Herramientas para facilitar los desplazamientos dentro de la UE durante la pandemia de COVID-19 Iniciativas pertinentes, algunas satisfactorias y otras poco utilizadas

Resumen

I En marzo de 2020, tras la detección de los primeros casos de COVID-19 en la UE, los Estados miembros comenzaron a imponer prohibiciones de viaje y otras restricciones a la libre circulación de los ciudadanos. Para facilitar los desplazamientos y ayudar a rastrear los casos de COVID-19, la Comisión desarrolló cuatro herramientas:

• el «European Federation Gateway Service», un servicio de pasarela para garantizar la interoperabilidad a escala de la UE entre las aplicaciones nacionales de rastreo de contactos;
• el formulario digital de localización de pasajeros de la UE, una herramienta que sustituye a los formularios en papel utilizados para recabar información del rastreo de contactos durante los desplazamientos;
• el certificado COVID digital de la UE, un certificado que confirma la vacunación contra el COVID-19, la recuperación de la enfermedad o una prueba negativa;
• la plataforma de intercambio de formularios de localización de pasajeros, una solución para que las autoridades nacionales de los distintos Estados miembros intercambien datos derivados del rastreo de contactos.

II El objetivo de nuestra auditoría era evaluar si la Comisión había desarrollado herramientas eficaces para facilitar los desplazamientos dentro de la UE durante la pandemia de COVID-19. Por consiguiente, procuramos identificar ejemplos de buenas prácticas y aspectos mejorables en cuanto a la forma en que la Comisión desarrolla herramientas informáticas para facilitar la libre circulación durante una crisis sanitaria. La presente auditoría complementa nuestro informe especial 13/2022, en el que se evalúa si la Comisión adoptó medidas efectivas para proteger el derecho de las personas a la libre circulación durante la pandemia de COVID-19.

III En general, concluimos que, a pesar de su limitada competencia en materia de política de salud pública, la Comisión actuó con celeridad para proponer soluciones tecnológicas adecuadas con el fin de facilitar los desplazamientos dentro de la UE durante la pandemia de COVID-19. Sin embargo, el uso de estas herramientas por parte de los Estados miembros varió significativamente, por lo que su impacto a la hora de facilitar los desplazamientos fue desigual.

IV La Comisión movilizó rápidamente 71 millones de euros para el desarrollo de las herramientas, combinando varias fuentes de financiación y utilizando los contratos marco vigentes en lugar de procedimientos de licitación pública. El servicio de pasarela para el rastreo de contactos estuvo disponible poco después del inicio de la pandemia, y el certificado COVID digital de la UE, cuando se redoblaron los esfuerzos de vacunación en todo el continente. El trabajo técnico y legislativo respecto a estas herramientas fue rápido. No obstante, varios Estados miembros ya habían desarrollado sus propios formularios digitales de localización de pasajeros antes de que la solución de la UE para tales formularios estuviera disponible.

V Al diseñar las herramientas, la Comisión tuvo en cuenta los requisitos en materia de protección de datos y las buenas prácticas de seguridad informática. Sin embargo, la Comisión no está facultada para verificar que los países que utilizan la herramienta del certificado COVID digital de la UE cumplan los requisitos de seguridad informática.

VI Este certificado fue eficaz para facilitar los desplazamientos y mejoró la puesta en común de información y la coordinación en relación con las restricciones de viaje. Los Estados miembros y varios países terceros utilizaron ampliamente el sistema del certificado COVID digital de la UE y, hasta marzo de 2022, se habían emitido más de 1 700 millones de certificados en los Estados de la UE y del Espacio Económico Europeo (EEE). Además, en el plazo de un mes desde la entrada en vigor del Reglamento sobre el certificado COVID digital de la UE, los Estados miembros habían armonizado considerablemente sus restricciones de viaje. Sin embargo, constatamos que los trámites para que los países se informaran entre sí sobre incidentes que requerían una respuesta urgente (por ejemplo, certificados fraudulentos) llevaban mucho tiempo debido a las dificultades para identificar a los homólogos adecuados en otros países.

VII Las otras herramientas que examinamos no tuvieron el impacto previsto porque su uso fue muy limitado. Únicamente cuatro Estados miembros utilizaron el formulario digital de localización de pasajeros de la UE, mientras que otros países siguieron recurriendo a soluciones nacionales. El uso general de la plataforma para el intercambio de formularios y el servicio de pasarela para el rastreo de contactos siguió siendo reducido.

VIII A partir de estas observaciones, recomendamos a la Comisión que:

• analice y aborde los motivos de la escasa utilización de los formularios digitales de localización de pasajeros de la UE;
• optimice la comunicación de incidentes relacionados con el certificado COVID digital de la UE;
• elabore las herramientas de la UE pertinentes para futuras crisis.

Introducción

01 La libre circulación de personas alude al derecho de los ciudadanos de la UE y de sus familiares a circular y residir libremente en el territorio de los Estados miembros. Es una de las cuatro libertades fundamentales de la UE (junto con la libre circulación de mercancías, servicios y capitales) y ha ocupado un lugar central en el proyecto europeo desde su creación¹. La Directiva sobre la libertad de circulación² establece las condiciones y limitaciones aplicables.

02 La protección de la salud pública es una competencia nacional³. Por tanto, la Comisión Europea desempeña un papel limitado en la política sanitaria, centrado fundamentalmente en la coordinación⁴. Puede apoyar y complementar las acciones de los Estados miembros, que disponen de competencias sustanciales para determinar sus propias políticas sanitarias⁵.

03 En marzo de 2020, tras la detección de los primeros casos de COVID-19 en la UE, los Estados miembros comenzaron a imponer controles fronterizos y restricciones a la libre circulación de los ciudadanos, en un intento por limitar la propagación de la pandemia. No obstante, la Comisión era responsable de supervisar si estas restricciones se atenían al Derecho de la UE relativo a la libertad de circulación. Para limitar el impacto de las medidas relacionadas con el COVID-19 en la libre circulación, la Comisión adoptó diversas iniciativas con el objetivo de apoyar la coordinación entre los Estados miembros.

04 La Comisión también desarrolló las siguientes herramientas para facilitar los desplazamientos y contribuir a rastrear los casos positivos de COVID-19 (véase el anexo I para una descripción detallada de las herramientas):

• una pasarela de rastreo de contactos: el «European Federation Gateway Service» (EFGS);
• el formulario digital de localización de pasajeros (EU dPLF);
• el certificado COVID digital de la UE (CCD UE);
• una plataforma de intercambio de formularios de localización de pasajeros (ePLF).

05 Las aplicaciones de rastreo de contactos, que informan anónimamente a los usuarios de que pueden haber estado en contacto con una persona infectada, fueron una de las primeras herramientas ofrecidas. La Comisión desarrolló el vínculo entre las aplicaciones de rastreo de contactos de los distintos Estados miembros, ampliando así sus ventajas para facilitar los desplazamientos dentro de la UE.

06 Durante la pandemia, con el fin de facilitar el rastreo de los contactos durante los desplazamientos, se pidió a los pasajeros que facilitaran datos de contacto y ubicación a través de formularios de localización de pasajeros que se enviaban a las autoridades nacionales competentes. En caso de que una prueba diera positivo, las autoridades utilizaban dichos formularios para contactar a los pasajeros que habían estado sentados cerca de la persona en cuestión y advertirles de que debían hacerse una prueba de diagnóstico del COVID-19 y tomar medidas de precaución. La Comisión desarrolló el formulario digital de localización de pasajeros de la UE para simplificar el uso de formularios nacionales durante crisis sanitarias transfronterizas como la del COVID-19. El tercer programa de salud de la UE (2014-2020) incluyó una acción conjunta denominada «EU Healthy Gateways» que, antes del brote de la pandemia de COVID-19, ya había comenzado a desarrollar formularios impresos para el transporte marítimo y terrestre utilizando plantillas internacionales. La acción conjunta «EU Healthy Gateways» se utilizó posteriormente para facilitar la digitalización de los formularios de localización de pasajeros.

07 La Comisión también desarrolló el certificado COVID digital de la UE, que proporcionaba pruebas verificables y mutuamente aceptadas de que el titular había sido vacunado contra el COVID-19, había dado recientemente negativo en las pruebas de detección o se había recuperado de esta enfermedad. Los Estados miembros están obligados a aceptar esos certificados cuando, durante la pandemia de COVID-19, deciden exigir a los viajeros la prueba de que se han vacunado, han dado negativo en una prueba de detección o han superado la enfermedad.

08 La última herramienta desarrollada por la Comisión fue una plataforma para que los Estados miembros intercambiaran formularios de localización de pasajeros. La plataforma permitía a los equipos de rastreo de contactos intercambiar directamente formularios por vía electrónica, reduciendo así el tiempo necesario para informar a los viajeros en situación de riesgo.

09 En el desarrollo de las herramientas participaron varios servicios de la Comisión. La Dirección General de Salud y Seguridad Alimentaria, junto con la Dirección General de Redes de Comunicación, Contenido y Tecnologías, eran las responsables de sistema del servicio de pasarela para el rastreo de contactos. Estas dos direcciones generales también lideraron el desarrollo del certificado COVID digital de la UE, junto con la Dirección General de Justicia y Consumidores y la Dirección General de Migración y Asuntos de Interior. Además, la Dirección General de Informática proporcionó la infraestructura informática necesaria.

10 Los Estados miembros participaron en el desarrollo de estas herramientas fundamentalmente a través de la red de sanidad electrónica (véase el recuadro 1). También contribuyeron agencias de la UE como el Centro Europeo para la Prevención y el Control de las Enfermedades y la Agencia Europea de Medicamentos. El desarrollo de las herramientas de localización de pasajeros fue coordinado por los Estados miembros, como acción conjunta financiada en el marco del tercer programa de salud de la UE, la Agencia de la Unión Europea para la Seguridad Aérea y la Dirección General de Movilidad y Transportes.

11 El propósito de las herramientas de la UE era singular, en el sentido de que no existían otros sistemas que pudieran compararse en el momento en que se desarrollaron. Para que las herramientas de la UE descritas anteriormente fueran lo más eficaces posible con el fin de facilitar los desplazamientos durante la pandemia de COVID-19, era importante que todos los Estados miembros las adoptaran, de manera que su uso de datos sanitarios para gestionar los viajes en la Unión resultara coherente y se coordinaran sus restricciones de desplazamiento.

12 Además de proporcionar 71 millones de euros para financiar el desarrollo de herramientas informáticas, la Comisión puso 100 millones de euros a disposición de los Estados miembros para ayudarles a soportar la carga financiera de las pruebas de diagnóstico del COVID-19. El aumento de las pruebas y la vacunación elevó a su vez el número de certificados COVID digitales de la UE expedidos. Los desplazamientos transfronterizos dentro de la UE pueden conllevar la utilización de algunas de estas herramientas, o de todas ellas, como se describe en la ilustración 1.

Alcance y enfoque de la auditoría

13 La presente auditoría complementa nuestro informe especial anterior⁷, en el que se evaluó si la Comisión había adoptado medidas efectivas para proteger el derecho a la libre circulación de personas durante la pandemia de COVID-19. El primer informe examinaba la supervisión por la Comisión de los controles en las fronteras interiores de Schengen, las correspondientes restricciones de viaje y los esfuerzos de coordinación a escala de la UE.

14 El objetivo de esta segunda auditoría era evaluar si la Comisión había desarrollado herramientas eficaces para facilitar los desplazamientos dentro de la UE durante la crisis de COVID-19. Con esta auditoría, nos propusimos identificar ejemplos de buenas prácticas y aspectos mejorables en cuanto a la forma en que la Comisión desarrolla herramientas informáticas para facilitar la libre circulación durante una crisis sanitaria. Para responder a la pregunta de auditoría principal, formulamos las dos subpreguntas siguientes:

• ¿Desarrolló la Comisión adecuadamente las herramientas de la UE para facilitar los desplazamientos?
• ¿Utilizaron los Estados miembros las herramientas de la UE de manera generalizada, y condujo esta utilización a una mejor coordinación y puesta en común de información sobre sus restricciones de viaje?

15 La presente auditoría abarca el período comprendido entre octubre de 2020 y junio de 2022 y se centra en las cuatro herramientas de la UE referidas en el apartado 04, así como en la correspondiente financiación de la UE. No aborda la financiación de la UE para la vacunación contra el COVID-19, que evaluamos previamente en nuestro informe especial sobre la adquisición de vacunas contra el COVID-19 en la UE⁸.

16 Llevamos a cabo la auditoría mediante revisiones documentales, cuestionarios escritos y entrevistas con las partes interesadas pertinentes. Revisamos y analizamos:

• el Derecho de la UE pertinente, con el fin de identificar los principales requisitos normativos y las responsabilidades de los distintos agentes;
• documentos internos de la Comisión relativos al desarrollo técnico y la adopción jurídica del certificado COVID digital de la UE, el servicio de pasarela, el formulario digital de localización de pasajeros (EU dPLF) y una plataforma de intercambio de formularios de localización de pasajeros (ePLF);
• las publicaciones de la Comisión relativas a los desplazamientos en el contexto de la pandemia de COVID-19, como directrices, comunicaciones, propuestas de recomendación o propuestas de actos legislativos;
• las especificaciones técnicas de las herramientas, las evaluaciones de seguridad y riesgos, los informes de las pruebas de penetración y los planes de seguridad informática, para que nuestros expertos en informática pudieran verificar si las herramientas se atenían a los requisitos de seguridad.

17 Para obtener pruebas, confirmar hechos y corroborar datos recabados de otras fuentes, realizamos entrevistas de auditoría con:

• las Direcciones Generales de la Comisión de Justicia y Consumidores; Movilidad y Transportes; Salud y Seguridad Alimentaria; y Redes de Comunicación, Contenido y Tecnología;
• el Centro Europeo para la Prevención y el Control de las Enfermedades, cuyas responsabilidades incluyen los mapas de riesgo y las orientaciones respecto al COVID-19;
• las autoridades sanitarias de los Estados miembros y de terceros países;
• representantes de compañías aéreas, del sector del turismo y de las asociaciones de consumidores.

18 También realizamos una encuesta para recabar opiniones sobre el uso de tales herramientas en cada Estado miembro. De los veintisiete delegados de los Estados miembros que componen el Dispositivo de la UE de Respuesta Política Integrada a las Crisis del Consejo, trece respondieron a nuestra encuesta. Esto representa una tasa de respuesta del 48 %. Utilizamos esta encuesta para fundamentar nuestro análisis y corroborar nuestras observaciones.

Observaciones

La Comisión desarrolló soluciones tecnológicas adecuadas, pero no siempre fueron adoptadas por los Estados miembros.

19 En este apartado se examina si la Comisión desarrolló adecuadamente las herramientas para facilitar los desplazamientos durante la pandemia de COVID-19 y, en particular, si:

1. movilizó fondos de la UE rápidamente tras el inicio de la pandemia;
2. entregó las herramientas oportunamente;
3. consideró las necesidades de los Estados miembros y su disposición a utilizar las herramientas; y
4. tuvo en cuenta las preocupaciones en materia de seguridad y privacidad informáticas en relación con los datos de salud sensibles.

20 Examinamos si la elección por parte de la Comisión de las fuentes de financiación y los proveedores de servicios le permitió comenzar a trabajar en el desarrollo de las herramientas inmediatamente después del inicio de la pandemia. También examinamos el proceso de consulta para evaluar si las herramientas se ajustaban a las prioridades de los Estados miembros. Por último, evaluamos si las herramientas se atuvieron a las buenas prácticas en materia de protección de datos personales y seguridad informática.

La Comisión movilizó rápidamente fondos de la UE para las herramientas

21 La Comisión movilizó fondos de la UE procedentes de diversas fuentes, como el Instrumento de Asistencia Urgente y el programa Europa Digital. La UE asignó 71 millones de euros para el desarrollo de las herramientas. La ilustración 2 ofrece una visión general de la financiación de las herramientas por parte de la UE.

22 La financiación de la Unión para el certificado COVID digital de la UE ascendió a 50 millones de euros (43 millones procedentes del Instrumento de Asistencia Urgente y 7 millones adicionales del Programa Europa Digital). Hasta marzo de 2022, el 77 % de este presupuesto se había asignado al desarrollo y la adaptación de soluciones nacionales y a su conexión con la pasarela del certificado COVID digital de la UE: se comprometieron 21,9 millones de euros con un contratista privado y se abonaron 16,7 millones de euros en ayudas a los Estados miembros.

23 La financiación de la UE para el servicio de pasarela para el rastreo de contactos ascendió a unos 16,8 millones de euros (13 millones procedentes del Instrumento de Asistencia Urgente). La Comisión justificó esta financiación basándose en la necesidad de facilitar el intercambio de datos entre países, permitiendo que las aplicaciones nacionales notifiquen a los usuarios que hayan estado expuestos a otro usuario que utilice una aplicación nacional diferente y que haya dado un resultado positivo en una prueba de COVID-19.

24 La plataforma de intercambio de formularios de localización de pasajeros y el formulario digital de localización de pasajeros de la UE requirieron mucha menos financiación de la UE: a la plataforma de intercambio se le asignaron unos 2,9 millones de euros (fundamentalmente del Instrumento de Asistencia Urgente) y a los formularios digitales, 1,3 millones de euros (con financiación procedente de los Programas de Salud de la UE). La financiación asignada a la plataforma de intercambio se utilizó para financiar un proyecto piloto destinado a comprobar la viabilidad de la plataforma, y a ampliar su escala para cubrir más Estados miembros y modos de transporte. La financiación de la versión digital de los formularios de localización de pasajeros se utilizó para el desarrollo, el alojamiento en la nube y la transferencia de la herramienta al entorno informático de la Comisión Europea.

25 Además, tras el lanzamiento del certificado COVID digital de la UE, la Unión facilitó 100 millones de euros para financiar las pruebas de diagnóstico del COVID-19 en los Estados miembros⁹. Esta financiación se produjo tras el acuerdo político de 20 de mayo de 2021 entre el Parlamento Europeo y el Consejo sobre el Reglamento relativo al certificado COVID digital de la UE. Los Estados miembros utilizaron la mayor parte (90 %) de esta asignación, lo que permitió emitir certificados adicionales basados en pruebas para facilitar los desplazamientos.

26 Constatamos que la Comisión había movilizado estos fondos rápidamente y había adoptado un enfoque pragmático respecto al desarrollo de las herramientas que reflejó la necesidad de proporcionarlas rápidamente. Las herramientas se desarrollaron con limitaciones de tiempo, sin solicitar ofertas a distintos contratistas. En lugar de recurrir a licitaciones para obtener licencias y desarrollar el servicio de pasarela de rastreo de contactos, el certificado digital de la UE y la plataforma para el intercambio de formularios de localización de pasajeros, la Comisión utilizó contratos marco que había firmado previamente con un proveedor de servicios informáticos el 30 de octubre de 2019 y el 24 de febrero de 2020. Los contratos marco establecen las condiciones generales de una relación comercial y proporcionan una base para la firma de contratos específicos correspondientes a entregas individuales. En el caso de los formularios digitales de localización de pasajeros de la UE, los primeros fondos se movilizaron en julio de 2020, en el marco de la acción conjunta «EU Healthy Gateways», mediante la reasignación de fondos de actividades que no resultaron posibles debido a la pandemia.

27 En el caso del certificado COVID digital de la UE, la Comisión seleccionó al proveedor utilizando un contrato marco adjudicado mediante un procedimiento negociado que se puso en marcha en 2019 sin publicar un anuncio de licitación. Según la Comisión, el proveedor seleccionado tenía experiencia en el desarrollo de la pasarela para el rastreo de contactos y era el único que disponía de los conocimientos técnicos necesarios en el software que debía utilizarse para el certificado COVID digital de la UE.

La Comisión desarrolló oportunamente el servicio de pasarela de rastreo de contactos y el sistema del certificado COVID digital de la UE, pero, en el caso de los formularios de localización de pasajeros, las soluciones nacionales estuvieron disponibles antes que las de la UE

28 Cuando la Organización Mundial de la Salud declaró que el COVID-19 constituía una pandemia en marzo de 2020, los Estados miembros comenzaron a imponer restricciones a la libre circulación¹⁰ y la Comisión empezó a emitir directrices para facilitar la coordinación entre ellos¹¹. El servicio de pasarela para el rastreo de contactos empezó a funcionar siete meses después de la declaración de la pandemia, y el certificado COVID digital de la UE y el formulario de localización de pasajeros entraron en funcionamiento 15 meses después de esa fecha. En la ilustración 3 figura el calendario para el diseño y la ejecución de las herramientas. Teniendo en cuenta los requisitos jurídicos y técnicos de estas herramientas que se describen a continuación, consideramos que el servicio de pasarela para el rastreo de contactos y el certificado digital COVID de la UE se desarrollaron de manera oportuna, pero no así las herramientas relativas a los formularios de localización de pasajeros.

29 La primera herramienta desarrollada fue el servicio de pasarela para el rastreo de contactos, un sistema a escala de la UE para garantizar la interoperabilidad entre las aplicaciones nacionales de rastreo de contactos. El 13 de mayo de 2020, la Comisión publicó un conjunto de directrices y recomendaciones para ayudar a levantar gradualmente las restricciones de desplazamiento¹² impuestas por los Estados miembros. Las directrices fomentaron el uso de la tecnología con ese fin. El servicio de pasarela entró en funcionamiento en octubre de 2020, cinco meses después de que la Comisión publicara las directrices.

30 Al final de abril de 2020, solo un mes después de que se impusieran las primeras restricciones, la acción conjunta «EU Healthy Gateways» presentó una propuesta a la Comisión para digitalizar los formularios de localización de pasajeros. Sin embargo, los debates entre la Comisión y los Estados miembros duraron varios meses y la propuesta se aceptó en agosto de 2020. El Consejo recomendó¹³ el desarrollo de un formulario digital común de localización de pasajeros de la UE en octubre de 2020. Para entonces, varios Estados miembros se encontraban ya en una fase avanzada de desarrollo de sus propias soluciones nacionales (véase el cuadro 1).

31 Siguiendo la recomendación del Consejo, la Comisión comenzó a trabajar en la plataforma para el intercambio de formularios de localización de pasajeros en noviembre de 2020. Sin embargo, la decisión de ejecución¹⁴ de la Comisión que rige el intercambio de formularios no se adoptó hasta el 27 de mayo de 2021. Los Estados miembros únicamente pudieron empezar a intercambiar en la práctica formularios digitales en la plataforma en julio de 2021.

32 El certificado COVID digital de la UE fue la cuarta herramienta desarrollada por la Comisión. El trabajo en este instrumento comenzó más tarde que en las demás herramientas, ya que estaba estrechamente vinculado con el proceso de vacunación de la UE. La Comisión y los Estados miembros llevaban debatiendo sobre un certificado de vacunación contra el COVID-19 desde noviembre de 2020 en la red de sanidad electrónica¹⁵ (véase el recuadro 1), donde Estonia presentó el primer proyecto piloto de un certificado de vacunación digitalmente verificable.

33 El 21 de diciembre de 2020, la Agencia Europea de Medicamentos recomendó la autorización de la primera vacuna y unos días después comenzaron las primeras vacunaciones en toda la UE. Un mes más tarde, el 28 de enero de 2021, los países de la UE adoptaron directrices básicas respecto a una prueba interoperable de vacunación con fines médicos¹⁶, un identificador único del certificado y los principios de un marco de confianza.

34 El acuerdo político de 20 de mayo de 2021 entre el Parlamento Europeo y el Consejo sobre el Reglamento relativo al certificado COVID digital de la UE estableció el final de junio como plazo límite para aplicar el plan. Por lo tanto, la Comisión tuvo que trabajar en el desarrollo técnico en paralelo con la labor legislativa sobre el Reglamento¹⁷. Al diseñar la arquitectura técnica, tuvo en cuenta la experiencia previa con el servicio de pasarela de rastreo de contactos, lo que le permitió agilizar el desarrollo de la herramienta. El 17 de marzo de 2021, la Comisión finalizó su propuesta legislativa¹⁸. Siete países comenzaron a utilizar el certificado COVID digital de la UE el 1 de junio de 2021, un mes antes de la entrada en vigor del Reglamento, lo que permitió que se expidieran, verificaran y aceptaran en toda la UE los certificados de sus ciudadanos y residentes. El 1 de julio, todos los Estados miembros de la UE y del EEE (excepto Irlanda, que se incorporó el 14 de julio de 2021 tras sufrir un ciberataque contra su servicio nacional de salud en mayo de 2021) estaban conectados al servicio de pasarela del certificado COVID digital de la UE.

35 El Parlamento Europeo y el Consejo adoptaron el Reglamento el 14 de junio de 2021, menos de tres meses después de la propuesta inicial¹⁹. La tramitación fue muy rápida, teniendo en cuenta que la duración media del procedimiento legislativo respecto a la legislación de la UE adoptada en primera lectura es ligeramente inferior a dieciocho meses²⁰. Esto significa que el certificado COVID digital de la UE pudo ponerse en marcha justo cuando se iniciaba el período de vacaciones de verano y cuando se redoblaban las tareas de vacunación en todo el continente: el 10 de julio de 2021, la UE recibió dosis suficientes para vacunar al 71 % de su población adulta.

Al desarrollar algunas de las herramientas, la Comisión no logró superar las reservas de algunos Estados miembros

36 La necesidad de entregar las herramientas rápidamente y facilitar los desplazamientos durante la pandemia de COVID-19 llevó a la Comisión a comenzar a desarrollarlas sin realizar evaluaciones de impacto. Tales evaluaciones se utilizan para determinar los efectos probables de las políticas públicas y establecer si es necesaria una acción de la UE. Las directrices de la UE para la mejora de la legislación²¹ exigen que la Comisión, en circunstancias normales, lleve a cabo una evaluación del impacto de las políticas antes de adoptar cualquier nueva normativa. Sin embargo, también reconocen que, en circunstancias extraordinarias, tales como una emergencia que requiere una respuesta rápida, puede que no sea posible o apropiado seguir todos los pasos que prescriben.

37 Aunque no realizó una evaluación de impacto, la Comisión consultó a los Estados miembros sobre la pasarela para el rastreo de contactos y la certificación digital a través de grupos de trabajo. Ya en diciembre de 2020, un subgrupo técnico en la red de sanidad electrónica analizó las opciones de apoyo a los certificados de vacunación digital y facilitar la puesta en común de esta información entre los Estados miembros. La Comisión no realizó tales consultas detalladas antes de proceder al desarrollo de las otras herramientas. Nuestra encuesta confirmó que no todos los Estados miembros estaban interesados en utilizar todas las herramientas de la UE que examinamos.

38 Según nuestra encuesta, casi la mitad de los once Estados miembros que declararon no haber utilizado las herramientas del formulario de localización de pasajeros se mostraron reacios a tal utilización por motivos relacionados con la protección de datos y otros problemas jurídicos. Tres Estados miembros señalaron que ya habían desarrollado sus propios formularios nacionales de localización de pasajeros, adaptados a sus necesidades individuales, y no veían ningún beneficio en el cambio a las soluciones de la UE.

39 Por otra parte, en las consultas sobre «Healthy Gateways» que tuvieron lugar en octubre de 2021 y marzo de 2022, las opiniones de los Estados miembros sobre la utilidad de las herramientas de localización de pasajeros fueron dispares. Cinco Estados miembros de la UE utilizaban al menos una de las herramientas y diez expresaron su interés en emplearlas, pero doce afirmaron que era poco probable que lo hicieran, y dos de ellos (Dinamarca y Suecia) declararon que no estaban interesados en utilizarlas.

40 En el caso del servicio de pasarela para el rastreo de contactos, no todos los Estados miembros se incorporaron cuando la solución estuvo disponible en septiembre de 2020. Los Estados miembros se incorporaron gradualmente, dependiendo de su voluntad y de si sus aplicaciones se encontraban listas. A mediados de noviembre de 2020, seis Estados miembros habían conectado sus aplicaciones. Otros lo hicieron progresivamente hasta julio de 2021, fecha en la que se encontraban conectados diecinueve Estados miembros.

La Comisión abordó las cuestiones relativas a la protección de datos y aplicó buenas prácticas en materia de seguridad informática

41 Dos riesgos importantes que deben abordarse al desarrollar herramientas para gestionar los datos de salud²² son:

1. La protección de datos: los datos de salud son muy sensibles y están reconocidos por el Reglamento general de protección de datos como una categoría especial de datos²³. Por tanto, las herramientas utilizadas para gestionarlos deben incluir salvaguardas y controles específicos para proteger la información almacenada y enviada. Examinamos las evaluaciones de impacto en materia de protección de datos realizadas respecto a las herramientas y valoramos si los procesos establecidos minimizaban el tratamiento de los datos personales.
2. Seguridad informática: la digitalización de los servicios sanitarios y el acceso a los historiales médicos digitales elevan el riesgo de incidentes de ciberseguridad, ya que ofrecen nuevos puntos de acceso potenciales a los ciberdelincuentes. Por lo tanto, evaluamos si las herramientas se habían desarrollado y se utilizaban de acuerdo con las buenas prácticas de seguridad²⁴.

42 Desde la perspectiva de la protección de datos, los Estados miembros participantes son «corresponsables del tratamiento de datos» (en el sentido del Reglamento general de protección de datos) para las aplicaciones a escala de la UE, como el servicio de pasarela para el rastreo de contactos y algunas características específicas del certificado COVID digital de la UE. Comparten la responsabilidad de decidir cómo y con qué objetivos se tratan los datos personales, y de establecer los controles apropiados. Cada uno de ellos debe preparar evaluaciones de impacto en materia de protección de datos para identificar y mitigar los riesgos derivados del uso de dichas aplicaciones para tratar datos personales. La Comisión, que actúa como «encargado del tratamiento de datos» en su nombre, asistió a los Estados miembros en la preparación de sus evaluaciones de impacto en materia de protección de datos respecto a las herramientas de la UE objeto del presente informe, mediante la provisión de documentación acreditativa y de plantillas²⁵. El uso de estas plantillas fue voluntario, y la Comisión no era responsable de supervisar si los Estados miembros las utilizaban o no.

43 El certificado COVID digital de la UE y el servicio de pasarela para el rastreo de contactos adoptaron una arquitectura técnica que minimizaba la recogida de datos personales a través de las pasarelas centrales de la UE. En el caso del certificado COVID digital de la UE, los datos personales de los ciudadanos de la Unión permanecían en los sistemas nacionales, bajo la responsabilidad de sus respectivos Estados miembros. La pasarela central recibía únicamente la información criptográfica (y posteriormente las listas de revocación) necesaria para que las autoridades nacionales verificaran la validez de los certificados. El servicio de pasarela para el rastreo de contactos, procesaba únicamente datos personales seudonimizados, en forma de identificadores aleatorios, conocidos como «claves», generados por las aplicaciones de rastreo de contactos. Este enfoque reducía considerablemente los riesgos en materia de protección de datos.

44 El Reglamento sobre el certificado COVID digital de la UE no establecía un proceso normalizado para la revocación de los certificados si, por ejemplo, se determinaba que eran fraudulentos. Los países participantes eran libres de aplicar la solución técnica de su elección. La Comisión no era responsable de evaluar la solidez de estas soluciones desde la perspectiva de la protección de datos.

45 Para garantizar que un certificado revocado pudiera identificarse en otros países, los Estados miembros habrían tenido que intercambiar bilateralmente información en forma de listas de revocación. Una preocupación planteada durante nuestra auditoría fue que tal intercambio bilateral, en el que participaban diferentes agentes y soluciones de revocación, era ineficiente, especialmente a medida que aumentaba el número de nuevos certificados.

46 Para abordar estas cuestiones, el 30 de marzo de 2022, ocho meses después de la introducción del certificado COVID digital de la UE, la Comisión publicó especificaciones y normas técnicas con el fin de establecer un mecanismo más eficiente para intercambiar listas de revocación a través de la pasarela central. En las especificaciones se recomendaban asimismo tres tecnologías para distribuir las listas de revocación desde las bases de datos nacionales a las aplicaciones utilizadas para verificar los certificados. Si se aplican correctamente, se puede considerar que estas soluciones propuestas preservan la privacidad, aunque una de ellas (filtros de Bloom) tenía en cuenta las cuestiones de privacidad mucho mejor que las otras dos²⁶. En cualquier caso, el uso de estas soluciones era voluntario y la Comisión no era competente para supervisar si los Estados miembros las aplicaban.

47 Los riesgos de seguridad informática se pueden abordar y mitigar con un marco de seguridad informática estructurado²⁷, que suele incluir varios elementos, como mecanismos de gobernanza, políticas de seguridad, requisitos y normas. También comprende buenas prácticas como la búsqueda activa de puntos débiles («escaneos de vulnerabilidades») y la prueba activa de defensas («pruebas de penetración»).

48 La Comisión cuenta con su propio marco de seguridad informática²⁸, que se aplica a todos los sistemas de información alojados en sus centros de datos, incluidas las pasarelas de rastreo de contactos y de expedición del certificado COVID digital de la UE. El marco se atiene a normas internacionales²⁹. Exige a la Comisión que lleve a cabo una evaluación de riesgos para cada sistema informático, que aborde los riesgos pertinentes con un plan de seguridad informática y que aplique un conjunto de políticas y normas de seguridad formales.

49 La Comisión adoptó medidas razonables para garantizar la seguridad informática en relación con el servicio de pasarela para el rastreo de contactos. Una empresa especializada llevó a cabo una evaluación de seguridad del diseño y el código fuente del servicio de pasarela cuando el sistema entró en funcionamiento (octubre de 2020), y no detectó insuficiencias relevantes. Se llevaron a cabo tres ejercicios de piratería informática ética para obtener una mayor garantía de la seguridad de la pasarela.

50 La Comisión también definió los requisitos mínimos de seguridad para las aplicaciones nacionales de rastreo de contactos que se conectan a la plataforma de intercambio servicio de pasarela para el rastreo de contactos. Nuestro análisis de esta arquitectura de seguridad y las respuestas a las encuestas de los Estados miembros nos permitieron determinar que el proceso técnico de conexión de los sistemas nacionales con la pasarela de la UE («incorporación») se había estructurado y abordaba los aspectos de seguridad informática pertinentes.

51 En cuanto al certificado COVID digital de la UE, la Dirección General de Informática realizó evaluaciones de vulnerabilidad de la pasarela, y un contratista independiente llevó a cabo pruebas de penetración adicionales. Las pruebas confirmaron que la pasarela central se había diseñado de forma que garantizara un alto nivel de seguridad. La mayoría de los problemas detectados se referían a la infraestructura, más que al código fuente. Se llevó a cabo un seguimiento de las vulnerabilidades identificadas. Los consultores que realizaron las pruebas de penetración en la pasarela recomendaron que se efectuara una auditoría completa de más componentes, incluidos los que pueden utilizarse a escala nacional, como el servicio de expedición de certificados o las aplicaciones móviles. Esta auditoría adicional concluyó en abril de 2022 y no puso en duda la arquitectura de seguridad de la herramienta.

52 Los Estados miembros y los terceros países participantes en el sistema del certificado COVID digital de la UE generaban los certificados en sus sistemas nacionales. Si los sistemas nacionales se hubieran visto comprometidos y partes no autorizadas hubieran obtenido acceso, los usuarios malintencionados podrían haber emitido certificados válidos, pero fraudulentos. La difusión generalizada de estos certificados podría haber afectado a la libertad de circulación al socavar la confianza en el certificado COVID digital de la UE, elevando así el riesgo de que los Estados miembros reintrodujeran restricciones adicionales. Por tanto, era importante garantizar que los sistemas nacionales incluyeran controles de seguridad adecuados.

53 Para los controles de seguridad en los sistemas de los países participantes, la Comisión también se sirvió de cuestionarios de autoevaluación cumplimentados por dichos países, pero carecía de autoridad para verificar su cumplimiento en la práctica (por ejemplo, revisando informes sobre escaneos de vulnerabilidades, informes de auditoría, planes de acción o certificaciones internacionales). Esto limitó las garantías respecto al nivel de seguridad de los sistemas nacionales.

54 Nuestras entrevistas confirmaron que se había producido un incidente de seguridad informática en un país no perteneciente a la UE. La solución nacional del país presentaba una vulnerabilidad, lo que permitía a usuarios no autorizados acceder a la aplicación y generar certificados ilegales a escala nacional, hasta que el incidente se detectó y se resolvió. Según el informe sobre el incidente realizado por el país en cuestión, el caso solo afectó a un número reducido de certificados.

55 No existen soluciones técnicas capaces de atenuar todos los riesgos y, por ejemplo, ni siquiera los controles de seguridad de última generación pueden impedir que el personal autorizado con acceso legítimo a los sistemas nacionales abuse de sus facultades para generar certificados fraudulentos.

56 Por tanto, la notificación y el tratamiento de incidentes como los de los certificados fraudulentos exigen un intercambio rápido de información entre las autoridades competentes. Los Estados miembros y los países terceros a los que consultamos nos comunicaron que la notificación de tales sucesos lleva tiempo debido a las dificultades para identificar a las instituciones homólogas adecuadas en otros países.

57 Respecto a los formularios digitales de localización de pasajeros y a la plataforma de intercambio de la UE, se aplicaron las siguientes prácticas de seguridad informática recomendadas³⁰: autenticación de dos factores, protocolos de comunicación seguros, cortafuegos de aplicaciones web y controles de seguridad del acceso físico. El contratista también llevó a cabo una evaluación de riesgos informáticos y estableció un procedimiento estructurado para la incorporación de países al sistema.

58 Sin embargo, la primera prueba de penetración de dicho sistema no tuvo lugar hasta marzo de 2022, un año después de que se conectara el primer país. Tras la prueba, el proveedor de servicios externo desarrolló un plan de ejecución para tratar los resultados. Esto significa que el sistema estuvo funcionando durante un año con vulnerabilidades no detectadas.

El impacto de las herramientas de la UE en la facilitación de los desplazamientos durante la pandemia de COVID-19 fue desigual.

59 En este apartado se examina si las herramientas de la UE facilitaron los desplazamientos en la Unión durante los primeros años de la pandemia de COVID-19. En particular, evaluamos si las herramientas:

1. fueron utilizadas ampliamente por los Estados miembros, ya que tal utilización es necesaria para que resulten eficaces; y
2. mejoraron la coordinación y el intercambio de información entre los Estados miembros en relación con su imposición de restricciones a los desplazamientos, abordando así dos cuestiones que, según constataciones anteriores, obstaculizaban los desplazamientos dentro de la UE³¹.

60 Recopilamos y analizamos los datos sobre el uso de las herramientas por parte de los Estados miembros. También comparamos las restricciones de viaje impuestas por los Estados miembros antes y después de la introducción del certificado COVID digital de la UE.

Las herramientas del formulario de localización de pasajeros de la UE y el servicio de pasarela para el rastreo de contactos no tuvieron el efecto previsto debido a su uso limitado en los Estados miembros

61 Las herramientas de la UE debían utilizarse ampliamente para lograr su impacto previsto. En el cuadro 2 se resume el uso de las herramientas por cada Estado miembro. Muestra que el certificado COVID digital de la UE fue la única herramienta utilizada en todos los Estados miembros.

62 El uso que los Estados miembros hicieron de los formularios digitales de localización de pasajeros y de la plataforma de intercambio de la UE no fue suficiente para ejercer un impacto significativo en la contención de la propagación del COVID-19 y en la facilitación de los desplazamientos seguros.

63 El formulario digital de localización de pasajeros de la UE³² solo lo utilizaron cuatro Estados miembros, mientras que otros diecisiete siguieron confiando en soluciones nacionales. De los casi 27 millones de formularios que se habían expedido hasta febrero de 2022, el 91,6 % (24,7 millones) eran italianos.

64 Del mismo modo, el uso de la plataforma de intercambio fue muy limitado. Aunque, en teoría, la herramienta podía utilizarse para intercambiar información procedente de cualquier plataforma nacional, fue adoptada fundamentalmente por aquellos países que también utilizaban los formularios de la UE. El uso general de la plataforma siguió siendo escasamente significativo, con solo tres formularios intercambiados en 2021 y 253 en los dos primeros meses de 2022. Los 256 formularios, salvo uno, procedían de España.

65 La utilización de aplicaciones para el rastreo de contactos varió significativamente entre los Estados miembros. Algunos de ellos no adoptaron ninguna aplicación para el rastreo de contactos. En los que sí lo hicieron, la adopción efectiva de la herramienta por la población fue limitada. Las descargas de todas las aplicaciones de rastreo de contactos por ciudadanos de la UE ascendieron a 74 millones (hasta octubre de 2021). Sin embargo, no hay estadísticas en el ámbito de la UE sobre cuántas personas las utilizaban en realidad.

66 El número total de casos confirmados de COVID-19 superaba los 522 millones³³ a 22 de mayo de 2022, fecha en la que se habían cargado 55 millones de claves. Los datos del servicio de pasarela para el rastreo de contactos ponen de relieve un uso desigual de las herramientas de rastreo entre los Estados miembros, con un 83 % de las claves cargadas únicamente por usuarios de Alemania (véase el anexo II).

67 En general, las herramientas examinadas se desarrollaron para abordar necesidades emergentes, lo que dificultó la generación sistemática de sinergias entre ellas. Por ejemplo, a pesar de su vinculación intrínseca, el formulario digital de localización de pasajeros de la UE y la plataforma para el intercambio de tales formularios se desarrollaron por separado (por parte de la acción conjunta «Healthy Gateways» de la UE y de la Agencia de la Unión Europea para la Seguridad Aérea, respectivamente). Del mismo modo, las directrices para combinar el certificado COVID digital de la UE y los formularios de localización de pasajeros estuvieron disponibles en el ámbito de la UE tras los respectivos despliegues de esas herramientas, pero hasta el momento no se han puesto en práctica.

68 Dado que las herramientas se diseñaron para funcionar a corto plazo, no existen procedimientos flexibles para utilizarlas a un plazo más largo o reactivarlas rápidamente en caso de que sean necesarias en el futuro. Por ejemplo, la base jurídica actual del certificado COVID digital de la UE expira en junio de 2023 y requeriría una renovación por parte del Parlamento Europeo y del Consejo a propuesta de la Comisión. Durante nuestra auditoría, la Comisión señaló que resultaría extremadamente difícil, tanto desde el punto de vista jurídico como técnico, restablecer la certificación en un plazo breve.

Los Estados miembros utilizaron ampliamente el certificado COVID digital de la UE, lo que facilitó los desplazamientos

69 El servicio de pasarela de la UE para el certificado COVID digital de la UE entró en funcionamiento el 1 de junio de 2021, con siete Estados miembros conectados. En el plazo de un mes y medio, los veintisiete Estados miembros de la UE se habían conectado. La solución propuesta por la Comisión también suscitó gran interés fuera de la UE. En julio de 2022, cuarenta y cinco países y territorios no pertenecientes a la Unión habían adoptado el marco de la UE para el certificado COVID digital de la UE.

70 A 13 de octubre de 2021, los Estados miembros habían emitido 585 millones de certificados. Cinco meses después, se habían emitido 1 700 millones de certificados, la mayoría de ellos (1 100 millones) basados en la vacunación. Esta cifra es superior a la población de la UE porque una persona puede tener varios certificados (por ejemplo, alguien puede obtener dos certificados de prueba diagnóstica antes de ser vacunado). Se creó un certificado COVID digital de la UE después de cada dosis de vacuna, recuperación de la enfermedad o prueba diagnóstica. Además de facilitar los desplazamientos, el certificado COVID digital de la UE se utilizó en los Estados miembros para controlar el acceso a espacios públicos como restaurantes o teatros. En la ilustración 4 se presenta un desglose de estos 1 700 millones de certificados COVID digitales de la UE por Estado miembro.

71 Las herramientas tratadas en el presente informe tenían por objeto facilitar un desplazamiento seguro. Muchos Estados miembros habían decidido, a causa de la pandemia, establecer diversas restricciones de viaje. En nuestro informe especial sobre la libre circulación en la UE durante la pandemia de COVID-19³⁴, concluimos que, en junio de 2021, los Estados miembros seguían aplicando numerosas restricciones de viaje no coordinadas, incluidas la realización de pruebas RCP, los requisitos en cuanto a la realización de cuarentenas y las prohibiciones de entrada.

72 En efecto, hasta la entrada en vigor del certificado digital de la UE, las restricciones de entrada aplicadas a los viajeros se basaban en el riesgo para la salud en la zona geográfica de la que procedían. Esto cambió en julio de 2021 con la introducción del Reglamento sobre el certificado COVID digital de la UE, tras la cual las restricciones pronto comenzaron a aplicarse gradualmente a las personas en lugar de a las zonas geográficas, y se basaron fundamentalmente en la posesión de un certificado válido.

73 Además de este cambio en la naturaleza de las restricciones de viaje, el Reglamento sobre el certificado COVID digital de la UE introdujo asimismo un nuevo mecanismo formal para mejorar el intercambio de información sobre tales restricciones. Desde la entrada en vigor del Reglamento, los Estados miembros han tenido que informar a la Comisión y a los demás Estados miembros si se proponían adoptar nuevas restricciones. Tales notificaciones deben incluir los motivos y el alcance y la duración de las restricciones adicionales. En marzo de 2022, trece Estados miembros habían presentado información con arreglo a esta disposición.

74 En julio de 2021, la consulta de la Comisión sobre las restricciones de viaje puso de relieve que todos los Estados miembros (excepto Grecia, Hungría e Italia, que respondieron más tarde) habían levantado sus restricciones para los titulares de un certificado COVID digital de la UE. La ilustración 5 muestra las diferencias en las restricciones de viaje antes y justo después de la introducción del sistema de certificación (junio y julio de 2021). Doce de los trece encuestados que respondieron coincidieron en que el certificado COVID digital de la UE había ayudado a coordinar las restricciones de viaje entre los Estados miembros.

Conclusiones y recomendaciones

75 Concluimos que, a pesar de su limitada competencia en materia de política de salud pública, la Comisión actuó con celeridad para proponer soluciones tecnológicas adecuadas capaces de facilitar los desplazamientos dentro de la UE durante la pandemia de COVID-19. Sin embargo, el impacto de algunas de estas herramientas depende de la voluntad de los Estados miembros de utilizarlas. Aunque el certificado COVID digital de la UE obtuvo un fuerte apoyo y resultó efectivo para facilitar los desplazamientos, el impacto de las demás herramientas fue modesto debido a su uso limitado.

76 La Comisión movilizó rápidamente 71 millones de euros para el desarrollo de las herramientas, combinando varias fuentes de financiación y utilizando los contratos marco vigentes en lugar de procedimientos de licitación pública. El propósito de las herramientas era singular, en el sentido de que no existen otros sistemas que puedan compararse (apartados 21 a 27).

77 La Comisión entregó oportunamente el servicio de pasarela para el rastreo de contactos y el certificado COVID digital de la UE. El servicio de pasarela, diseñado para garantizar la interoperabilidad entre las aplicaciones de rastreo de contactos, entró en funcionamiento en octubre de 2020, siete meses después de que la Organización Mundial de la Salud declarara que el COVID-19 constituía una pandemia. El desarrollo técnico del certificado COVID digital de la UE se benefició de la experiencia previa con la pasarela para el rastreo de contactos y se completó antes de que los Estados miembros hubieran finalizado la ejecución de sus planes de vacunación. El proceso legislativo para adoptar el certificado COVID digital de la UE también fue mucho más rápido de lo habitual (apartados 28 a 35).

78 La Comisión no logró superar las reservas de algunos Estados miembros respecto al uso de las soluciones de la UE para los formularios de localización de pasajeros, que se entregaron después de que varios Estados miembros hubieran desarrollado ya sus propias herramientas. Esto dio lugar a que las soluciones de la UE solo fueran utilizadas por cinco Estados miembros (apartados 36 a 40).

Recomendación 1 – Abordar los motivos de la escasa utilización de los formularios digitales de localización de pasajeros de la UE

La Comisión debería abordar los motivos que subyacen a la escasa utilización del formulario digital de localización de pasajeros y de la plataforma de intercambio de la UE, y promover una mayor adopción de estas herramientas por parte de los Estados miembros en las futuras fases de la pandemia de COVID-19.

Fecha de aplicación prevista: Diciembre de 2023

79 En general, la Comisión tuvo en cuenta los requisitos en materia de protección de datos y las buenas prácticas de seguridad informática al diseñar las herramientas. Las herramientas de la UE minimizan el uso de datos personales (apartados 42 a 43). Por lo general, las evaluaciones de riesgos de seguridad y las pruebas de penetración se llevaron a cabo de manera sistemática, con la única excepción de algunas pruebas de seguridad demoradas relativas al formulario digital de localización de pasajeros de la UE, lo que significa que la herramienta estuvo funcionando durante un año con vulnerabilidades no detectadas (apartados 47 a 51 y 57 y 58).

80 En cuanto al certificado digital de la UE, los países participantes tuvieron que intercambiar bilateralmente listas de certificados fraudulentos utilizando diferentes canales de comunicación. Este enfoque da lugar a que el bloqueo de certificados fraudulentos resulte menos eficaz. En marzo de 2022, la Comisión había propuesto soluciones viables para abordar esta cuestión, pero de carácter voluntario (apartados 44 a 46). Por otra parte, los trámites para que los países se informen mutuamente de los incidentes que requieren una respuesta urgente (por ejemplo, certificados fraudulentos) llevan mucho tiempo (apartados 55 y 56).

Recomendación 2 – Optimizar la comunicación de incidentes relacionados con el certificado COVID digital de la UE

La Comisión debería facilitar la comunicación directa entre las personas de contacto oficiales de cada país participante en el sistema del certificado COVID digital de la UE, con el fin de optimizar la comunicación en caso de emergencias vinculadas a los certificados.

Fecha de aplicación prevista: junio de 2023

81 Puesto que los códigos utilizados en el certificado COVID digital de la UE eran generados por los sistemas nacionales de los países participantes, era importante que estos sistemas incluyesen controles de seguridad adecuados. La Comisión se basó en las autoevaluaciones de seguridad informática realizadas por los países participantes, ya que carece autoridad para verificar su conformidad real con los requisitos de seguridad. Esto limita las garantías respecto al nivel de seguridad de los sistemas nacionales (apartados 52 a 54).

82 Los formularios de localización de pasajeros de la UE y el servicio de pasarela para el rastreo de contactos no tuvieron el efecto previsto debido a que su uso fue limitado. Únicamente cuatro Estados miembros utilizaron el formulario digital de localización de pasajeros de la UE, mientras que otros países siguieron recurriendo a soluciones nacionales. El uso general de la plataforma para intercambiar formularios de localización de pasajeros siguió siendo escasamente significativo: solo se intercambiaron 3 formularios en 2021 y 253 en los dos primeros meses de 2022. El uso del servicio de pasarela para el rastreo de contactos se vio limitado por la escasa adopción de las aplicaciones de rastreo de contactos por parte de los Estados miembros, y la gran mayoría del tráfico la generó un solo país (apartados 61 a 67).

83 Las herramientas que examinamos se desarrollaron para abordar necesidades emergentes y funcionar de forma independiente entre sí. Esto, combinado con la diversidad de soluciones nacionales respecto a los formularios de localización de pasajeros, dificultó aún más garantizar una adopción uniforme de las herramientas de la UE. Las herramientas también se diseñaron para funcionar a corto plazo en respuesta a la crisis sanitaria. No existen procedimientos específicos para utilizarlas a un plazo más largo o reactivarlas rápidamente en caso de que sean necesarias en el futuro. La base jurídica actual del certificado COVID digital de la UE expira en junio de 2023 y requeriría una renovación con arreglo al procedimiento legislativo habitual de la Unión (apartado 68).

84 Determinamos que el certificado COVID digital de la UE había sido eficaz para facilitar los desplazamientos durante la pandemia de COVID-19. Los Estados miembros y varios países terceros utilizaron ampliamente los certificados y, hasta marzo de 2022, se habían emitido más de 1 700 millones de certificados COVID digitales de la UE en los Estados de la Unión o del Espacio Económico Europeo (EEE). Además, observamos que, en el plazo de un mes desde la entrada en vigor del Reglamento sobre el certificado COVID digital de la UE, los Estados miembros habían armonizado considerablemente sus restricciones de viaje. Más concretamente, todos los Estados miembros habían eliminado tales restricciones para los ciudadanos de la UE titulares de un certificado COVID digital de la UE por haber recibido la vacunación completa, haber dado recientemente negativo en pruebas de detección del COVID-19 o haberse recuperado de la enfermedad.

85 Asimismo, el certificado COVID digital de la UE mejoró el intercambio de información y la coordinación en relación con las restricciones de viaje, ya que la normativa aplicable exige a los Estados miembros que comuniquen y justifiquen la adopción de tales restricciones (apartados 69 a 74).

Recomendación 3 – Elaborar las herramientas pertinentes de la UE para futuras crisis

Recomendamos a la Comisión:

1. identificar las herramientas de la UE creadas durante la pandemia de COVID-19 que han resultado más útiles para los ciudadanos y los Estados miembros, y elaborar procedimientos para reactivarlas rápidamente en caso de futuras emergencias;
2. mediante sinergias o simplificaciones, hacer más fácil el acceso de los ciudadanos de la Unión a las herramientas de la UE empleadas para facilitar el rastreo transfronterizo de contactos en situaciones de crisis.
3. junto con los Estados miembros, analizar la necesidad de herramientas adicionales para abordar posibles crisis futuras.

Fecha de aplicación prevista: Septiembre de 2023 para las recomendaciones a) y c), y septiembre de 2024 para la recomendación b).

El presente informe ha sido aprobado por la Sala III, presidida por Bettina Jakobsen, Miembro del Tribunal de Cuentas, en Luxemburgo el 22 de noviembre de 2022.

Anexos

Anexo I – Descripción de las herramientas de la UE para facilitar los desplazamientos seguros durante la pandemia de COVID-19

European Federation Gateway Service

Este servicio de pasarela es un sistema que permite la interoperabilidad entre las aplicaciones nacionales de rastreo de contactos. Dichas aplicaciones se desarrollaron para informar a los ciudadanos sobre los posibles contactos de riesgo y contribuir a romper las cadenas de transmisión del COVID-19.

Una aplicación de rastreo de contactos registra continuamente los contactos con usuarios cercanos de estas mismas aplicaciones. Genera una clave (un identificador) para su usuario cada quince minutos con el fin de proteger la privacidad. La aplicación utiliza Bluetooth para detectar otros teléfonos inteligentes cercanos e intercambiar claves. Cada encuentro con otro usuario produce un intercambio de claves entre los usuarios. Esas claves se almacenan en los teléfonos de ambos.

Cuando un usuario da positivo en una prueba de detección del COVID-19, lo declara en la aplicación, que envía todas las claves del usuario de los catorce días anteriores al servidor nacional de su país. El servidor remite las claves del usuario infectado a todas las aplicaciones de los demás usuarios, donde se comparan con las claves almacenadas en el teléfono. Si se produce una coincidencia, el usuario ha estado cerca de la persona infectada y, por lo tanto, se le advierte.

La mayoría de los Estados miembros han adoptado este enfoque descentralizado, en el que la combinación de las claves de las personas infectadas se envía a las aplicaciones de los usuarios y la comparación se realiza en el teléfono de estos. Algunos Estados miembros han optado por un enfoque más centralizado, en el que la comparación de las claves y la coincidencia con los dispositivos de los usuarios se realiza en los servidores nacionales centrales.

Las plataformas nacionales de rastreo de contactos que adoptan el enfoque descentralizado y componentes tecnológicos compatibles pueden intercambiar las claves anonimizadas de personas infectadas entre sí a través del servicio de pasarela para el rastreo de contactos de la UE. Por tanto, la pasarela de rastreo de contactos permite al viajero utilizar su aplicación nacional de rastreo de contactos durante los desplazamientos en otros países conectados a la pasarela de la UE.

Formulario digital de localización de pasajeros

Las autoridades de salud pública utilizan formularios de localización de pasajeros para facilitar el rastreo de los contactos cuando los viajeros se ven expuestos a una enfermedad infecciosa durante sus desplazamientos en avión, tren, barco o autobús. La Organización Mundial de la Salud y la Organización de Aviación Civil Internacional ya habían comenzado a desarrollar estos formularios en brotes de enfermedades anteriores (en particular, el ébola).

Tradicionalmente, los países que requieren la cumplimentación de formularios de localización de pasajeros suelen utilizar formularios en papel. Sin embargo, estos formularios impresos adolecen de importantes limitaciones: pueden resultar difíciles de leer, y los datos que contienen deben introducirse manualmente en sistemas informáticos para su tratamiento automatizado. Estas limitaciones llevaron a muchos países a desarrollar versiones electrónicas. El formulario digital de localización de pasajeros de la UE es una aplicación web desarrollada para simplificar el uso de los formularios de localización de pasajeros en situaciones de amenazas transfronterizas para la salud, como el COVID-19.

El viajero cumplimenta el formulario en línea con los detalles de su viaje y recibe un código de respuesta rápida (QR) único. Este código puede ser escaneado por las autoridades competentes de los países de destino para verificar que los pasajeros han facilitado la información requerida. Su formato digital pretende facilitar y acelerar la recogida y el intercambio de datos entre las partes interesadas, con el objetivo de aumentar la eficiencia y la eficacia del rastreo de contactos.

Intercambio de formularios de localización de pasajeros

Cuando un viajero da positivo en la prueba de COVID-19, es posible que los datos de los formularios de localización de pasajeros recogidos por un país deban facilitarse de manera segura a otros países afectados con el único propósito de rastrear los contactos de COVID-19. Debido a la limitación del actual sistema europeo de intercambio de información sanitaria (sistema de alerta precoz y respuesta), la Comisión decidió desarrollar una plataforma específica para el intercambio de datos de los formularios de localización de pasajeros entre los distintos sistemas nacionales.

La plataforma de intercambio de formularios de localización de pasajeros permite la transmisión de datos cifrados de manera segura entre las autoridades nacionales competentes y no almacena ningún dato. Las autoridades de los Estados miembros pueden conectarse a través de los sistemas digitales de formularios de localización de pasajeros de la UE o nacionales.

Certificado COVID digital de la UE

El certificado COVID digital de la UE constituye una prueba de que una persona ha sido vacunada, ha dado negativo en la prueba de diagnóstico del COVID-19 o se ha recuperado de la enfermedad. Estos certificados son expedidos por las autoridades nacionales competentes.

Los certificados pueden entregarse tanto en formato impreso como electrónico. En ambos casos, contienen un código QR que los protege contra la falsificación. La seguridad de la solución se basa en el uso de claves criptográficas públicas y privadas. Existen dos claves: la privada, que se emplea para firmar digitalmente el código QR, y la pública, que permite verificar la firma digital.

Cada autoridad emisora posee su propia clave privada y la correspondiente clave pública. Las claves privadas se almacenan de forma segura, y las públicas se comparten en la base de datos central nacional. La autoridad pone su sistema de emisión a disposición de los agentes sanitarios pertinentes (por ejemplo, hospitales y centros de pruebas) previa autorización, lo que les permite firmar digitalmente los certificados.

Las aplicaciones utilizadas para verificar la autenticidad del certificado digital de la UE obtienen las claves públicas de las bases de datos nacionales. Las bases de datos nacionales intercambian claves públicas con otros países a través de la pasarela del certificado COVID digital de la UE. Por lo tanto, la pasarela permite la verificación mutua de los certificados entre diferentes países.

Anexo II – Adopción de las aplicaciones de rastreo de contactos en la UE

La adopción de aplicaciones de rastreo de contactos no fue uniforme en toda la UE. Solo en dos Estados miembros el número de descargas de tales aplicaciones superó el 50 % de la población. La ilustración que sigue muestra la diferente situación en los Estados miembros que utilizaban aplicaciones descentralizadas de localización de contactos.

Descargar la aplicación no significa necesariamente que se esté utilizando realmente el rastreo de contactos, ya que esto requiere que las aplicaciones estén activas y que los ciudadanos declaren voluntariamente sus pruebas positivas de COVID-19. Siempre que los usuarios se declaran positivos, las claves pertinentes se cargan en la pasarela de rastreo de contactos. Los datos de la pasarela indican que el uso del rastreo de contactos varía de unos Estados miembros a otros. El número de claves subidas a la pasarela pone de relieve que una abrumadora mayoría procedía de un solo país.

Glosario

Control de fronteras: Inspecciones y labores de vigilancia que se realizan en una frontera sobre las personas que la cruzan o pretenden cruzarla.

Escaneo de vulnerabilidades: Proceso de inspección de dispositivos de red, sistemas informáticos y aplicaciones para identificar problemas o puntos débiles.

Espacio Schengen: Grupo de veintiséis países europeos que han abolido los controles de pasaporte e inmigratorios en sus fronteras comunes.

Prueba de penetración: Método para evaluar la seguridad de un sistema informático intentando violar sus salvaguardias de seguridad con las herramientas y técnicas utilizadas habitualmente por los atacantes.

Responsable del tratamiento de datos: En el sentido del Reglamento general de protección de datos de la UE, persona u organización que determina cómo y con qué objetivos deben tratarse datos personales.

Respuestas de la Comisión Europea

https://www.eca.europa.eu/es/Pages/DocItem.aspx?did=62947

Cronología

https://www.eca.europa.eu/es/Pages/DocItem.aspx?did=62947

Equipo de auditoría

En los informes especiales del Tribunal de Cuentas Europeo se exponen los resultados de sus auditorías de las políticas y programas de la UE o de cuestiones de gestión relativas a ámbitos presupuestarios específicos. El Tribunal de Cuentas Europeo selecciona y concibe estas tareas de auditoría con el fin de que tengan la máxima repercusión teniendo en cuenta los riesgos relativos al rendimiento o a la conformidad, el nivel de ingresos y de gastos correspondiente, las futuras modificaciones y el interés político y público.

Esta auditoría de gestión fue llevada a cabo por la Sala III (Acciones exteriores, seguridad y justicia), presidida por Bettina Jakobsen, Miembro del Tribunal. La auditoría fue dirigida por Baudilio Tomé Muguruza, Miembro del Tribunal, asistido por Daniel Costa De Magalhães, jefe de Gabinete, e Ignacio García de Parada Miranda, agregado de Gabinete; Alejandro Ballester Gallardo, gerente principal; Piotr Senator, jefe de tarea; João Coelho, Mirko Iaconisi, Ioanna Topa y Andrej Minarovic, auditores. Michael Pyper prestó asistencia lingüística.

De izquierda a derecha: Daniel Costa De Magalhães, Andrej Minarovic, Ignacio García de Parada Miranda, João Coelho, Ioanna Topa, Piotr Senator, Baudilio Tomé Muguruza, Mirko Iaconisi y Michael Pyper.

Notas finales

¹ Artículo 20, apartado 2, letra a), y artículo 21, apartado 1 del Tratado de Funcionamiento de la Unión Europea.

² Directiva 2004/38/CE.

³ Artículo 168, apartado 7, del Tratado de Funcionamiento de la Unión Europea.

⁴ Artículo 17 del Tratado de la Unión Europea (TUE).

⁵ Artículo 4, apartado 2, letra k), artículo 6, letra a), y artículo 168 del TFUE.

⁶ Directiva 2011/24/UE, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza.

⁷ Informe Especial 13/2022.

⁸ Informe Especial 19/2022.

⁹ Declaración de la Comisión de 15 de junio de 2021.

¹⁰ Ilustración 4 del Informe Especial 13/2022.

¹¹ Directrices sobre medidas de gestión de fronteras para proteger la salud y garantizar la disponibilidad de los bienes y de los servicios esenciales [C(2020) 1753 final, DO C 86I de 16.3.2020].

¹² Comunicaciones de la Comisión C(2020) 3250, C(2020) 3251 y C(2020) 3139.

¹³ Recomendación (UE) 2020/1475 del Consejo

¹⁴ Decisión de Ejecución (UE) 2021/858 de la Comisión.

¹⁵ Sanidad electrónica y COVID-19, sitio web de la Comisión Europea.

¹⁶ Red de sanidad electrónica, «Guidelines on verifiable vaccination certificates - basic interoperability elements», 12.3.2021.

¹⁷ Reglamento (UE) 2021/953.

¹⁸ Propuesta de Reglamento COM(2021) 130.

¹⁹ Procedimiento 2021/0068/COD.

²⁰ Informe de actividades «Development and Trends of the Ordinary legislative Procedure», Parlamento Europeo.

²¹ Directrices para la mejora de la legislación, SWD(2017) 350, 7 de julio de 2017.

²² ENISA,Taking Care of Health Data.

²³ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

²⁴ ISACA, Certified Information System Auditor review manual, 2019; normas de la Organización Internacional de Normalización / Comisión Electrotécnica Internacional 27001.

²⁵ Draft Data Protection Risk Assessment (DPRA-DRAFT).

²⁶ Red de sanidad digital, «EU DCC Revocation - B2A Communication between the Backend and the Applications», apartado 4.6.3.

²⁷ ISACA, Certified Information System Auditor review manual, 2019.

²⁸ Decisión (UE) 2017/46 de la Comisión, sobre la seguridad de los sistemas de información y comunicación en la Comisión Europea, y normas de desarrollo, C(2017) 8841 final.

²⁹ Normas de la Organización Internacional de Normalización / Comisión Electrotécnica Internacional 27001, 27002, 27005 y 27035.

³⁰ Normas de la Organización Internacional de Normalización / Comisión Electrotécnica Internacional 27001.

³¹ Informe Especial 13/2022, apartados 69 y 75.

³² Formulario digital de localización de pasajeros de la UE.

³³ Actualización epidemiológica semanal sobre el COVID-19 – 25 de mayo de 2022, Organización Mundial de la Salud.

³⁴ Informe Especial 13/2022.

Contacto

TRIBUNAL DE CUENTAS EUROPEO
12, rue Alcide De Gasperi
L-1615 Luxemburgo
LUXEMBURGO

Tel.: +352 4398-1
Preguntas: eca.europa.eu/es/Pages/ContactForm.aspx
Sitio web: eca.europa.eu
Twitter: @EUAuditors

Más información sobre la Unión Europea, en el servidor Europa de internet (https://europa.eu).

Luxemburgo: Oficina de Publicaciones de la Unión Europea, 2023

PDF	ISBN 978-92-847-9220-7	ISSN 1977-5687	doi:10.2865/910164	QJ-AB-22-027-ES-N
HTML	ISBN 978-92-847-9211-5	ISSN 1977-5687	doi:10.2865/346381	QJ-AB-22-027-ES-Q

DERECHOS DE AUTOR

© Unión Europea, 2023

La política de reutilización del Tribunal de Cuentas Europeo (el Tribunal) se establece en la Decisión n.º 6-2019 del Tribunal de Cuentas Europeo, sobre la política de datos abiertos y de reutilización de documentos.

Salvo que se indique lo contrario (por ejemplo, en menciones de derechos de autor individuales), el contenido del Tribunal que es propiedad de la UE está autorizado conforme a la licencia Creative Commons Attribution 4.0 International (CC BY 4.0), lo que significa que se permite la reutilización como norma general, siempre que se dé el crédito apropiado y se indique cualquier cambio. Cuando se reutilicen contenidos del Tribunal, no se deben distorsionar el significado o mensaje originales. El Tribunal no será responsable de las consecuencias de la reutilización.

Deberá obtenerse un permiso adicional si un contenido específico representa a particulares identificables, como, por ejemplo, en fotografías del personal del Tribunal, o incluye obras de terceros.

Dicho permiso, cuando se obtenga, cancelará y reemplazará el permiso general antes mencionado y establecerá claramente cualquier restricción de uso.

Para utilizar o reproducir contenido que no sea de la propiedad de la UE, es posible que el usuario necesite obtener la autorización directamente de los titulares de los derechos de autor.

Cualquier software o documentos protegidos por derechos de propiedad industrial, como patentes, marcas comerciales, diseños registrados, logotipos y nombres, están excluidos de la política de reutilización del Tribunal.

El resto de los sitios web institucionales de la Unión Europea pertenecientes al dominio «europa.eu» ofrece enlaces a sitios de terceros. Dado que el Tribunal no tiene control sobre dichos sitios, recomendamos leer atentamente sus políticas de privacidad y derechos de autor.

Utilización del logotipo del Tribunal

El logotipo del Tribunal no debe utilizarse sin su consentimiento previo.

PONERSE EN CONTACTO CON LA UNIÓN EUROPEA

En persona
En la Unión Europea existen cientos de centros Europe Direct. Puede encontrar en línea la dirección del centro más cercano (european-union.europa.eu/contact-eu/meet-us_es).

Por teléfono o por escrito
Europe Direct es un servicio que responde a sus preguntas sobre la Unión Europea. Puede acceder a él:

• marcando el número gratuito: 00 800 6 7 8 9 10 11 (algunos operadores pueden cobrar por las llamadas);
• marcando el número de la centralita: +32 22999696;
• utilizando el siguiente formulario: european-union.europa.eu/contact-eu/write-us_es

BUSCAR INFORMACIÓN SOBRE LA UNIÓN EUROPEA

En línea
Puede encontrar información sobre la Unión Europea en todas las lenguas oficiales de la Unión en el sitio web Europa (european-union.europa.eu).

Publicaciones de la Unión Europea
Puede ver o solicitar publicaciones de la Unión Europea en: op.europa.eu/es/publications Si desea obtener varios ejemplares de las publicaciones gratuitas, puede contactar con Europe Direct o con su centro de documentación local (european-union.europa.eu/contact-eu/meet-us_es).

Derecho de la Unión y documentos conexos
Para acceder a la información jurídica de la Unión Europea, incluido todo el Derecho de la Unión desde 1951 en todas las versiones lingüísticas oficiales, puede consultar EUR-Lex (eur-lex.europa.eu).

Datos abiertos de la Unión Europea
El portal data.europa.eu permite acceder a conjuntos de datos abiertos de las instituciones, órganos y organismos de la Unión Europea, que pueden descargarse y reutilizarse gratuitamente tanto para fines comerciales como no comerciales. El portal también permite acceder a un gran número de conjuntos de datos procedentes de los países europeos.