Tratamiento de datos personales a través de una aplicación móvil que verifica certificados digitales COVID
Protección de datos de carácter personal. Concepto de tratamiento de datos personales. Aplicación móvil de verificación de la validez de certificados COVID digitales de la UE.
Mediante su cuestión prejudicial, el órgano jurisdiccional remitente pregunta si el concepto de «tratamiento» de datos personales al que se refiere el artículo 4.2 del RGPD debe interpretarse en el sentido de que incluye la verificación, mediante una aplicación móvil nacional, de la validez de los certificados COVID-19 interoperables de vacunación, de prueba diagnóstica y de recuperación expedidos en virtud del Reglamento 2021/953 y utilizados por un Estado miembro para fines nacionales.
Una parte de la información a la que tiene acceso la persona que realiza el control al comprobar la validez de un certificado COVID digital de la UE constituye «datos personales»; un certificado de vacunación, un certificado de prueba diagnóstica y un certificado de recuperación deben incluir la identidad del titular. Una interpretación amplia de los conceptos de «datos personales» y de «tratamiento» es coherente con el objetivo de garantizar la efectividad del derecho fundamental a la protección de las personas físicas en relación con el tratamiento de datos personales.
En el caso de autos, una aplicación móvil nacional escanea el código QR del certificado COVID digital de la UE para convertir los datos personales contenidos en dicho código en un formato legible por la persona que realiza el control de la validez de tal certificado. De este modo, esa aplicación permite a la persona que realiza el control consultar, tras un proceso automatizado -el escaneado-, los datos personales y utilizarlos para evaluar si la situación del interesado se ajusta a las normas de validación, es decir, a los requisitos sanitarios aplicables. El resultado de esta evaluación también está automatizado, de forma que aparece una señal verde en el teléfono móvil de la persona que realiza el control cuando se cumplen los requisitos sanitarios y una cruz roja cuando no. Por lo tanto, debe considerarse que la verificación, mediante la aplicación, de la validez de los certificados COVID-19 interoperables de vacunación, de prueba diagnóstica y de recuperación expedidos en virtud del Reglamento 2021/953 constituye un «tratamiento» en el sentido del artículo 4, punto 2, del RGPD y entra, de conformidad con el artículo 2, apartado 1, de dicho Reglamento, en el ámbito de aplicación material de este.
En virtud de lo expuesto, el Tribunal de Justicia declara que:
El concepto de «tratamiento» de datos personales al que se refiere el artículo 4, punto 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que incluye la verificación, mediante una aplicación móvil nacional, de la validez de los certificados COVID-19 interoperables de vacunación, de prueba diagnóstica y de recuperación expedidos en virtud del Reglamento (UE) 2021/953 del Parlamento Europeo y del Consejo, de 14 de junio de 2021, relativo a un marco para la expedición, verificación y aceptación de certificados COVID-19 interoperables de vacunación, de prueba diagnóstica y de recuperación (certificado COVID digital de la UE) a fin de facilitar la libre circulación durante la pandemia de COVID-19, y utilizados por un Estado miembro para fines nacionales.