¿Qué pasa con las cuestiones de privacidad cuando las grandes empresas tecnológicas liberan los pasaportes de las vacunas?


Los seguidores de los Brooklyn Nets de la NBA exhiben estos días algo más que entradas para los partidos al entrar en el Barclays Center.

“Vaccine Passport”

También se les exige que muestren un resultado negativo reciente de la prueba Covid-19, una tarjeta de vacunación o su "pasaporte de vacunas" Excelsior Pass, el primero del país, que utiliza códigos QR en un smartphone para demostrar los resultados de las pruebas o la vacunación contra la enfermedad.

El Excelsior Pass, creado por IBM y que debutó el mes pasado, es una de las crecientes aplicaciones que podrían ayudar a los estadounidenses a volver con seguridad a eventos deportivos, teatros, restaurantes y vuelos.


Pero también están planteando problemas de privacidad.

"Es muy importante, cuando reabrimos comunidades y economías, que haya un nivel de confianza en organizaciones como el estado de Nueva York e IBM", dijo Eric Piscini, vicepresidente mundial de redes empresariales emergentes de IBM, que dirige el proyecto. "Estamos aquí para servir a las comunidades y no sólo para sacar una pieza de tecnología".

Los temores sobre la privacidad en torno a la exhibición pública del estado de vacunación amenazan con obstaculizar el despliegue de una tecnología que podría desempeñar un papel importante en la reapertura de la sociedad y en la contención de la propagación del Covid-19. Pero a falta de coordinación o regulación gubernamental -y el gobierno de Biden ha sido categórico al afirmar que no se involucrará directamente-, queda en manos del sector privado la tarea de generar confianza en el consumidor y de navegar por las leyes que dictan cómo mantener la seguridad y la confidencialidad de los datos.

El papel de las empresas tecnológicas

El debate se produce cuando el esfuerzo nacional de vacunación está muy avanzado. Se han administrado más de 200 millones de dosis en EE.UU., según el rastreador de vacunas de Bloomberg.


"Hay muchas preguntas sin respuesta desde el punto de vista legal", dijo Sean Sullivan, un abogado de atención médica en Alston & Bird LLP en Atlanta. "No existe el mismo tipo de marco de privacidad para este tipo de cosas".

El pasaporte vacunal de IBM Corp. utiliza un monedero digital encriptado en un smartphone para que los usuarios puedan demostrar su estado de salud sin compartir la información médica o personal subyacente. Y la tecnología blockchain evita la necesidad de una base de datos central, creando en su lugar un "hash" de los datos utilizados para la verificación.

Microsoft Corp. se ha asociado a la Iniciativa de Credenciales de Vacunación, que está desarrollando una "guía de implementación que detalla el uso de estándares abiertos, interoperables y de protección de la privacidad", dijo un portavoz de la empresa.

Los principales estándares que se están proponiendo, basados en la criptografía de clave pública y los códigos QR, son "muy seguros", dijo Mike Joyce, director de compromisos de la empresa de ingeniería e innovación Theorem LLC. "Ofrece una oportunidad de escala que un trozo de papel no podría ofrecer".

Estado de la cuestión

La decisión del gobierno federal de retirarse de la creación de pasaportes digitales se tomó para evitar las dudas sobre las vacunas de aquellos "preocupados de que el gobierno juegue un papel demasiado pesado en el control de sus vacunas", dijo el mes pasado Andy Slavitt, el asesor principal de la respuesta Covid-19 de la Casa Blanca.

Sin embargo, las agencias sanitarias se están reuniendo para elaborar unas directrices generales sobre lo que les gustaría ver en los pasaportes de vacunas de las empresas privadas, que deberían ser de uso gratuito, estar disponibles en varios idiomas y ser accesibles para las personas con aversión a la tecnología, dijo Slavitt.

En el extranjero, los reguladores de datos de la Unión Europea dijeron que los planes de certificados digitales deben impedir el acceso y el uso de los datos de los pacientes por parte de los gobiernos tras la pandemia. El Reino Unido probará su propio sistema que exige a las personas demostrar que están libres del virus. E Israel ya ha lanzado su versión de un pasaporte de vacunas llamado "Pase Verde", que los residentes utilizan para entrar en espacios concurridos como conciertos o bodas.

La Asociación Internacional de Transporte Aéreo (IATA) está probando su propia aplicación, que podría confirmar si alguien ha sido vacunado o ha dado recientemente negativo en la prueba del Covid-19 antes de que se le permita embarcar en un vuelo. Virgin Atlantic y Qatar Airways son algunas de las aerolíneas que están probando el pase de la IATA.


En Estados Unidos, algunos líderes estatales republicanos se oponen a la exigencia de registros de vacunas portátiles.

El gobernador de Florida, Ron DeSantis, firmó el 2 de abril una orden ejecutiva que prohíbe a las empresas que obtienen subvenciones o contratos estatales exigir a los clientes que muestren los pasaportes Covid-19, calificando las credenciales de "completamente inaceptables" y expresando su preocupación por el intercambio de información privada. En Texas, el gobernador Greg Abbott firmó una orden similar el 5 de abril. Lea aquí.

DeSantis y Abbott no han intentado bloquear los mandatos de vacunación en el lugar de trabajo a través de un decreto ejecutivo, una medida que muy probablemente excedería su autoridad legal. Pero un puñado de legislaturas estatales están considerando proyectos de ley que harían precisamente eso, incluyendo Florida, Ohio y Missouri. Ver pdf al final del post.

Brecha en la ley de salud

Los requisitos de privacidad y seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico podrían dificultar la obtención y el intercambio del estado de vacunación. Pero que los pasaportes de vacunas entren en el ámbito de la HIPAA depende de cómo se acceda a la información médica y de si un proveedor de servicios sanitarios está involucrado en la aplicación, dijo Savera Sandhu, socio de la oficina de Newmeyer & Dillion LLP en Las Vegas.

La HIPAA se aplica a los proveedores de servicios sanitarios, a las empresas que patrocinan planes de seguro médico y a los centros de intercambio de información médica. También se aplica, en general, a los asociados comerciales, como los proveedores de tecnología de la información que ayudan a las entidades cubiertas a desempeñar sus funciones.

Los desarrolladores de aplicaciones pueden encontrarse fuera del marco de la HIPAA si no trabajan con un hospital y requieren que los usuarios carguen directamente su propia información médica, incluido el estado de vacunación, dijo Sandhu.

"No entran necesariamente en la categoría de proveedor o asociado de servicios sanitarios", dijo. "Esas empresas pueden entonces no estar sujetas a los requisitos de la HIPAA".

Algunas empresas pueden optar por este enfoque -los usuarios cargan su propia información- mientras que otras pueden obtener el estado de vacunación de un proveedor de servicios sanitarios.

"Desde el punto de vista de la confianza, es importante que los consumidores estén a cargo de la información que están dando al pasaporte de vacunas", dijo Lauren Groebe, un abogado de Morgan Lewis & Bockius LLP en Chicago que se centra en la salud, la privacidad y la ciberseguridad.

La privacidad es lo primero

Los desarrolladores de aplicaciones y las aerolíneas, restaurantes y similares que utilizan pasaportes de vacunas podrían conseguir una mayor adopción y reducir el riesgo de que los datos se vean comprometidos al recoger sólo la información necesaria, dijo Sullivan.

"Una organización inteligente que recoge esta información querría desarrollar políticas de privacidad claras y hacer saber a la gente cómo se maneja esa información", dijo. "Algunas pueden optar por ver los pases pero no retener o recoger esos datos".

La información sanitaria y otros datos personales deben estar encriptados dentro de las aplicaciones y cuando se envíen a otros lugares, afirma Alon Kaufman, director general y cofundador de Duality Technologies, con sede en Israel. "Necesitamos que la seguridad, la privacidad y la protección estén integradas en estas herramientas".

Como todas las cosas digitales, las aplicaciones de pasaportes de vacunas podrían teóricamente ser hackeadas, lo que significa que una única norma o un puñado de normas en Estados Unidos y a nivel internacional podrían ayudar, dijo Marijus Briedis, director de tecnología de NordVPN en Lituania.

"Si cada uno de nosotros tiene 20 aplicaciones diferentes, ¿cómo vamos a utilizarlas?" dijo Briedis. "Los problemas de seguridad y privacidad se amplifican con más apps en el teléfono, ya que el área de ataque aumenta exponencialmente".

Obligaciones del empresario

En general, las empresas tienen autoridad para obligar a los trabajadores a vacunarse, aunque deben sopesar las solicitudes de adaptaciones relacionadas con la salud según la Ley de Estadounidenses con Discapacidades y las objeciones religiosas según el Título VII de la Ley de Derechos Civiles de 1964. Lea aquí.

Teniendo en cuenta este panorama legal, la ADA no debería impedir que las empresas exijan a los trabajadores o a los solicitantes que demuestren que se han vacunado contra el Covid-19, dijeron los abogados laboralistas.

Pero la ADA exige a los empresarios que mantengan la confidencialidad de los datos de vacunación de sus trabajadores. Esto podría obstaculizar la capacidad de compartir los datos de los pasaportes con terceros, como los proveedores de servicios que pueden querer garantizar a los clientes que los trabajadores que van a sus casas o negocios se han vacunado.

Y obtener el consentimiento de los trabajadores para revelar sus pasaportes de vacunas no eliminaría la amenaza de la responsabilidad de la ADA, ya que los tribunales podrían considerarlo coercitivo o discriminatorio, dijo Peter Blanck, un profesor de derecho de la Universidad de Syracuse que ha escrito libros sobre el sesgo de la discapacidad.

Ninguna empresa puede garantizar que tiene una plantilla totalmente vacunada debido a las excepciones de la ADA y el Título VII, dijo Karla Grossenbacher, abogada laboral de Seyfarth Shaw LLP. En lugar de proporcionar pasaportes de vacunas individuales, un empleador puede simplemente decir a un cliente que sus trabajadores son aptos para el trabajo y proporcionar sus criterios de aptitud, dijo.

Sin embargo, los observadores jurídicos no son unánimes en cuanto a lo que la ADA exige a las empresas que compartan los pasaportes de vacunas de los trabajadores.

La posición permisiva de la Comisión para la Igualdad de Oportunidades en el Empleo respecto a la obtención de información sobre vacunas por parte de los empleadores sugiere que se puede divulgar, dijo Myra Creighton, una abogada de Fisher & Phillips LLP que asesora a empleadores.

"Si preguntar a una persona si está vacunada no es una consulta relacionada con la discapacidad, entonces si le digo a alguien que 'sí, Joe Smith se ha vacunado', no es una violación de la ADA", dijo.

Archivos adjuntos

1. Florida State Legislatures


2.Ohio State Legislatures


3.Missouri State Legislatures