Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Investigación científica y protección de datos

Si algo nos ha enseñado la pandemia causada por el COVID-19 es la importancia de apostar por la investigación científica y la generación de conocimiento.

No existe una relación o definición universalmente aceptada de qué actividades se pueden considerar una verdadera «investigación científica».

El Supervisor Europeo de Protección de Datos Personales (SEPD o EDPS por sus siglas en inglés) en su Dictamen Preliminar sobre Protección de Datos e Investigación Científica, que pueden consultar aquí, establece tres criterios que deben presumiblemente coexistir cuando se habla de una investigación científica, en la que se tratan datos personales:

  1. Que los datos tratados tengan carácter personal.
  2. Que se apliquen estándares éticos y metodológicos comúnmente aceptados en el sector, como el consentimiento informado, la responsabilidad de la persona al mando de la investigación o sistemas de control externos e independientes.
  3. Que la investigación se lleve a cabo con el objetivo de hacer crecer el conocimiento colectivo de la sociedad y su bienestar, en lugar de servir a intereses privados. 

El RGPD prevé en su artículo 89 un régimen específico para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que los Estados miembros podrán desarrollar mediante excepciones a los derechos contemplados en los artículos 15, 16, 18 y 21 del RGPD, cuando sea probable que esos derechos obstaculicen gravemente el logro de los fines científicos.

Tratamiento de datos de salud con fines de investigación científica

En el caso de España, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) desarrolla el tratamiento de datos de salud con fines de investigación científica en el apartado 2 de su Disposición Adicional Decimoséptima.

Según la mencionada disposición adicional, los tratamientos de datos relacionados con la salud y de datos genéticos se encuentran amparados en el artículo 9, apartado 2, letras g), h), i) y j) del RGPD, así como en distintas leyes sectoriales y sus normas de desarrollo.

El tratamiento de datos en la investigación en salud se regirá por los siguientes criterios:

El interesado o, en su caso, su representante legal podrá otorgar el consentimiento para el uso de sus datos con fines de investigación en salud y, en particular, la «biomédica», que se caracteriza por el estudio de los aspectos biológicos de la medicina, a través del análisis de factores genéticos, celulares, bioquímicos y moleculares del cuerpo humano, y que en España se regula por la Ley 14/2007, de 3 de julio, de Investigación biomédica.

El principio de transparencia del RGPD exige que todos los participantes conozcan el propósito de la investigación, los métodos que se utilizan, los posibles resultados, así como los inconvenientes y los riesgos a los que se puedan enfrentar.

Si el consentimiento es la base legal que legitima el tratamiento de datos, el interesado debe poder retirar dicho consentimiento en cualquier momento. Si se retira el consentimiento, el responsable de la investigación debe detener su acción de forma inmediata. No obstante, las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin consentimiento de los afectados en «situaciones de excepcional relevancia y gravedad para la salud pública». La crítica que cabe formular es que no se definen las situaciones excepcionales, dejando margen a la discrecionalidad de las autoridades.

Se considerará lícita la reutilización de datos personales con fines de investigación en materia de salud y biomédica cuando, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial. En tales casos, los responsables del tratamiento deberán publicar la información prevista por el artículo 13 del RGPD. La información debe incluir las categorías de datos personales que se procesan, la fuente de donde provienen los datos y si proceden de fuentes de acceso público. Se publicará en un lugar fácilmente accesible de la página web corporativa del centro donde se realice la investigación o estudio clínico o en la del promotor y se notificará la existencia de dicha información por medios electrónicos a los afectados. Si estos carecen de medios para acceder a tal información pueden solicitar su remisión en otro formato.

No es necesario proporcionar información cuando el interesado ya posea la información, cuando el registro o la comunicación de los datos personales estén expresamente establecidos por ley o cuando facilitar la información al interesado sea imposible o exija un esfuerzo desproporcionado. Para saber qué constituye una imposibilidad o un esfuerzo desproporcionado, el considerando 62 del RGPD se refiere al número de interesados, la antigüedad de los datos y las garantías adecuadas adoptadas.

Asimismo, se considera lícito el uso de datos personales seudonimizados con fines de investigación en salud cuando se cumplan los siguientes requisitos:

  1. Que exista una separación técnica y funcional entre el equipo investigador y quienes realicen la seudonimización y conservación de la información que posibilite la reidentificación.
  2. Los datos seudonimizados únicamente sean accesibles al equipo de investigación cuando:
    • Exista un compromiso expreso de confidencialidad y de no realizar ninguna actividad de reidentificación.
    • Se adopten medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados.

Podrá procederse a la reidentificación de los afectados cuando se aprecie la existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza grave para sus derechos, o sea necesaria para garantizar una adecuada asistencia sanitaria.

Cuando se traten datos personales con fines de investigación en salud, a los efectos del artículo 89.2 del RGPD, podrán excepcionarse los derechos de los afectados previstos en los artículos 15 (derecho de acceso), 16 (derecho de rectificación), 18 (derecho a la limitación del tratamiento) y 21 (derecho de oposición a decisiones individuales automatizadas) del RGPD cuando:

  1. Los citados derechos se ejerzan directamente ante los investigadores o centros de investigación que utilicen datos anonimizados o seudonimizados.
  2. El ejercicio de tales derechos se refiera a los resultados de la investigación.
  3. La investigación tenga por objeto un interés público esencial relacionado con la seguridad del Estado, la defensa, la seguridad pública u otros objetivos importantes de interés público general, siempre que en este último caso la excepción esté expresamente recogida por una norma con rango de Ley.

Desde la perspectiva de la protección de datos personales cobran especial interés los principios de minimización de datos, limitación de la finalidad y plazo de conservación. Los referidos principios, así como los de necesidad y proporcionalidad, actúan como freno al posible uso desproporcionado de información personal.

Un tratamiento con fines de investigación en salud pública y, en particular, biomédica requiere realizar una evaluación de impacto que determine los riesgos derivados del tratamiento en los supuestos previstos en el artículo 35 del RGPD o en los establecidos por la autoridad de control. Esta evaluación incluirá los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos. Los responsables de la investigación adoptarán medidas dirigidas a garantizar que los investigadores no acceden a datos de identificación de los interesados. En caso de no estar establecidos en la Unión Europea, designarán a un representante legal.

El uso de datos personales seudonimizados con fines de investigación en salud pública y, en particular, biomédica se someterá a la consideración del Comité de ética de la investigación previsto en las normas sectoriales. Si no existe dicho Comité, la entidad responsable de la investigación requerirá el preceptivo informe al Delegado de Protección de Datos.

Conclusión

La normativa de protección de datos es un marco, no un obstáculo, para la divulgación de información a los investigadores, cuando exista una base jurídica válida y las medidas adecuadas, dependiendo del riesgo, para salvaguardar los derechos de los afectados.

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).