jueves, 2 de julio de 2026

TRATAMIENTO DE DATOS PERSONALES EN LA INVESTIGACION CIENTIFICA - SUPERVISOR EUROPEO DE DATOS PERSONALES.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN 

Las Directrices 1/2026 del Supervisor Europeo de Protección de Datos orientan el tratamiento lícito de los datos personales para fines de investigación científica bajo el Reglamento Europeo de Protección de Datos, RGPD, y destacan especialmente la definición funcional de “investigación científica”, las bases jurídicas, el tratamiento ulterior y las salvaguardas para el consentimiento y los derechos de las personas.

El documento tiene por objetivo dar seguridad jurídica en proyectos de investigación que usan datos personales, focalizados en áreas de salud e investigación, bases jurídicas, y derechos de los interesados.

El EDPB precisa qué debe entenderse por investigación científica y propone evaluar el concepto mediante varios factores, además de la naturaleza, contexto, alcance y finalidad del tratamiento.

El tratamiento ulterior para investigación científica se presume compatible con la finalidad inicial si la base jurídica del tratamiento originario también es adecuada para ese uso posterior.

Las Directrices admiten fórmulas como el consentimiento amplio cuando no pueden conocerse con precisión todas las finalidades al recoger los datos, y el consentimiento dinámico para consentir por separado proyectos concretos cuando se vayan definiendo.

El EDPB subraya que la IA puede facilitar nuevos usos científicos de datos, pero ello no elimina las exigencias del RGPD ni las salvaguardas de protección de datos. Alcance práctico

En conclusión, las Directrices buscan que universidades, hospitales, biobancos, laboratorios y otros actores de I+D puedan reutilizar datos con más claridad jurídica, sin deshabilitar las garantías del RGPD. También ayudan a delimitar cuándo una actividad puede calificarse realmente como investigación científica y cuándo no. La consulta pública estuvo abierta hasta el 25 de junio de 2026.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

________________________________________________________

Investigación científica: Cómo procesar datos personales legalmente.

Cuando su organización procesa datos personales con fines de investigación científica, se beneficia de disposiciones específicas y flexibles del RGPD. Sin embargo, esta flexibilidad está condicionada a la adopción de las salvaguardias adecuadas para proteger los derechos y libertades fundamentales de las personas involucradas: los sujetos de  la investigación. 



Responsabilidades clave de un vistazo

Sus funciones abarcan desde el diseño inicial del proyecto de investigación hasta i a difusión de i os resultados y el almacenamiento de datos para futuras investigaciones. A continuación, encontrará una lista de sus principales responsabilidades:

Antes de solicitar exenciones de investigación según los seis factores

Verifica su carácter científico.

Evalúa tu proyecto según los seis factores claves que debes considerar, además de la naturaleza, alcance, el contexto y los propósitos del procesamiento. Estos factores son: enfoque metodológico, estándares éticos,  autonomía, objetivos sociales y contribución novedosa.

Pregúntese: ¿Nuestra investigación tiene como objetivo contribuir al conocimiento general y al bienestar de la sociedad, o se trata simplemente de un ejercicio i interno de análisis de datos?

Al obtener el consentimiento.

Determina el tipo de consentimiento.

Decide si utilizar un "consentimiento amplio" (para un área general de investigación) o un "consentimiento dinámico" (para cada proyecto específico).

Pregúntese: ¿Se conocen hoy los objetivos exactos de la investigación futura, o necesitamos flexibilidad?

 

Durante el ciclo de vida de la investigación

Mantenga la transparencia.

Proporcione información clara, incluso si la investigación abarca muchos años, a las personas, utilizando herramientas como paneles de privacidad o sitios web de proyectos.

Pregúntese: ¿Saben los participantes de su investigación cómo se están utilizando sus datos actualmente y cómo podrían utilizarse en el futuro?

Al aplicar medidas de seguridad

Minimice los datos.

Siempre que sea posible, anonimice los datos personales; si se requiere identificación para la investigación, debe pseudonimizar los datos, si es posible, y agregar controles de acceso estrictos.

Pregúntate: ¿Podemos alcanzar nuestros objetivos de investigación sin saber exactamente quiénes son estas personas?

Principios en la práctica: Cuestiones clave

 

1. La presunción de compatibilidad

Si recopila datos personales para un fin específico (incluso uno que no sea de investigación) y posteriormente decide utilizarlos para  investigación científica, se presume que este procesamiento posterior es compatible con el fin inicial. Esto significa que no necesita realizar una prueba de compatibilidad estándar, pero aun así debe asegurarse de contar con una base legal válida (como el interés legítimo o el interés público) e implementar las salvaguardas adecuadas. asegurarse de contar con una base legal válida (como el interés legítimo o el interés público) e implementar las salvaguardas adecuadas.

2. Consentimiento amplio frente a consentimiento dinámico.

Si los objetivos exactos de la investigación no se conocen con precisión al momento de la recopilación de datos, se puede recurrir al «consentimiento general» para un área específica de la investigación científica. Sin embargo, para compensar esta falta de especificidad, conviene implementar medidas de seguridad más estrictas, como comités de supervisión ética y mayor transparencia. Otra alternativa es el «consentimiento dinámico», que implica solicitar el consentimiento de i os usuarios de forma iterativa a medida que surgen nuevos proyectos o etapas. Asimismo, es fundamental distinguir entre el consentimiento para participar en un estudio conforme a los requisitos éticos y el consentimiento amparado por el RGPD como base legal para el tratamiento de datos personales.


3. Transparencia.

Debe ofrecer a Ios participantes de Ia investigación diferentes opciones para mantenerse informados sobre el tratamiento de sus datos personales. Si desea utilizar datos personales de investigaciones anteriores en nuevos proyectos, es posible que no tenga que informar directamente a todos Ios participantes. Sin embargo, si dispone de identificadores, como un nombre o un número de identificación administrativa, debe hacer I o posible por obtener I os datos de contacto si están disponibles y su obtención no supone un esfuerzo desproporcionado.

4. Limitar el derecho de supresión y de oposicion.

Las personas tienen derecho a solicitar Ia supresión de sus datos o a oponerse a su tratamiento. Sin embargo, pueden rechazar una solicitud de supresión si Ia eliminación de Ios datos pudiera imposibilitar o dificultar gravemente Ia realización de Ia investigación científica.

Del mismo modo, puede rechazar una objeción si el tratamiento de los datos es necesario para una tarea realizada por razones de interés público. Estas excepciones deben interpretarse de forma restrictiva y evaluarse caso por caso.

Las personas tienen derecho a solicitar Ia supresión de sus datos o a oponerse a su tratamiento. Sin embargo, pueden rechazar una solicitud de supresión si Ia eliminación de Ios datos pudiera imposibilitar o dificultar gravemente Ia realización de Ia investigación científica.

Ejemplos prácticos.

Ejemplo 1 Presunción de compatibilidad

(Sección 3.1.1, párrafo 23, páginas 17-18, ejemplo 6)

Contexto: Un Instituto de investigación privado recopila legalmente datos de redes sociales para estudiar el uso de un dialecto específico en Ia escritura. Posteriormente, pretenden utilizar estos datos para desarrollar una aplicación que permita investigar cómo ayudar a las personas a mejorar su ortografía en dicho dialecto.

Qué hacer: El Instituto no tiene que realizar una prueba de compatibilidad para este uso secundario, ya que se presume que el procesamiento posterior para Ia investigación científica es compatible. Solo necesitan evaluar su base Iegal (por ejemplo, el interés legítimo) y asegurarse de que existan Ias salvaguardias necesarias.

Ejemplo 2 Consentimiento amplio en la práctica.

(Sección 4.1.2.1, párrafo 50, página 25, ejemplo 8)

ContextoUna red de hospitales universitarios trabaja en conjunto para crear una base de datos federada utilizando datos de pacientes pseudonimizados provenientes de tratamientos médicos, para poner esos datos a disposición para futuros proyectos de investigación en una amplia gama de disciplinas médicas específicas. Los proyectos de investigación específicos no son previsibles en el momento del tratamiento. Se obtiene el consentimiento..

Qué hacerDebido a que Ios proyectos específicos no son previsibles en el momento en que se obtiene el consentimiento, Ios hospitales pueden basarse en un «consentimiento amplio» que abarca Ia amplia gama de disciplinas médicas consensuadas. Para compensar esta falta de especificidad, implementan medidas de seguridad: Ios investigadores deben cumplir con términos de uso estrictos; cada proyecto futuro es revisado de forma independiente por un comité de ética; y Ia validez del consentimiento se limita a cinco años.

Ejemplo 3 Rechazar una solictiud de supresión.

(Sección 6.2.2, párrafo 50, página 48-49, ejemplo 19)

ContextoUn Instituto de Investigación estudia el desarrollo histórico de un software de código abierto mediante un "árbol Merkle" que registra Ia contribución de cada desarrollador a Io Iargo del tiempo. Un desarrollador que cambió su nombre solicita que se elimine su nombre anterior de Ios registros históricos.

Qué hacer:El Instituto puede rechazar Ia solicitud de supresiión. Modificación de Ios hechos históricos del desarrollo del software. Esto perjudicaría gravemente el objetivo principal del proyecto de investigación, Io que justifica el uso de Ia exención por  investigación.

La Iista de verificación de rendición de cuentas

Plan de acción de su organización para I levar a cabo I investigaciones científicas que cumplan con Ia normativa:

1. Documentar la naturaleza científica

Debes documentar formalmente cómo tu proyecto cumple con los  clave para Ia investigación científica.

 

2. Consentimiento ético y consentimiento del RGPD por separado

El consentimiento ético para participar en un  ensayo médico no es Io mismo que consentimiento del RGPD para procesar datos. Asegúrese de que sus formularios o interfaces de consentimiento distingan claramente entre dos.

3. Establecer Comités de supervisión

La supervisión independiente de Ia investigación es una salvaguarda que contribuye al tratamiento conforme a Ia normativa de Ios datos personales, especialmente cuando se basa en un consentimiento amplio

4. Implementar una pseudonimización sólida

Asegúrese de que exista una barrera estricta entre Ios datos de la investigación. y cualquie datode contacto o identificador. Deben implementarse medidas técnicas y sanciones contractuales para evitar Ia reidentificación no autorizada.

 

5. Aclarar Ias responsabilidades compartidas

En Ias asociaciones público-privadas o en Ios consorcios interuniversitarios, es fundamental documentar claramente quién es el responsable del cumplimiento del RGPD, lo que incluye responder a Ias consultas de Ios interesados y ayudarles a ejercer sus derechos de  protección de datos.

 

                                                                                                                                       Este documento ofrece una visión general simplificada de Ias directrices. Para obtener explicaciones Iegales y ejemplos más completos, consulte el texto íntegro de Ias directrices.

Lea las Directrices completas 


No hay comentarios:

Publicar un comentario