Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Tratamiento de datos en investigación

¿Debe aplicarse la normativa de protección de datos en investigación? ¿Qué debemos tener en cuenta al realizar un tratamiento de datos en una investigación científica o social? En este artículo repasamos las claves sobre el tratamiento de datos personales en las investigaciones.

Artículo 89 del RGPD

El tratamiento de datos en una investigación está regulado en el artículo 89 del RGPD que persigue combinar el mantenimiento de las garantías de protección de datos personales de los ciudadanos con la necesidad de tratar estos datos para poder llevar a cabo investigaciones científicas, sociales o históricas que impulsen la mejora de la sociedad o aporten beneficios a su conjunto.

El apartado 1 de este artículo estable que:

«El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo».

Es decir, el tratamiento de datos personales en investigaciones científicas, sociales o de otra índole, debe llevarse a cabo de acuerdo a lo establecido en el propio RGPD, de manera que se deben aplicar los principios de legitimidad y transparencia, de limitación del tratamiento, minimización de datos, límite en el tiempo de conservación y conservación segura y responsable.

Y esto es aplicable incluso cuando los datos están seudonimizados, ya que aplicando las técnicas adecuadas, se puede proceder a la reidentificación de los titulares de los datos empleados en la investigación (algo que ocurre con más facilidad en muestras pequeñas, por ejemplo).

El único supuesto en que los criterios de protección de datos no deberían aplicarse en una investigación que emplee datos personales, será cuando estos estén anonimizados, es decir, hayan quedado completamente desvinculados de sus titulares y la reidentificación sea imposible. De manera que, como ocurre con los datos personales de una persona fallecida, la normativa de protección de datos ya no es de aplicación.

Más allá de las consideraciones del artículo 89 del RGPD y, en el caso de la legislación española, la LOPDGDD, que solo trata la protección de datos respecto a su uso en investigaciones médicas o de biomédica (disposición adicional decimoséptima), tenemos que mirar a las recomendaciones del SEPD (Supervisor Europeo de Protección de Datos) respecto la protección de datos en investigaciones científicas (que en cierto sentido, podrían extenderse también a investigaciones sociales).

Te ayudamos a cumplir la normativa de protección de datos desde 180 euros al año.

tarifas proteccion datos

¿Cómo realizar el tratamiento de datos en investigación?

El tratamiento de datos en investigación, cuando estos no puede ser completamente anonimizados, debe realizarse cumpliendo con las obligaciones del RGPD, tanto aquellas que tienen que ver con los derechos de los interesados (aunque, como veremos más adelante, se prevé la limitación de los mismos en aras del interés general) como las relacionadas con la adopción de medidas técnicas y organizativas de seguridad, además de la supervisión de la autoridad de control correspondiente (en el caso de España, la AEPD).

Esto implica, ante todo, el realizar el pertinente análisis de riesgos que puedan derivarse del tratamiento de datos personales en la investigación, así como la perceptiva evaluación de impacto cuando se traten datos de categorías especiales, para poder adoptar las medidas de seguridad técnicas y organizativas más adecuadas y eficaces, que garanticen la confidencialidad, integridad y disponibilidad de los datos y eviten, sobre todo, que personal no autorizado pueda acceder a los datos personales empleados en la investigación.

Además, en el caso de que se trate un gran volumen de datos o estos sean de categorías especiales (art. 9 del RGPD), como pueden ser los relativos a la salud, es obligatorio Delegado de Protección de Datos.

protección de datos en investigación

Consentimiento

El SEPD establece que no se debe considerar el consentimiento informado que se requiere de los participantes de proyectos de investigación (especialmente los relacionados con la medicina y la biomédica) y el consentimiento expreso como base legal del tratamiento de datos del RGPD, como un mismo consentimiento. Es decir, que contar con el primero no exime de requerir el segundo de cara a la protección de datos y los derechos que entraña.

De manera que si en una investigación se van a tratar datos personales, será necesario obtener el consentimiento expreso de los interesados para dicho tratamiento.

Información

Como ocurre en otros ámbitos en los que es de aplicación la normativa de protección de datos, los interesados cuyos datos serán recabados para la investigación, deben ser informados de las cuestiones recogidas en los artículos 13 y 14 del RGPD:

  • Identidad y datos de contacto del responsable del tratamiento y, si procede, de su representante
  • Los datos de contacto del delegado de protección de datos
  • Los fines del tratamiento y su base jurídica
  • La licitud del tratamiento
  • Los destinatarios o las categorías de destinatarios de los datos personales
  • Si procede, información sobre la transferencia internacional de datos personales
  • Plazo de conservación
  • Vía para ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición, aunque, como dijimos, hay ciertos matices diferentes que considerar aquí)
  • Uso de los datos con una finalidad diferente para la que fueron recabados

Así como la siguiente información:

  • La finalidad de la investigación
  • Los métodos científicos que serán empleados
  • Los posibles resultados de la investigación
  • En el caso de investigaciones médicas, las posibles molestias, riesgos o inconvenientes que podrían sufrir

Derechos de los interesados

Como ya hemos adelantado, hay ciertas consideraciones distintas sobre los derechos de los interesados cuando sus datos personales son empleados para investigaciones.

Ya el apartado 2 del artículo 89 recoge la posibilidad de que los Estados Miembros puedan establecer algunas excepciones al ejercicio de derechos de los interesados, cuando el ejercicio de estos derechos puede imposibilitar o hacer inviable la investigación, siempre y cuando se sigan cumpliendo las garantías del apartado 1 de dicho artículo.

El SEPD por su parte, recomienda que ante cualquier restricción de estos derechos, se estudie detenidamente su necesidad y las repercusiones que puede tener para la propia investigación la atención y respuesta a esos derechos.

Limitación del tratamiento

Siempre que se cumplan los requisitos del artículo 6.4 del RGPD, será posible reutilizar los datos personales empleados en una investigación en otra que tenga fines compatibles, sin necesidad de una base jurídica diferente.

Es decir, que si los datos personales son empleados para una investigación compatible con la original (mismo ámbito, fines, etc.), podrán usarse sin necesidad de volver a recabar el consentimiento de los interesados.

Además, el RGPD considera compatible el tratamiento ulterior con fines de archivo en interés público, de investigación científica, histórica o estadística.

En cualquier caso, el SEPD considera que aun dándose esta presunción de compatibilidad, será necesario estudiar cada caso en concreto y no aplicar una cesión de datos de manera automática.

Principio de responsabilidad y conservación de los datos

Finalmente, puesto que en algunas investigaciones se emplean datos personales de categorías especiales, es necesario que las entidades investigadoras adopten y observen el principio de responsabilidad, especialmente cuando se puedan producir cesiones de datos a terceros (otras entidades investigadoras) o la publicación de las investigaciones.

Así mismo, se deben adoptar las medidas de seguridad necesarias que garanticen la protección de dichos datos y que tanto esas cesiones como la conservación de los datos no tendrán un impacto en la vida o derechos de los interesados.

¿Cuándo se debe aplicar la normativa de protección de datos en la investigación?

Se debe aplicar la normativa de protección de datos en una investigación cuando se cumplan estros tres requisitos (de acuerdo a las consideraciones del SEPD):

  • Se traten datos personales (sin anonimizar)
  • La investigación se lleve a cabo bajo un marco ético y metodológico reconocido, incluyendo, además, los conceptos de consentimiento informado, responsabilidad y supervisión.
  • El objetivo de la investigación sea aumentar el conocimiento de la sociedad y mejorar el bienestar colectivo y no solo servir al interés privado.

Ejemplo del tratamiento de datos en una investigación

Un ejemplo del tratamiento de datos en una investigación lo tenemos en la seudonimización de datos con fines estadísticos, como los que se emplean para realizar las estadísticas del INE, en las que emplean datos seudonimizados. Por ejemplo, en la encuesta de población activa, los datos aparecen agrupados como «Ocupados» y «Parados», pero si se quiere afinar más, se pueden seleccionar valores en los que los datos se presentan como «Hombres», «Mujeres», Comunidades Autónomas y rangos de edad.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.