Noticias
Coronavirus

De la Unión Europea a Israel: datos, usos y riesgos de los pasaportes de vacunación

JAIME GUTIÉRREZ / DatosRTVE
9 min.

Con las vacaciones de verano a la vuelta de la esquina y la campaña de vacunación global contra la COVID-19 cada vez más avanzada, países, gobiernos a todos los niveles y empresas privadas se han puesto manos a la obra para ofrecer certificados digitales que hagan más fáciles los desplazamientos y el acceso al ocio o a la hostelería.

Los mal llamados "pasaportes COVID" -porque ninguno de ellos es un documento de viaje ni interfiere en el derecho a la libre circulación, sino que son una herramienta para almacenar los certificados que solicitan las autoridades sanitarias- son un desafío y una oportunidad al mismo tiempo.

De resultar exitoso, el tratamiento y el almacenamiento de unos datos calificados como sensibles y que requieren una alta protección abre la puerta a futuros desarrollos de documentos de identificación y certificados digitales. Pero los expertos consultados destacan que también entraña riesgos.

¿Dónde se están usando certificados de vacunación y quién los emite?

Aparte de China, el primero en contar con un documento de este tipo, al menos Israel, Dinamarca y ahora la Unión Europea -acaba de dar luz verde al documento que comenzará a utilizarse en los 27 el 1 de julio- han puesto en marcha aplicaciones capaces de almacenar certificados de vacunación y resultados de pruebas diagnósticas. En todos los casos, la finalidad es simplificar la movilidad y garantizar la fiabilidad de un amplio abanico de documentos.

Los certificados como el europeo, que ya está en marcha en España y en ocho países más, están emitidos por las autoridades sanitarias de cada país, son gratuitos -aunque en lugares como España hay que pagar por las PCR o los test si no son recetados por un especialista- y la descarga de la aplicación es pública. Además, el Reino Unido permite consultar el estado de la vacunación en la aplicación del NHS (Servicio Nacional de Salud).

Por su parte, empresas y organismos vinculados al transporte aéreo de pasajeros han desarrollado sus propias soluciones. La Asociación Internacional del Transporte Aéreo (IATA) ha puesto en marcha Travel Pass: una aplicación que sirve para crear una versión digital del pasaporte y que utilizan más de una treintena de aerolíneas para verificar los certificados sanitarios que exigen las autoridades de cada país. Asimismo, el fondo público sin ánimo de lucro The Commons Project ha desarrollado un estándar similar bautizado como Common Pass.

Esta pluralidad de servicios ha llevado a que organismos y consorcios como el Grupo de Trabajo de Certificados de Vacunación Inteligentes de la OMS o la Iniciativa de Credenciales de Vacunación, que aglutina a entidades tecnológicas y sanitarias, aúnen esfuerzos para desarrollar un conjunto de normas abiertas y acordadas que garanticen la interoperabilidad internacional.

La Comisión Europea también ha planteado la posibilidad de admitir pasaportes desarrollados en terceros países. Para ello, ha puesto en marcha una propuesta de reglamento para la expedición, verificación y aceptación de certificados interoperables de vacunación, de test y de recuperación para terceros países.

¿Qué datos se recogen en cada pasaporte?

El nombre, la fecha de nacimiento y algún tipo de identificador como el número de pasaporte o el DNI son elementos compartidos de la mayoría de certificados analizados por DatosRTVE. En el caso danés, el identificador coincide con el NemID, el sistema de identificación digital que utiliza el país y con el que sus ciudadanos ya se relacionan con otros ámbitos de la Administración.

Entre los datos médicos que recogen, tanto las herramientas impulsadas por organismos públicos como las que surgen de la iniciativa privada están autorizadas para almacenar el estado de la pauta de vacunación. Sin embargo, la situación de las pruebas y test de diagnóstico o si el portador del documento ha pasado o no la enfermedad quedan más estandarizados en los certificados dependientes de la Administración.

Ahora bien, mientras los certificados de la Unión Europea y de Dinamarca otorgan validez a las pruebas de antígenos -durante 48 horas en el caso comunitario y hasta 72 en el pasaporte danés-, Israel no reconoce este tipo de test.

¿Cómo funciona el sistema de verificación?

De una u otra manera, en todos los casos se destaca el esfuerzo en la protección de los datos que se almacenan: bien almacenándolos únicamente en el teléfono del interesado, como hacen el de Nueva York, el Travel Pass y el Common Pass; bien limitando la información que se muestra en la verificación del documento.

"El derecho a la privacidad no es absoluto y puede haber situaciones que legitimen [el acceso a estos datos]", afirma la abogada especializada en gestión de datos y doctora en Derecho, Elena Gil. "Ahora, se está haciendo por motivos de salud pública, pero en cualquier caso el proceso [de tratamiento de esta información] tiene que dotarse de garantías", explica.

Los datos que se van a recoger son sensibles porque son datos de salud, al menos en el caso del certificado europeo. La limitación del acceso, la definición concreta de su finalidad y su utilización acotada en el tiempo son las principales garantías de seguridad para los expertos consultados.

En este sentido, el profesor colaborador de la UOC y experto en Derecho Digital, Sergio de Juan Creix, critica la escasez de información al público general. "Falta explicar las medidas de seguridad", protesta, al tiempo que lamenta que no se haya publicado la evaluación de impacto del certificado europeo.

La Comisión Europea, por su parte, destaca que los datos siempre estarán en el certificado y no serán ni retenidos cuando la información sea revisada por otro Estado miembro. "Para verificar la validez y la autenticidad del certificado solo se revisa quién lo ha emitido y quién lo ha firmado", insiste el organismo, que especifica que todos los datos personales serán almacenados por el Estado emisor.

Otra medida de seguridad es minimizar la cantidad de datos que se van a tratar, añade Elena Gil, que recuerda que "nadie debería saber si puedes viajar porque has pasado la COVID o porque te has vacunado".

¿Para qué sirven y para qué no?

Los pasaportes también son distintos según sus usos. Common Pass y Travel Pass son una herramienta para homogeneizar la lectura de documentos que las autoridades de los países exigen a las aerolíneas, mientras que los documentos impulsados por Israel, Dinamarca o Nueva York han optado por un enfoque más local.

Según informan en sus webs explicativas, estos certificados permiten acceder a gimnasios y a hoteles, acudir a funciones de teatro, comer en restaurantes o participar en otras actividades de ocio dentro del ámbito territorial en el que actúa cada aplicación. Además, el pasaporte verde israelí permite viajar a Grecia y a Chipre mediante acuerdos bilaterales.

Por su parte, el Parlamento Europeo ha puesto el foco en facilitar la movilidad entre países dentro de los límites de la Unión. La Comisión Europea recuerda que el certificado digital acelera el proceso de admisión en un país y exime de algunas limitaciones, pero los europeos podrán seguir viajando sin este documento, asumiendo las medidas y controles adicionales que establezca el país de destino. No obstante, algunos estados ya estudian implantar la herramienta para otro tipo de controles sanitarios como los que se hacen en Nueva York o Israel.

La clasificación de la población por sus niveles de salud entraña un riesgo

"Un certificado COVID que evolucione hacia la clasificación de la población por sus niveles de salud entraña un riesgo", advierte de Juan Creix, que hace hincapié en la desigualdad que se generaría si el documento excede el contexto para el que ha sido creado. "¿Vale la pena este certificado a estas alturas de la pandemia o es un placebo o alivio para el sector turístico?", se pregunta el experto en seguridad digital. "La ciudadanía necesita mensajes positivos y ver que se están tomando medidas", se responde.

¿Hacia dónde pueden evolucionar este tipo de documentos?

El certificado digital europeo es "una tecnología nueva que puede ser la antesala o una prueba para la creación de un DNI europeo en el futuro", reflexiona de Juan Creix, quien cree que un documento de este tipo entraña tantos beneficios como riesgos.

Por una parte, el profesor de la UOC ve en este "experimento" una oportunidad para avanzar hacia "una UE más cohesionada y unitaria", ya que -a su juicio- sería más fácil afrontar los trámites entre países y se eliminarían muchas barreras burocráticas. Por otra, detecta riesgos tanto internos como externos.

En un documento así "se pueden añadir capas y capas que lleguen hasta el color de los ojos" y que sirvan "para perfilar a una persona hasta el extremo", explica el experto. De este modo, continúa, "a nivel interno, hay que saber qué uso van a hacer las organizaciones de esta información" y establecer límites.

Para la abogada Elena Gil, cualquier desarrollo futuro siempre gira en torno a las mismas preguntas: quién toma la decisión, para qué se va a utilizar o quién hospeda esa información. Luego, añade, "tendrá que ir acompañado de un análisis de riesgos y de la prohibición de la reutilización de los datos". De lo que se trata, afirma, es de evitar "que nadie pretenda saber qué patrones de conducta tiene una persona a partir de la utilización de un pasaporte".

En cuanto a los riesgos externos, de Juan Creix mira más allá de un posible hackeo y habla de un eventual espionaje entre países. "En la medida en que tienes datos valiosos de un gran número de personas, te conviertes en un blanco", coincide Gil.

Por último, la abogada señala también un peligro más allá de la ciberseguridad: "Puede haber riesgos de que esto afecte a la campaña de vacunación, porque hay un peligro de que se dejen de hacer esfuerzos para inmunizar a determinadas regiones a medida que haya otras que accedan a la vacuna y en las que se permita que su población viaje con más libertad".

Noticias

Televisión

Radio

Deportes

Infantil

A la Carta

Playz