Certificado Verde Covid-19: críticas e recomendações da EDPB e da AEPD

SÉRVULO PUBLICATIONS 27 Apr 2021

No passado dia 17 de março a Comissão Europeia apresentou uma proposta para a criação do «Certificado Verde Digital», o qual visa facilitar a livre circulação de pessoas nos Estados-Membros na medida em que servirá como prova de que o seu portador foi vacinado contra a Covid-19, ou testou negativo à doença ou recuperou da mesma, consoante o caso[1].

Entretanto, o Comité Europeu para a Proteção de Dados (EDPD) e a Autoridade Europeia para a Proteção de Dados (AEPD) teceram conjuntamente algumas críticas e recomendações à proposta da Comissão para a emissão e utilização do Certificado Verde Digital. Elencamos a seguir algumas das ideias-chave da opinião destas entidades: 

1. O certificado não deve ser veiculado como sendo um «certificado de imunidade».

2. Quando o certificado atestar que o seu titular recebeu uma vacina contra a Covid-19, haverá que ter o cuidado de configurar o mesmo apenas como «certificado de vacinação» e não como certificado de imunidade contra a doença. Até ao momento há poucas provas científicas que permitam afirmar que a vacina contra a Covid-19 concede total imunidade ao vírus e por quanto tempo. O mesmo se poderá dizer do certificado que ateste que o seu titular é um doente recuperado Covid-19.

3. Na medida em que subsistem dúvidas quanto à eficácia que a vacinação terá na redução da transmissão do vírus, as autoridades nacionais dos Estados Membros e os operadores de serviços de transporte não devem exigir provas de vacinação contra a Covid-19 como condição para a entrada ou saída do respetivo país.

4. Uma vez que a finalidade do certificado será a de facilitar a livre circulação de pessoas nos territórios dos Estados-Membros durante a atual pandemia, este conceito deverá ser definido com mais precisão no texto final que vier a ser aprovado. Esta concretização deverá ser acompanhada da previsão de um mecanismo que controle a utilização que é feita do Certificado Verde Digital.

5. A EDPD e a AEPD anteveem o risco sério de surgirem certificados falsos à semelhança do que já sucede com a venda ilícita de certificados de testes à Covid-19. Logo, a introdução do Certificado Verde Digital terá de obrigar à adoção de medidas técnicas e organizativas especificamente pensadas para impedir a manipulação e falsificação dos Certificados Verdes Digitais.

6. Os Estados-Membros deverão admitir os três tipos de sub-certificados em discussão: (i) vacinação; (ii) realização de teste com resultado negativo; (iii) recuperação da doença; e não apenas o «certificado de vacinação». Caso contrário, potenciar-se-á uma discriminação com base em informação pessoal de saúde, o que constituirá uma violação de direitos fundamentais.

7. A utilização secundária do Certificado Verde Digital não é admitida pelo direito da União. Caso  um Estado Membro pretenda que o certificado viabilize o acesso a restaurantes, lojas, locais de diversão noturna, igrejas, ginásios ou até locais de trabalho no país, terá de determinar e regular expressamente essa utilização por lei interna. No entanto, adverte-se que tal utilização secundária não deverá levar à discriminação de pessoas com base na circunstância de terem ou não sido vacinadas ou serem doentes recuperados.Se a lei de um Estado-Membro vier a permitir semelhante utilização secundária, é forçoso que nela, pelo menos, se estipule o objeto e o âmbito do tratamento, se descrevam as finalidades específicas do tratamento e se indiquem as categorias de entidades que poderão verificar o certificado, bem como as salvaguardas adequadas para impedir a utilização abusiva da informação tratada.

8. O acesso aos dados constantes do Certificado Verde Digital não deverá ser permitido após o fim da atual pandemia, não se admitindo a utilização dos dados para outros fins. A finalidade do  referido mecanismo é exclusivamente, como visto, a prevenção da Covid-19 e das respetivas variantes.

9. Cada Estado Membro deverá tornar pública a listagem das entidades que poderão agir como responsáveis pelo tratamento, subcontratantes e destinatários dos dados no país. Isto permitirá ao titular dos dados conhecer a identidade da entidade a quem deverá recorrer para exercer os seus direitos sobre os seus dados pessoais ao abrigo do Regulamento Geral sobre a Proteção de Dados, em particular o direito de informação sobre o modo como poderá exercer tais direitos.

10. O quadro normativo europeu sobre o Certificado Verde Digital deverá esclarecer abertamente se são ou não esperadas transferências internacionais de dados pessoais e incluir salvaguardas destinadas a garantir que os dados pessoais tratados sê-lo-ão exclusivamente para as finalidades que nele se encontrem especificadas. 

Inês de Sá | is@servulo.com

Rita Serrano | rso@servulo.com