Ante la reciente publicación de la opinión del Supervisor Europeo de Protección de Datos Personales (SEPD o EDPS por sus siglas en inglés) sobre la investigación científica, queremos tratar en este artículo, la compatibilidad de ésta con el Reglamento General de Protección de Datos (RGPD o GPDR por sus siglas en inglés).
En este ámbito, el RGPD adopta una posición específica, diferente al resto de actividades, permitendo cierto margen de flexibilidad en aquellos proyectos científicos que puedan ser considerados genuínamente como tal y que respeten las normas éticas reconocidas en el sector.
El RGPD concibe la investigación científica de una forma amplia y generalizada, incluyendo no sólo las investigaciones hechas por universidades o el mundo académico, sino también aquéllas otras llevadas a cabo por organizaciones sin ánimo de lucro, instituciones públicas o gubernamentales o empresas comerciales con ánimo de lucro.
Pero esto no significa, que puedan usarse las excepciones y especiales condiciones previstas en el RGPD, para los procesos con fines de investigación científica como un cheque en blanco. En este sentido, el EDPS aconseja considerar los siguientes aspectos:
1. concepto de investigación científica
A pesar de que no hay una definición universalmente aceptada de qué actividades se pueden considerar como una verdadera investigación científica, el EDPS apunta tres criterios que deben presumiblemente coexistir cuando se habla de una investigación científica en la que se tratan datos personales:
- se tratan datos personales
- se aplican diferentes estándares éticos y metodológicos comunmente aceptados en el sector, como por ejemplo: el consentimiento informado, la responsabilidad de la persona al mando de la investigación o sistema de controles externos e independientes.
- la investigación se lleva a cabo para mejorar el conocimiento y bienestar de la sociedad, en contraposición a otras finalidades privadas o comerciales.
2. procesos compatibles
Según recoge el RGPD, el tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente sólo debe permitirse cuando sea compatible con los fines de su recogida inicial.
Al mismo tiempo, el Reglamento establece con carácter general que las operaciones de tratamiento ulterior con fines de investigación científica deben considerarse operaciones de tratamiento lícitas compatibles, mostrando así su tolerancia a este tipo de procesos.
Eso sí, es necesario en todo caso establecer medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos de la normativa en protección de datos personales, en particular, el principio de minimización de datos.
3. límites al uso desproporcionado de datos personales
Desde la perspectiva de protección de datos personales, los principios de necesidad y proporcionalidad cobran en este tema un rol esencial pues sirven como freno al posible uso desproporcionado que quisiera hacerse de datos personales, con la excusa de la ciencia e investigación.
No basta con que el responsable del tratamiento de datos se escude usando el argumento de la investigación científica, debe probar la necesidad de su tratamiento y la proporcionalidad del mismo.
Recomendaciones para el futuro
La opinión del EDPS también recoge una serie de recomendaciones a tener en cuenta en el futuro para mejorar el equilibrio entre privacidad e investigación científica. Entre otras, menciona:
- una estrecha cooperación entre las autoridades de protección de datos personales con los comités éticos de investigación,
- establecer estándares europeos específicos en materia de protección de datos personales para la investigación científica,
- reconocer códigos de conducta europeos para la investigación científica y establecer certificaciones para actividades científicas.
Más información:
ProteCción de DaToS personaLeS 
Deja una respuesta