Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y COMPLIANCE

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Investigación científica y protección de datos

Si algo nos ha enseñado la pandemia causada por el COVID-19 es la importancia de apostar por la generación de conocimiento y evidencias científicas.

No existe una definición universalmente aceptada de qué actividades se pueden considerar como una verdadera “investigación científica”. El Supervisor Europeo de Protección de Datos Personales (SEPD o EDPS por sus siglas en inglés) en su “Dictamen Preliminar sobre Protección de Datos e Investigación Científica”, que pueden consultar aquí, establece tres criterios que deben presumiblemente coexistir cuando se habla de una investigación científica, en la que se tratan datos personales:

  1. Que los datos tratados tengan carácter personal.
  2. Que se apliquen estándares éticos y metodológicos comúnmente aceptados en el sector, como el consentimiento informado, la responsabilidad de la persona al mando de la investigación o sistemas de control externos e independientes.
  3. Que la investigación se lleve a cabo con el objetivo de hacer crecer el conocimiento colectivo de la sociedad y su bienestar, en lugar de servir principalmente a uno o varios fines privados. 

El RGPD prevé en su artículo 89 un régimen específico para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que los Estados miembros podrán desarrollar mediante excepciones a los derechos contemplados en los artículos 15, 16, 18 y 21 cuando sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines científicos.

En el caso de España, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) desarrolla el tratamiento de datos de salud con fines de investigación científica en el apartado 2 de la Disposición Adicional Decimoséptima, a saber:

El interesado o, en su caso, su representante legal podrá otorgar el consentimiento para el uso de sus datos personales con fines de investigación en salud, que podrán abarcar categorías relacionadas con áreas generales vinculadas a una especialidad médica o investigadora. Si el consentimiento es la base legal para el tratamiento de datos, el interesado debe poder retirar ese consentimiento en cualquier momento; de modo que, no hay excepción a este requisito para la investigación científica. Si se retira el consentimiento, el responsable del tratamiento y la investigación debe detener su acción, a menos que exista otra base legal para la retención de esos datos.

El principio de transparencia del RGPD exige que los participantes deben comprender que están participando en la investigación y lo que la investigación requiere de ellos, sin haber sido coaccionados o engañados. Dicha información puede incluir el propósito de la investigación, los métodos que se utilizan, los posibles resultados de la investigación, así como los inconvenientes y riesgos a los que se puedan enfrentar los participantes.

Las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin consentimiento de los afectados en “situaciones de excepcional relevancia y gravedad para la salud pública”. La crítica que cabe formular es que no se definen dichas situaciones excepcionales, dejando margen a la discrecionalidad de las autoridades.

Se considerará lícita la reutilización de datos personales con fines de investigación en materia de salud y biomédica cuando, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial. En tales casos, los responsables del tratamiento deberán publicar la información establecida por el artículo 13 del RGPD. La información proporcionada también debe incluir las categorías de datos personales que se procesan, la fuente de donde provienen los datos y si proceden de fuentes de acceso público. La información se publicará en un lugar fácilmente accesible de la página web corporativa del centro donde se realice la investigación o estudio clínico o en la del promotor y se notificará la existencia de dicha información por medios electrónicos a los afectados. Si estos carecen de medios para acceder a tal información pueden solicitar su remisión en otro formato.

No es necesario proporcionar información cuando el interesado ya posea la información, cuando el registro o la comunicación de los datos personales estén expresamente establecidos por ley, o cuando facilitar la información al interesado resulte imposible o exija un esfuerzo desproporcionado. Para determinar qué constituye una imposibilidad o un esfuerzo desproporcionado, el considerando 62 del RGPD se refiere al número de interesados, la antigüedad de los datos y las garantías adecuadas adoptadas.

Asimismo, se considera lícito el uso de datos personales seudonimizados con fines de investigación en salud cuando se cumplan los siguientes requisitos:

  1. Que exista una separación técnica y funcional entre el equipo investigador y quienes realicen la seudonimización y conservación de la información que posibilite la reidentificación.
  2. Los datos seudonimizados únicamente sean accesibles al equipo de investigación cuando:
    • Exista un compromiso expreso de confidencialidad y de no realizar ninguna actividad de reidentificación.
    • Se adopten medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados.

Podrá procederse a la reidentificación de los afectados cuando se aprecie la existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza grave para sus derechos, o sea necesaria para garantizar una adecuada asistencia sanitaria.

Cuando se traten datos personales con fines de investigación en salud, a los efectos del artículo 89.2 del RGPD, podrán excepcionarse los derechos de los afectados previstos en los artículos 15 (derecho de acceso), 16 (derecho de rectificación), 18 (derecho a la limitación del tratamiento) y 21 (derecho de oposición a decisiones individuales automatizadas) del RGPD cuando:

  1. Los citados derechos se ejerzan directamente ante los investigadores o centros de investigación que utilicen datos anonimizados o seudonimizados.
  2. El ejercicio de tales derechos se refiera a los resultados de la investigación.
  3. La investigación tenga por objeto un interés público esencial relacionado con la seguridad del Estado, la defensa, la seguridad pública u otros objetivos importantes de interés público general, siempre que en este último caso la excepción esté expresamente recogida por una norma con rango de Ley.

Desde la perspectiva de la protección de datos personales cobran especial interés los principios de minimización de datos, limitación de la finalidad y plazo de conservación. Los referidos principios, así como lo de necesidad y proporcionalidad, actúan como freno al posible uso desproporcionado de información personal.

La normativa de protección de datos es un marco, no un obstáculo, para la divulgación de información a los investigadores, cuando exista una base jurídica válida y las medidas adecuadas, dependiendo del riesgo, para salvaguardar los derechos de los afectados.

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).