Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
RESUMEN
Las Directrices 1/2026 del Supervisor Europeo de Protección de Datos orientan el tratamiento lícito de los datos personales para fines de investigación científica bajo el Reglamento Europeo de Protección de Datos, RGPD, y destacan especialmente la definición funcional de “investigación científica”, las bases jurídicas, el tratamiento ulterior y las salvaguardas para el consentimiento y los derechos de las personas.
El
documento tiene por objetivo dar seguridad jurídica en proyectos de
investigación que usan datos personales, focalizados en áreas de salud e
investigación, bases jurídicas, y derechos de los interesados.
El
EDPB precisa qué debe entenderse por investigación científica y propone evaluar
el concepto mediante varios factores, además de la naturaleza, contexto,
alcance y finalidad del tratamiento.
El
tratamiento ulterior para investigación científica se presume compatible con la
finalidad inicial si la base jurídica del tratamiento originario también es
adecuada para ese uso posterior.
Las
Directrices admiten fórmulas como el consentimiento amplio cuando no pueden
conocerse con precisión todas las finalidades al recoger los datos, y el consentimiento
dinámico para consentir por separado proyectos concretos cuando se vayan
definiendo.
El
EDPB subraya que la IA puede facilitar nuevos usos científicos de datos, pero
ello no elimina las exigencias del RGPD ni las salvaguardas de protección de
datos. Alcance práctico
En
conclusión, las Directrices buscan que universidades, hospitales, biobancos,
laboratorios y otros actores de I+D puedan reutilizar datos con más claridad
jurídica, sin deshabilitar las garantías del RGPD. También ayudan a delimitar
cuándo una actividad puede calificarse realmente como investigación científica
y cuándo no. La consulta pública estuvo abierta hasta el 25 de junio de 2026.
A fin de acceder a normas similares y estándares europeos,
las empresas, organizaciones públicas y privadas interesadas en asesorías,
consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema,
sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com
________________________________________________________
Cuando su organización procesa datos personales con fines de investigación científica, se beneficia de disposiciones específicas y flexibles del RGPD. Sin embargo, esta flexibilidad está condicionada a la adopción de las salvaguardias adecuadas para proteger los derechos y libertades fundamentales de las personas involucradas: los sujetos de la investigación.
Responsabilidades
clave de un vistazo
Sus funciones abarcan desde el diseño inicial
del proyecto de investigación hasta i a difusión de i os resultados y el
almacenamiento de datos para futuras investigaciones. A continuación,
encontrará una lista de sus principales responsabilidades:
|
Antes de solicitar exenciones de investigación según los seis
factores |
Verifica su carácter científico.
Evalúa tu proyecto según los
seis factores claves que debes considerar, además de la naturaleza, alcance,
el contexto y los propósitos del procesamiento. Estos factores son: enfoque metodológico,
estándares éticos, autonomía,
objetivos sociales y contribución novedosa. Pregúntese: ¿Nuestra
investigación tiene como objetivo contribuir al conocimiento general y al
bienestar de la sociedad, o se trata simplemente de un ejercicio i interno de
análisis de datos? |
|
Al obtener el consentimiento. |
Determina el tipo de
consentimiento. Decide si utilizar un "consentimiento
amplio" (para un área general de investigación) o un
"consentimiento dinámico" (para cada proyecto específico). Pregúntese: ¿Se conocen hoy los
objetivos exactos de la investigación futura, o necesitamos
flexibilidad?
|
|
Durante el ciclo de vida de la investigación |
Mantenga la transparencia. Proporcione información clara, incluso
si la investigación abarca muchos años, a las personas, utilizando
herramientas como paneles de privacidad o sitios web de proyectos. Pregúntese: ¿Saben los
participantes de su investigación cómo se están utilizando sus datos
actualmente y cómo podrían utilizarse en el futuro? |
|
Al
aplicar medidas de seguridad |
Minimice los datos. Siempre que sea posible, anonimice los datos personales; si se requiere
identificación para la investigación, debe pseudonimizar los datos, si es posible,
y agregar controles de acceso estrictos. Pregúntate: ¿Podemos alcanzar nuestros
objetivos de investigación sin saber exactamente quiénes son estas personas? |
Principios en la práctica: Cuestiones clave
1. La presunción de compatibilidad
Si recopila datos personales para un fin específico (incluso uno que no sea de investigación) y posteriormente decide utilizarlos para investigación científica, se presume que este procesamiento posterior es compatible con el fin inicial. Esto significa que no necesita realizar una prueba de compatibilidad estándar, pero aun así debe asegurarse de contar con una base legal válida (como el interés legítimo o el interés público) e implementar las salvaguardas adecuadas. asegurarse de contar con una base legal válida (como el interés legítimo o el interés público) e implementar las salvaguardas adecuadas.
2. Consentimiento amplio frente a consentimiento dinámico.
Si los objetivos exactos de la investigación
no se conocen con precisión al momento de la recopilación de datos, se puede
recurrir al «consentimiento general» para un área específica de la investigación
científica. Sin embargo, para compensar esta falta de especificidad, conviene implementar
medidas de seguridad más estrictas, como comités de supervisión ética y mayor
transparencia. Otra alternativa es el «consentimiento dinámico», que implica
solicitar el consentimiento de i os usuarios de forma iterativa a medida que
surgen nuevos proyectos o etapas. Asimismo, es fundamental distinguir entre el
consentimiento para participar en un estudio conforme a los requisitos éticos y
el consentimiento amparado por el RGPD como base legal para el tratamiento de
datos personales.
3. Transparencia.
Debe ofrecer a Ios participantes de Ia investigación diferentes opciones para mantenerse informados sobre el tratamiento de sus datos personales. Si desea utilizar datos personales de investigaciones anteriores en nuevos proyectos, es posible que no tenga que informar directamente a todos Ios participantes. Sin embargo, si dispone de identificadores, como un nombre o un número de identificación administrativa, debe hacer I o posible por obtener I os datos de contacto si están disponibles y su obtención no supone un esfuerzo desproporcionado.
4. Limitar el derecho de supresión y de oposicion.
Las
personas tienen derecho a solicitar Ia supresión de sus datos o a oponerse a
su tratamiento. Sin embargo, pueden rechazar una solicitud de supresión si Ia
eliminación de Ios datos pudiera imposibilitar o dificultar gravemente Ia
realización de Ia investigación científica.
Del mismo modo, puede rechazar una objeción si el tratamiento de los
datos es necesario para una tarea realizada por razones de interés público.
Estas excepciones deben interpretarse de forma restrictiva y evaluarse caso por
caso.
Las
personas tienen derecho a solicitar Ia supresión de sus datos o a oponerse a
su tratamiento. Sin embargo, pueden rechazar una solicitud de supresión si Ia
eliminación de Ios datos pudiera imposibilitar o dificultar gravemente Ia
realización de Ia investigación científica.
Ejemplos prácticos.
Ejemplo 1 Presunción de compatibilidad
(Sección 3.1.1, párrafo 23, páginas 17-18, ejemplo 6)
Qué hacer: El Instituto
no tiene que realizar una prueba de compatibilidad para este uso secundario, ya que se presume que el procesamiento posterior para Ia investigación
científica es compatible. Solo necesitan evaluar su base Iegal (por ejemplo, el interés legítimo) y asegurarse de que existan Ias salvaguardias necesarias.
Ejemplo 2 Consentimiento amplio en la práctica.
(Sección 4.1.2.1, párrafo 50, página 25, ejemplo 8)
Qué hacer: Debido a que Ios proyectos específicos no son previsibles en el momento en que se obtiene el consentimiento, Ios hospitales pueden basarse en un «consentimiento amplio» que abarca Ia amplia gama de disciplinas médicas consensuadas. Para compensar esta falta de especificidad, implementan medidas de seguridad: Ios investigadores deben cumplir con términos de uso estrictos; cada proyecto futuro es revisado de forma independiente por un comité de ética; y Ia validez del consentimiento se limita a cinco años.
Ejemplo 3 Rechazar una solictiud de supresión.
(Sección 6.2.2, párrafo 50, página 48-49, ejemplo 19)
Qué hacer:El Instituto puede rechazar Ia solicitud de supresiión. Modificación de Ios hechos históricos del desarrollo del software. Esto perjudicaría gravemente el objetivo principal del proyecto de investigación, Io que justifica el uso de Ia exención por investigación.
La Iista de verificación de rendición de
cuentas
Plan de acción de su organización para I
levar a cabo I
investigaciones
científicas que cumplan con Ia normativa:
|
1. Documentar la naturaleza científica |
Debes documentar formalmente
cómo tu proyecto cumple con los clave para
Ia investigación científica.
|
|
2. Consentimiento ético y consentimiento del RGPD
por separado |
El consentimiento ético para participar
en un ensayo médico no es Io mismo que
consentimiento del RGPD para procesar datos. Asegúrese de que sus formularios
o interfaces de consentimiento distingan claramente entre dos. |
|
3. Establecer Comités de supervisión |
La supervisión independiente de
Ia investigación es una salvaguarda que contribuye al tratamiento conforme a
Ia normativa de Ios datos personales, especialmente cuando se basa en un
consentimiento amplio |
|
4. Implementar una pseudonimización sólida |
Asegúrese
de que exista una barrera estricta entre Ios datos de la investigación. y
cualquie datode contacto o identificador. Deben implementarse medidas
técnicas y sanciones contractuales para evitar Ia reidentificación no
autorizada. |
|
5. Aclarar Ias responsabilidades compartidas |
En Ias
asociaciones público-privadas o en Ios consorcios interuniversitarios, es fundamental
documentar claramente quién es el responsable del cumplimiento del RGPD, lo
que incluye responder a Ias consultas de Ios interesados y ayudarles a ejercer
sus derechos de protección de datos.
|
Este documento ofrece una visión general simplificada de Ias directrices. Para obtener explicaciones Iegales y ejemplos más completos, consulte el texto íntegro de Ias directrices.
No hay comentarios:
Publicar un comentario