¿Debe aplicarse la normativa de protección de datos en investigación? ¿Qué debemos tener en cuenta a la hora de emplear datos personales para investigaciones científicas o sociales? Responderemos a estas y otras cuestiones relativas a esta materia en las siguientes líneas.
En este artículo hablamos de:
Protección de datos e investigación: el artículo 89 del RGPD
El RGPD habla explícitamente del uso de datos personales en investigación, en concreto en su artículo 89, donde se persigue combinar el mantenimiento de las garantías de protección de datos personales de los ciudadanos con la necesidad de tratar estos datos para poder llevar a cabo investigaciones científicas, sociales o históricas que impulsen la mejora de la sociedad o aporten beneficios a su conjunto.
Así, el artículo 98.1 establece que:
«El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo».
Es decir, el tratamiento de datos personales en investigaciones científicas, sociales o de otra índole, debe llevarse a cabo de acuerdo a lo establecido en el propio RGPD, de manera que se deben aplicar los principios de legitimidad y transparencia, de limitación del tratamiento, minimización de datos, límite en el tiempo de conservación y conservación segura y responsable.
Y esto es aplicable incluso cuando los datos están seudonimizados, ya que aplicando las técnicas adecuadas, se puede proceder a la reidentificación de los titulares de los datos empleados en la investigación (algo que ocurre con más facilidad en muestras pequeñas, por ejemplo).
El único supuesto en que los criterios de protección de datos no deberían aplicarse en una investigación que emplee datos personales, será cuando estos estén anonimizados, es decir, no hayan quedado completamente desvinculados de sus titulares y la reidentificación sea imposible. De manera que, como ocurre con los datos personales de una persona fallecida, la normativa de protección de datos ya no es de aplicación.
Más allá de las consideraciones del artículo 89 del RGPD y, en el caso de la legislación española, la LOPDGDD, que solo trata la protección de datos respecto a su uso en investigaciones médicas o de biomédica (disposición adicional decimoséptima), tenemos que mirar a las recomendaciones del SEPD (Supervisor Europeo de Protección de Datos) respecto la protección de datos en investigaciones científicas (que en cierto sentido, podrían extenderse también a investigaciones sociales).
Te ayudamos a cumplir la normativa de protección de datos desde 180 euros al año.
¿Cuándo se debe aplicar la normativa de protección de datos en la investigación?
De acuerdo con las consideraciones del SEPD, se debe aplicar la normativa de protección de datos en una investigación cuando se cumplen estos tres requisitos:
- Se traten datos personales (sin anonimizar)
- La investigación se lleve a cabo bajo un marco ético y metodológico reconocido, incluyendo, además, los conceptos de consentimiento informado, responsabilidad y supervisión.
- El objetivo de la investigación sea aumentar el conocimiento de la sociedad y mejorar el bienestar colectivo y no solo servir al interés privado.
Obligaciones RGPD para el tratamiento de datos en investigación
Cuando los datos personales empleados en una investigación no pueden ser completamente anonimizados, será necesario cumplir con las obligaciones del RGPD, tanto aquellas que tienen que ver con los derechos de los interesados (aunque, como veremos más adelante, se prevé la limitación de los mismos en aras del interés general) como las relacionadas con la adopción de medidas técnicas y organizativas de seguridad, además de la supervisión de la autoridad de control correspondiente (en el caso de España, la AEPD).
Esto implica, ante todo, el realizar el pertinente análisis de riesgos que puedan derivarse del tratamiento de datos personales en la investigación, para poder adoptar así las medidas de seguridad adecuadas, que permitan garantizar que personal no autorizado no podrá acceder a dichos datos.
Además, en el caso de que se trate un gran volumen de datos o estos sean de categorías especiales (art. 9 del RGPD), como pueden ser los relativos a la salud, es obligatorio Delegado de Protección de Datos.
Consentimiento
El SEPD establece que no se debe considerar el consentimiento informado que se requiere de los participantes de proyectos de investigación (especialmente los relacionados con la medicina y la biomédica) y el consentimiento expreso como base legal del tratamiento de datos del RGPD, como un mismo consentimiento. Es decir, que contar con el primero no exime de requerir el segundo de cara a la protección de datos y los derechos que entraña.
De manera que si en una investigación se van a tratar datos personales, será necesario obtener el consentimiento expreso de los interesados para dicho tratamiento.
Información
Como ocurre en otros ámbitos en los que es de aplicación la normativa de protección de datos, los interesados cuyos datos serán recabados para la investigación, deben ser informados de las cuestiones recogidas en los artículos 13 y 14 del RGPD:
- Identidad y datos de contacto del responsable del tratamiento y, si procede, de su representante
- Los datos de contacto del delegado de protección de datos
- Los fines del tratamiento y su base jurídica
- La licitud del tratamiento
- Los destinatarios o las categorías de destinatarios de los datos personales
- Si procede, información sobre la transferencia internacional de datos personales
- Plazo de conservación
- Vía para ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición, aunque, como dijimos, hay ciertos matices diferentes que considerar aquí)
- Uso de los datos con una finalidad diferente para la que fueron recabados
Así como la siguiente información:
- La finalidad de la investigación
- Los métodos científicos que serán empleados
- Los posibles resultados de la investigación
- En el caso de investigaciones médicas, las posibles molestias, riesgos o inconvenientes que podrían sufrir
Derechos de los interesados
Como ya hemos adelantado, hay ciertas consideraciones distintas sobre los derechos de los interesados cuando sus datos personales son empleados para investigaciones.
Ya el apartado 2 del artículo 89 recoge la posibilidad de que los Estados Miembros puedan establecer algunas excepciones al ejercicio de derechos de los interesados, cuando el ejercicio de estos derechos puede imposibilitar o hacer inviable la investigación, siempre y cuando se sigan cumpliendo las garantías del apartado 1 de dicho artículo.
El SEPD por su parte recomienda que ante cualquier restricción de estos derechos, se estudie detenidamente su necesidad y las repercusiones que puede tener para la propia investigación la atención y respuesta a esos derechos.
Limitación del tratamiento
Siempre que se cumplan los requisitos del artículo 6.4 del RGPD, será posible reutilizar los datos personales empleados en una investigación en otra que tenga fines compatibles, sin necesidad de una base jurídica diferente.
Es decir, que si los datos personales son empleados para una investigación compatible con la original (mismo ámbito, fines, etc.), podrán usarse sin necesidad de volver a recabar el consentimiento de los interesados.
Además, el RGPD considera compatible el tratamiento ulterior con fines de archivo en interés público, de investigación científica, histórica o estadística.
En cualquier caso, el SEPD considera que aún dándose esta presunción de compatibilidad, será necesario estudiar cada caso en concreto y no aplicar una cesión de datos de manera automática.
Principio de responsabilidad y conservación de los datos
Finalmente, puesto que en algunas investigaciones se emplean datos personales de categorías especiales, es necesario que las entidades investigadoras adopten y observen el principio de responsabilidad, especialmente cuando se puedan producir cesiones de datos a terceros (otras entidades investigadoras) o la publicación de las investigaciones.
Así mismo, se deben adoptar las medidas de seguridad necesarias que garanticen la protección de dichos datos y que tanto esas cesiones como la conservación de los datos no tendrán un impacto en la vida o derechos de los interesados.