Licitud
En cuanto a la licitud de la exigencia a cualquier persona del Certificado Covid Digital para acceder a establecimientos de ocio y restauración, al no existir una normativa nacional que dicte las medidas a adoptar en caso de repuntes o aumento considerable de los contagios, han tenido que ser los tribunales, los que dictamen si se puede o no implantar dichas medidas, ante Resoluciones de las distintas Administraciones Autonómicas.
Así la Sección Cuarta de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, ha dictado dos sentencias en las que autoriza la exigencia de exhibir el Certificado Covid Digital de la UE para el acceso a establecimientos de ocio y restauración al considerar que la medida es idónea, necesaria y proporcionada. Estas son:
- El 14/09/2021: STS 1.112/2021 de 14 de septiembre, que autoriza la medida acordada por la Xunta de Galicia en agosto que exigía el Certificado Covid Digital para acceder a bares y discotecas en Galicia.
- El 01/12/2021: STS 1.412/2021 de 1 de diciembre, que autoriza la exigencia del pasaporte COVID en restaurantes y establecimientos de ocio acordada por el Gobierno vasco.
El Supremo indica que en cualquier caso debe ser una medida:
- Idónea, adecuada para prevenir la transmisión de la enfermedad.
- Necesaria, para el fin buscado y menos invasiva que otras alternativas.
- Proporcionada que sirva para preservar la salud y reducir los riesgos que comporta la pandemia, incidiendo tenuemente en los derechos a la igualdad y a la intimidad, para lo que habrá que estar al momento concreto en que se solicita, la incidencia, el riesgo y la gravedad que en cada caso comporte la pandemia, por lo que va a depender de su evolución que sea ratificada por los tribunales autonómicos. Para que la medida sea considerada proporcional debe establecerse un límite temporal.
Tratamiento de datos personales
En lo referente al tratamiento de datos personales que puede implicar la exigencia a cualquier persona de la exhibición del Certificado Covid Digital, el Reglamento del Certificado Covid Digital de la UE, en su art. 10 apartados 2 y 3, se establece:
2. (…) los datos personales contenidos en los certificados expedidos de conformidad con el presente Reglamento serán tratados únicamente con el fin de acceder a la información incluida en el certificado y verificarla, con el fin de facilitar el ejercicio del derecho a la libre circulación dentro de la Unión durante la pandemia de COVID-19. No se producirá ningún tratamiento ulterior una vez finalizado el período de aplicación del presente Reglamento.
3. Los datos personales incluidos en los certificados (…), serán tratados por las autoridades competentes del Estado miembro de destino o tránsito, o por los operadores de servicios de transporte transfronterizo de viajeros obligados por la legislación nacional a aplicar determinadas medidas de salud pública durante la pandemia de COVID-19, únicamente a fin de verificar y confirmar la vacunación, el resultado de la prueba o la recuperación del titular. A tal fin, los datos personales se limitarán a lo estrictamente necesario. No se conservarán los datos personales a los que se acceda con arreglo al presente apartado.
En ambos apartados se refiere el legislador a “tratamiento de datos personales” con el único fin de acceder a la información y verificarla, y que no se conservarán. En ningún caso determina que por solo acceder a verificar no se produzca tratamiento de datos personales.
Sí que es cierto que el referido precepto se refiere a Autoridades y Operadores de servicio de transportes, pero en lo que al tratamiento de datos personales y su implicación podría ser extrapolable en la actualidad a los responsables de establecimientos de ocio y restauración que tengan que exigirlos, para permitir el acceso a sus instalaciones.
Conforme al art. 2.1) GDPR sería de aplicación el Reglamento, ya que se aplica al tratamiento de datos personales contenidos o destinados a ser incluidos en un fichero, el caso que nos ocupa los datos personales están contenidos en un fichero.
Además, conforme al art. 4.2) GDPR, se considera tratamiento a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como (….), consulta, utilización, (…) cualquier otra forma de habilitación de acceso, cotejo (…). En este caso el acceso a la información contenida en el certificado, para verificarla con el fin de permitir el acceso al establecimiento.
En cuanto a la licitud, para este tratamiento de datos personales, la encontraríamos en el art. 6.1.c) GDPR, al ser necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (titular del establecimiento), y al tratarse también de datos relativos a la salud, necesitaríamos de una de las exenciones del art. 9.2 GDPR, en este caso la contemplada en la letra g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión (Resoluciones de las distintes CCAA y STS).
A tener en cuenta de igual forma en lo referente a la conservación de estos datos personales, que conforme al apartado 3 del art. 10 del Reglamento de Certificado Covid Digital, no se podrán conservar, solo visualizar para su verificación.
Obligación de exhibir el DNI
Respecto a la obligación de exhibir el DNI y ante quién, conforme a la normativa estamos obligados (y cuando se justifiquen los motivos) a exhibir nuestro DNI:
- Cuando nos sea requerido por la autoridad o sus agentes art. 9. 2 de la Ley Orgánica 4/2015, de protección de la seguridad ciudadana.
- Cuando nos sea requerido por un vigilante de seguridad en los controles de accesos o en el interior de los inmuebles de cuya vigilancia y seguridad estuvieran encargados, ya que podrán realizar controles de identidad de las personas (art. 77 Real Decreto 2364/1994 por el que se aprueba el Reglamento de Seguridad Privada)
No hay una norma que especifique quien más puede requerirlo. Por lo tanto, la petición, o no, del DNI residen en las cláusulas de seguridad propias del establecimiento, que persiguen evitar fraudes, suplantaciones, etc.
Desde FACUA (Federación de Asociaciones de Consumidores y Usuarios de Andalucía) se pronunciaron en alguna ocasión, ante quejas de consumidores, a los que les exigían exhibir el DNI para pagar con tarjeta, indicando que es una opción de seguridad que ejerce el propio comercio ya que, en caso de fraude, existe la posibilidad de que se devuelva el cargo con la consiguiente pérdida para el comercio.