TRATAMIENTO DE DATOS PERSONALES CON FINES DE INVESTIGACIÓN CIENTÍFICA SIN NECESIDAD DE RECABAR EL CONSENTIMIENTO
El GDPR establece que un tratamiento únicamente será lícito si se puede basar al menos con una de las bases jurídicas del art. 6.1.; además, si ese tratamiento incluye datos de categoría especial (art. 9.1. GDPR), dichos datos solo se podrán tratar si se dan una de las excepciones del art. 9.2 GDPR.
Para el caso del tratamiento de datos personales con fines de investigación científica o investigación en salud amparados en el art. 6.1.a) y 9.2.a) GDPR, es decir basados en el consentimiento explícito del interesado; si acudimos al considerando 33 del GDPR, encontramos que se indica que en estos tratamientos, con frecuencia no es posible determinar totalmente la finalidad del mismo en el momento de la recogida de los datos, por lo que si se pretende basar en el consentimiento no implica que este deba ser prestado de manera particular para cada investigación o proyecto concreto, ya que los interesados pueden dar su consentimiento para determinados ámbitos de la investigación o para concretos proyectos o partes de estos; con lo que podríamos plantearnos si realmente puede ser considerado este tipo de consentimiento, cuando es tan amplio, como un consentimiento informado y transparente, y por tanto válido. Y si esta falta de transparencia podría hacer que el interesado no tenga claro el destino de sus datos y, por tanto, su capacidad de control sobre los mismos.
1. Legitimación del tratamiento:
Para evitar basar el tratamiento con fines de investigación científica o investigación en salud en el consentimiento explícito del interesado, podríamos valorar hacerlo con el:
- Art. 6.1.e) GDPR, cuando sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
Las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública (Apartado 2.b) DA 17ª LOPDGDD).
- Art. 6.1.f) GDPR, cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
- Art. 5.1.b) GDPR, compatibilidad con los fines iniciales, es decir la excepción que contiene dicho artículo al “principio de limitación de la finalidad”, cuando indica que el tratamiento ulterior de los datos con fines de investigación científica “no se considerará incompatible con los fines iniciales”, siempre que se adopten garantías y salvaguardas adecuadas para la protección de los derechos y libertades de los interesados, de conformidad con el art. 89.1 GDPR.
Lo corrobora el considerando 50, cuando indica que las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles. La base jurídica establecida en el Derecho de la Unión o de los Estados miembros para el tratamiento de datos personales también puede servir de base jurídica para el tratamiento ulterior.
En la LOPDGDD, esta posibilidad se establece, aunque en el caso de tratamientos basados en el consentimiento, en el apartado 2.c) de la D.A. 17ª, en el que se indica que se considerará lícita y compatible la reutilización de datos personales con fines de investigación en materia de salud y biomédica cuando, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial.
Por tanto, el responsable del tratamiento no necesitará una base jurídica distinta de la inicial (fuese o no el consentimiento) que legitimó la obtención y tratamiento de los datos personales si los va a destinar ulteriormente a la investigación científica.
2. Habilitación para tratar datos de categoría especial:
Conforme a lo previsto en la DA 17ª apartado 2.d), los tratamientos de datos con fines de investigación científica amparados en las bases jurídicas previstas en el art. 6.1. e) y f) GDPR, serán lícitos, sin necesidad de recabar el consentimiento explícito del interesado, siempre que el tratamiento de datos de categoría especial sea necesario:
- Por razones de interés público en el ámbito de la salud pública, (…) para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios (art. 9.2.i GDPR).
- Para fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos y de conformidad con el art. 89 (art. 9.2.j GDPR). O,
Ahora bien, el GDPR exige una serie de garantías para compensar la pérdida de derechos y control de los individuos respecto al uso de sus datos personales con fines de investigación científica. En este caso son la aplicación de las salvaguardas adecuadas del art. 89.1 y las disposiciones al efecto establecidas por los Estados miembros.
3. Medidas:
Conforme a lo previsto en la DA 17ª apartado 2.d), los tratamientos de datos con fines de investigación científica amparados en las bases jurídicas previstas en el art. 6.1. e) y f) GDPR, y habilitados el tratamiento de datos de categoría especial con los arts. 9.2.i o 9.2.j GDPR, serán lícitos, sin necesidad de recabar el consentimiento explícito del interesado, siempre que el tratamiento se lleve a cabo con datos personales seudonimizados:
- En los que se dé una separación técnica y funcional entre el equipo investigador y quienes realicen la seudonimización y conserven la información que posibilite la reidentificación.
- Que únicamente sean accesibles al equipo de investigación cuando:
- Exista un compromiso expreso de confidencialidad y de no realizar ninguna actividad de reidentificación.
- Se adopten medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados.
Podrá procederse a la reidentificación de los datos en su origen, cuando con motivo de una investigación que utilice datos seudonimizados, se aprecie la existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza grave para sus derechos o sea necesaria para garantizar una adecuada asistencia sanitaria.
- Su uso deberá ser sometido al informe previo del comité de ética de la investigación previsto en la normativa sectorial. En defecto de la existencia del mencionado Comité, la entidad responsable de la investigación requerirá informe previo del DPO o, en su defecto, de un experto con los conocimientos previos en el art. 37.5 GDPR.
- Conforme a lo previsto por el art. 89 GDPR, se haya procedido a:
- Realizar una evaluación de impacto (EIPD) que incluya de modo específico los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos.
- Someter la investigación científica a las normas de calidad y, en su caso, a las directrices internacionales sobre buena práctica clínica.
- Adoptar, en su caso, medidas dirigidas a garantizar que los investigadores no acceden a datos de identificación de los interesados.
- Designar un representante legal establecido en la Unión Europea, conforme al artículo 74 del Reglamento (UE) 536/2014, si el promotor de un ensayo clínico no está establecido en la Unión Europea. Dicho representante legal podrá coincidir con el previsto en el art. 27.1 GDPR