certificados. Esta verificación en línea crea la posibilidad de vigilancia por parte de la autoridad emisora, generando conjuntos de datos cada vez que un ciudadano cruza una frontera. Este problema se amplía cuando los países utilizan este sistema también para regular el acceso a los espacios o servicios para personas vacunadas, con prueba negativa reciente o recuperadas, generando, de facto la posibilidad de observar su vida social. Por ello, epicenter.works insistió en que el reglamento tiene que dejar claro que solo una verificación fuera de línea a través de una infraestructura de clave pública se adhiere a los principios de privacidad. Cuando se verifica un certificado, el emisor no debe tener conocimiento del proceso de verificación ni de sus circunstancias.
Por supuesto, queda por ver si la aplicación del Reglamento cumplirá con las normas más estrictas de derechos humanos. Liberties y epicenter.works seguirán vigilando su evolución en los próximos meses.Pero hoy lo celebramos.
Breve historia de la propuesta de reglamento
Ya en marzo de 2020, los Estados miembros de la UE adoptaron diversas medidas para limitar la propagación del coronavirus y proteger la salud pública. Algunas de estas, afectaban el derecho de los ciudadanos de la Unión a moverse y residir libremente dentro del territorio de los Estados miembros. En el verano de 2020, cuando las tasas de incidencia disminuyeron en Europa pero las vacunas ni siquiera se vislumbraban en el horizonte, se esperaba que las apps de rastreo de contactos interoperables reactivaran los viajes intereuropeos. Esto no ha sucedido, por varias razones: el portal de rastreo de contactos comenzó a funcionar demasiado tarde, y la tasa de descarga de las apps era demasiado baja en la mayoría de los países como para que sirvieran como medio eficiente para combatir la pandemia.
A principios de 2021, al poco de iniciar las campañas de vacunación en Europa, varios dirigentes europeos expresaron la voluntar de expedir certificados de vacunación que sirvieran tanto a nivel nacional como internacional. En marzo de 2021, la Comisión anunció su plan para introducir un pase certificara no solo el estado de vacunación de los titulares, sino también los resultados de sus pruebas recientes o su estado de recuperación. Liberties, en un informe sobre políticas con fecha del 12 de marzo de 2021 presentó una serie de recomendaciones sobre cómo debería desarrollarse dicho pase para que no implicarara un trato desigual, ni violaciones de la privacidad ni tampoco exacerbara las desigualdades.El 17 de marzo, la Comisión Europea presentó una propuesta de reglamento sobre los certificados interoperables de vacunación, pruebas diagnósticas y de recuperación para los ciudadanos europeos y miembros de su familia, y una propuesta paralela que regulaba el acceso a estos certificados de los ciudadanos de terceros países que se encuentran o residen legalmente en la UE. Liberties estimó que a pesar de que las propuestas de la Comisión mostraban buenas intenciones, no garantizaban que las autoridades emisoras no pudieran hacer un uso indebido del certificado con fines de vigilancia, y tampoco que se evitara la exclusión social. Por ello, presentó un segundo informe de políticas en el que proponía una serie de modificaciones.
El 26 de abril, Liberties, epicenter.works y otras 26 organizaciones de derechos humanos y de derechos digitales enviaron una carta abierta a los eurodiputados instándoles a que abordaran nuestras preocupaciones descritas anteriormente con unas enmiendas apropiadas y garantizaran que ambos reglamentos estuvieran en consonancia con los valores de la Unión.
El 28 de abril, el Parlamento Europeo adoptó su posición y las negociaciones interinstitucionales pasaron a la llamada fase de triálogo. Las versiones adoptadas por el Parlamento contenían mejoras fundamentales respecto a las propuestas originales, especialmente su énfasis en la no discriminación de las personas vacunadas y respecto a la privacidad. Los días 3, 11, 18 y 20 de mayo se celebraron triálogos políticos informales entre el Parlamento, la Comisión y el Consejo (que adoptó su propia versión de las propuestas el 12 de abril). En un informe de políticas cuyo objetivo era aportar información a estos debates, Liberties y epicenter.works analizaron las distintas enmiendas propuestas y explicaron cuáles merecían el apoyo de la comunidad de derechos humanos y derechos digitales y por qué.
En el cuarto triálogo, el 20 de mayo, se alcanzó un acuerdo provisional sobre el texto de ambos reglamentos.
Hoy se espera que el Parlamento adopte el texto acordado en el cuarto trílogo. A pesar de que algunas de nuestras preocupaciones no se han visto completamente resueltas, Liberties y epicenter.works creemos que los textos que se van a decidir hoy suponen una gran mejora respecto a la propuesta original y representan una victoria para los derechos humanos y digitales que hay que celebrar.
Thomas Lohninger es director ejecutivo de la ONG de derechos digitales epicenter.works de Viena, Austria. Liberties y epicenter.works trabajan juntos para garantizar que los certificados COVID-19 en Europa no se utilicen vigilar y no den lugar a la discriminación.