Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
RESUMEN
Las Directrices 1/2026 del Supervisor Europeo de Protección de
Datos orientan el tratamiento lícito de los datos personales para fines de
investigación científica bajo el Reglamento Europeo de Protección de Datos, RGPD,
y destacan especialmente la definición funcional de “investigación científica”,
las bases jurídicas, el tratamiento ulterior y las salvaguardas para el
consentimiento y los derechos de las personas.
El
documento tiene por objetivo dar seguridad jurídica en proyectos de
investigación que usan datos personales, focalizados en áreas de salud e
investigación, bases jurídicas, y derechos de los interesados.
El
EDPB precisa qué debe entenderse por investigación científica y propone evaluar
el concepto mediante varios factores, además de la naturaleza, contexto,
alcance y finalidad del tratamiento.
El
tratamiento ulterior para investigación científica se presume compatible con la
finalidad inicial si la base jurídica del tratamiento originario también es
adecuada para ese uso posterior.
Las
Directrices admiten fórmulas como el consentimiento amplio cuando no pueden
conocerse con precisión todas las finalidades al recoger los datos, y el consentimiento
dinámico para consentir por separado proyectos concretos cuando se vayan
definiendo.
El
EDPB subraya que la IA puede facilitar nuevos usos científicos de datos, pero
ello no elimina las exigencias del RGPD ni las salvaguardas de protección de
datos. Alcance práctico
En
conclusión, las Directrices buscan que universidades, hospitales, biobancos,
laboratorios y otros actores de I+D puedan reutilizar datos con más claridad
jurídica, sin deshabilitar las garantías del RGPD. También ayudan a delimitar
cuándo una actividad puede calificarse realmente como investigación científica
y cuándo no. La consulta pública estuvo abierta hasta el 25 de junio de 2026.
A fin de acceder a normas similares y estándares europeos,
las empresas, organizaciones públicas y privadas interesadas en asesorías,
consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema,
sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com
________________________________________________________
Investigación científica: Cómo procesar datos personales legalmente.
Cuando
su organización procesa datos personales con fines de investigación científica,
se beneficia de disposiciones específicas y flexibles del RGPD. Sin embargo,
esta flexibilidad está condicionada a la adopción de las salvaguardias
adecuadas para proteger los derechos y libertades fundamentales de las
personas involucradas: los sujetos de la
investigación.
Responsabilidades
clave de un vistazo
Sus funciones abarcan desde el diseño inicial
del proyecto de investigación hasta i a difusión de i os resultados y el
almacenamiento de datos para futuras investigaciones. A continuación,
encontrará una lista de sus principales responsabilidades:
|
Antes de solicitar exenciones de investigación según los seis
factores
|
Verifica su carácter científico.
Evalúa tu proyecto según los
seis factores claves que debes considerar, además de la naturaleza, alcance,
el contexto y los propósitos del procesamiento. Estos factores son: enfoque metodológico,
estándares éticos, autonomía,
objetivos sociales y contribución novedosa.
Pregúntese: ¿Nuestra
investigación tiene como objetivo contribuir al conocimiento general y al
bienestar de la sociedad, o se trata simplemente de un ejercicio i interno de
análisis de datos?
|
|
Al obtener el consentimiento.
|
Determina el tipo de
consentimiento.
Decide si utilizar un "consentimiento
amplio" (para un área general de investigación) o un
"consentimiento dinámico" (para cada proyecto específico).
Pregúntese: ¿Se conocen hoy los
objetivos exactos de la investigación futura, o necesitamos
flexibilidad?
|
|
Durante el ciclo de vida de la investigación
|
Mantenga la transparencia.
Proporcione información clara, incluso
si la investigación abarca muchos años, a las personas, utilizando
herramientas como paneles de privacidad o sitios web de proyectos.
Pregúntese: ¿Saben los
participantes de su investigación cómo se están utilizando sus datos
actualmente y cómo podrían utilizarse en el futuro?
|
|
Al
aplicar medidas de seguridad
|
Minimice los datos.
Siempre que sea posible, anonimice los datos personales; si se requiere
identificación para la investigación, debe pseudonimizar los datos, si es posible,
y agregar controles de acceso estrictos.
Pregúntate: ¿Podemos alcanzar nuestros
objetivos de investigación sin saber exactamente quiénes son estas personas?
|
Principios en la práctica: Cuestiones clave
1. La presunción de compatibilidad
Si recopila datos
personales para un fin específico (incluso uno que no sea de investigación) y
posteriormente decide utilizarlos para investigación
científica, se presume que este procesamiento posterior es compatible con el
fin inicial. Esto significa que no necesita realizar una prueba de
compatibilidad estándar, pero aun así debe asegurarse
de contar con una base legal válida (como el interés legítimo o el interés
público) e implementar las salvaguardas adecuadas. asegurarse
de contar con una base legal válida (como el interés legítimo o el interés
público) e implementar las salvaguardas adecuadas.
2. Consentimiento amplio frente a
consentimiento dinámico.
Si los objetivos exactos de la investigación
no se conocen con precisión al momento de la recopilación de datos, se puede
recurrir al «consentimiento general» para un área específica de la investigación
científica. Sin embargo, para compensar esta falta de especificidad, conviene implementar
medidas de seguridad más estrictas, como comités de supervisión ética y mayor
transparencia. Otra alternativa es el «consentimiento dinámico», que implica
solicitar el consentimiento de i os usuarios de forma iterativa a medida que
surgen nuevos proyectos o etapas. Asimismo, es fundamental distinguir entre el
consentimiento para participar en un estudio conforme a los requisitos éticos y
el consentimiento amparado por el RGPD como base legal para el tratamiento de
datos personales.
3. Transparencia.
Debe ofrecer a Ios participantes de Ia investigación
diferentes opciones para mantenerse informados sobre el tratamiento de sus
datos personales. Si desea utilizar datos personales de investigaciones
anteriores en nuevos proyectos, es posible que no tenga que informar
directamente a todos Ios participantes. Sin embargo, si dispone de identificadores,
como un nombre o un número de identificación administrativa, debe hacer I o
posible por obtener I os datos de contacto si están disponibles y su obtención
no supone un esfuerzo desproporcionado.
4. Limitar el derecho de supresión y de oposicion.
Las
personas tienen derecho a solicitar Ia supresión de sus datos o a oponerse a
su tratamiento. Sin embargo, pueden rechazar una solicitud de supresión si Ia
eliminación de Ios datos pudiera imposibilitar o dificultar gravemente Ia
realización de Ia investigación científica.
Del mismo modo, puede rechazar una objeción si el tratamiento de los
datos es necesario para una tarea realizada por razones de interés público.
Estas excepciones deben interpretarse de forma restrictiva y evaluarse caso por
caso.
Las
personas tienen derecho a solicitar Ia supresión de sus datos o a oponerse a
su tratamiento. Sin embargo, pueden rechazar una solicitud de supresión si Ia
eliminación de Ios datos pudiera imposibilitar o dificultar gravemente Ia
realización de Ia investigación científica.
Ejemplos prácticos.
Ejemplo 1 Presunción de compatibilidad
(Sección 3.1.1, párrafo 23, páginas 17-18, ejemplo 6)
Contexto:
Un Instituto de investigación privado recopila legalmente datos de redes sociales para estudiar el uso de un dialecto específico en Ia escritura. Posteriormente, pretenden utilizar estos datos para desarrollar una aplicación que permita investigar cómo ayudar a las personas a mejorar su ortografía en dicho dialecto.
Qué hacer: El Instituto
no tiene que realizar una prueba de compatibilidad para este uso secundario, ya que se presume que el procesamiento posterior para Ia investigación
científica es compatible. Solo necesitan evaluar su base Iegal (por ejemplo, el interés legítimo) y asegurarse de que existan Ias salvaguardias necesarias.
Ejemplo 2 Consentimiento amplio en la práctica.
(Sección 4.1.2.1, párrafo 50, página 25, ejemplo 8)
Contexto: Una red de hospitales universitarios trabaja en
conjunto para crear una base de datos federada utilizando datos de pacientes
pseudonimizados provenientes de tratamientos médicos, para poner esos datos a
disposición para futuros proyectos de investigación en una amplia gama de
disciplinas médicas específicas. Los proyectos de investigación específicos no
son previsibles en el momento del tratamiento. Se obtiene el consentimiento..
Qué hacer: Debido a que Ios proyectos
específicos no son previsibles en el momento en que se obtiene el
consentimiento, Ios hospitales pueden basarse en un «consentimiento
amplio» que abarca Ia amplia gama de disciplinas médicas consensuadas. Para
compensar esta falta de especificidad, implementan medidas de seguridad: Ios
investigadores deben cumplir con términos de uso estrictos; cada proyecto
futuro es revisado de forma independiente por un comité de ética; y Ia validez
del consentimiento se limita a cinco años.
Ejemplo 3 Rechazar una solictiud de supresión.
(Sección 6.2.2, párrafo 50, página 48-49, ejemplo 19)
Contexto: Un Instituto de Investigación estudia el
desarrollo histórico de un software de código abierto mediante un "árbol Merkle" que registra Ia contribución de cada desarrollador a Io Iargo del tiempo. Un desarrollador que cambió su nombre solicita que se elimine su nombre anterior de Ios registros históricos.
Qué hacer:El Instituto puede rechazar Ia solicitud de supresiión. Modificación de Ios hechos históricos del desarrollo del software. Esto perjudicaría gravemente el objetivo principal del proyecto de investigación,
Io que justifica el uso de Ia exención por investigación.
La Iista de verificación de rendición de
cuentas
Plan de acción de su organización para I
levar a cabo I
investigaciones
científicas que cumplan con Ia normativa:
|
1. Documentar la naturaleza científica
|
Debes documentar formalmente
cómo tu proyecto cumple con los clave para
Ia investigación científica.
|
|
2. Consentimiento ético y consentimiento del RGPD
por separado
|
El consentimiento ético para participar
en un ensayo médico no es Io mismo que
consentimiento del RGPD para procesar datos. Asegúrese de que sus formularios
o interfaces de consentimiento distingan claramente entre dos.
|
|
3. Establecer Comités de supervisión
|
La supervisión independiente de
Ia investigación es una salvaguarda que contribuye al tratamiento conforme a
Ia normativa de Ios datos personales, especialmente cuando se basa en un
consentimiento amplio
|
|
4. Implementar una pseudonimización sólida
|
Asegúrese
de que exista una barrera estricta entre Ios datos de la investigación. y
cualquie datode contacto o identificador. Deben implementarse medidas
técnicas y sanciones contractuales para evitar Ia reidentificación no
autorizada.
|
|
5. Aclarar Ias responsabilidades compartidas
|
En Ias
asociaciones público-privadas o en Ios consorcios interuniversitarios, es fundamental
documentar claramente quién es el responsable del cumplimiento del RGPD, lo
que incluye responder a Ias consultas de Ios interesados y ayudarles a ejercer
sus derechos de protección de datos.
|
Este
documento ofrece una visión general simplificada de Ias directrices. Para obtener
explicaciones Iegales y ejemplos más completos, consulte el texto íntegro de Ias
directrices.
Lea las Directrices completas