Testimoniales

Sobre el epígrafe XXI: Derecho de acceso a datos con fines de archivo en interés público, fines de investigación científica o histórica, fines estadísticos, y fines de innovación y desarrollo

XXI - El uso de datos personales y no personales, tanto del sector público como privado, se concibe como un bien de interés general, siempre bajo el respeto a la normativa de protección de datos y a los derechos fundamentales. Se fomentan la reutilización de la información, la investigación científica y tecnológica, y la innovación, garantizando dignidad, integridad y ética en ámbitos como la biomedicina, la genómica o la neurociencia. Además, los repositorios de datos deberán contar con una gobernanza que asegure igualdad, seguridad y trazabilidad en su acceso y uso.
Protección de datos
Material educativo
Partner
Universidad Carlos III de Madrid

El tratamiento de datos con fines científicos, históricos, estadísticos o de archivo en interés público se configura como un instrumento esencial para el avance del conocimiento. Sin embargo, plantea desafíos jurídicos en relación con la protección de los derechos fundamentales, especialmente el derecho a la protección de datos. El marco normativo europeo y español aplicable, detalla los principios rectores, analiza las garantías y excepciones previstas, y subraya la necesidad de un desarrollo legislativo específico para determinados ámbitos. La protección de datos y la libertad científica no son intereses antagónicos, sino complementarios, siempre que exista un marco ético y jurídico sólido que garantice la proporcionalidad y minimización del tratamiento.

¿Cómo está regulado el derecho?  

La Constitución Española reconoce, en su artículo 20.1.b), la libertad de investigación científica como un derecho fundamental, y el artículo 44.2 impone a los poderes públicos la promoción de la ciencia como un mandato de optimización constitucional. Por su parte, el artículo 18.4 consagra el derecho fundamental a la protección de datos (autodeterminación informativa).  

A nivel europeo el Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) constituye la norma de referencia. Todo tratamiento debe respetar los principios recogidos en el Artículo 5 -licitud, lealtad y transparencia; limitación de la finalidad y compatibilidad con usos secundarios; minimización de datos; exactitud y actualización; limitación del plazo de conservación; integridad y confidencialidad-. En lo que atañe al tratamiento con los fines anteriormente referidos (i.e. fines de archivo en interés público, fines de investigación científica o histórica, fines estadísticos) destaca particularmente la excepción recogida en el Artículo 9.2.j), que reconoce dichos fines como causa de legitimación autónoma y establece las bases para justificar el tratamiento de datos personales, incluso aquellos considerados especialmente protegidos (“datos sensibles”). A su vez, establece matizaciones a los principios anteriormente referidos. Por ello, este Artículo debe considerarse en relación con el Artículo 89.1, donde el legislador europeo establece la obligación de cumplir ciertas salvaguardas, como son la de respetar el principio de minimización, llevar a cabo la seudonimización y anonimización de los datos cuando sea posible, disponer de medidas técnicas y organizativas adecuadas, entre otras. Resultan particularmente aclaratorios los Considerandos 33, 50, 156, 159 y 162 del RGPD, que amplían la interpretación del concepto de investigación científica, reconocen la licitud del tratamiento ulterior de datos con fines compatibles y promueven el consentimiento amplio, siempre que existan garantías reforzadas.

En lo que respeta a la normativa española, la DA 17ª de la LOPDGDD, concreta las medidas exigidas por el Artículo 89.1 RGPD, y establece la regulación en materia de tratamiento de datos personales con fines de investigación en salud pública y biomédica.  

¿Qué finalidades reconoce?  

El artículo 9.2.j) RGPD identifica cuatro grandes finalidades, que se diferencian de otros tratamientos, por el interés colectivo que representan. Estas son: investigación científica (incluida la biomédica), investigación histórica, fines estadísticos y archivo en interés público. Aunque estas categorías comparten elementos comunes, requieren un análisis individualizado:

Investigación científica: el Considerando 159 del RGPD adopta un enfoque amplio del concepto de investigación científica, incluyendo tanto la investigación básica como la aplicada, el desarrollo tecnológico y la innovación. Esta definición comprende tanto actividades del sector público como del privado. La investigación biomédica es uno de los ámbitos donde la recolección y tratamiento de grandes volúmenes de datos personales adquiere mayor relevancia. El Big Data sanitario, que integra datos clínicos, genéticos, genómicos y moleculares, se erige como herramienta clave en el desarrollo de la medicina personalizada o de precisión. El Considerando 33 del RGPD reconoce que, en ciertos contextos de investigación científica, especialmente biomédica, no siempre es posible definir de manera exacta los fines del tratamiento en el momento de la recogida de los datos. En tales casos, permite el uso del consentimiento amplio, sujeto a condiciones éticas y de supervisión adecuadas. La Agencia Española de Protección de Datos (AEPD), en su Informe 073667/2018, ha respaldado este enfoque, destacando que el consentimiento en el ámbito científico no debe ser interpretado de forma restrictiva. A su vez, el Artículo 5.1.b) del RGPD y el Considerando 50 permiten el tratamiento ulterior de datos personales con fines de investigación científica, incluso si difieren del propósito original de recogida, siempre que se cumplan las garantías del Artículo 89. Este principio de compatibilidad “ex lege” legitima la reutilización de datos para nuevos proyectos sin necesidad de nuevo consentimiento.  

Investigación histórica: requiere manejar datos sensibles relacionados con hechos históricos, a menudo controversiales o delicados. No hay una mención expresa en la LOPDGDD y, por el momento, su tratamiento no ha sido desarrollado en el ordenamiento español.  

Fines estadísticos: el Considerando 162 del RGPD establece que los fines estadísticos comprenden la recogida y tratamiento de datos personales con el objetivo de elaborar estadísticas agregadas, es decir, datos que no se refieren a personas identificables. Este tratamiento no debe utilizarse para adoptar decisiones individuales, sino exclusivamente para observar fenómenos sociales, económicos o sanitarios de manera global. El RGPD no limita esta actividad al sector público. Por tanto, entidades privadas —tales como universidades, centros de investigación o empresas tecnológicas— pueden realizar tratamientos estadísticos, siempre que respeten las condiciones del Artículo 9.2.j) y las garantías recogidas en el Artículo 89. En el caso del sector público, el Artículo 25 LOPDGDD, regula el secreto estadístico. A los efectos de 6.1.b) RGPD, en lo que respecta a la licitud del tratamiento, los fines estadísticos y de investigación no se consideran fines incompatibles  

Archivo en interés público: el RGPD no ofrece una definición cerrada del concepto de "archivo en interés público". No obstante, los Considerandos 157 y 158 aportan elementos interpretativos útiles. Se considera que estos archivos son los custodiados por los centros archivísticos públicos e incluyen: registros públicos que contienen información valiosa para la colectividad; documentación que trasciende la mera gestión administrativa para cumplir funciones de memoria histórica, cultural o social.  

El principio de limitación del plazo de conservación (Artículo 5.1.e RGPD) tiene especial relevancia en la gestión del ciclo de vida de los documentos públicos, ya que el tratamiento incluye la conservación prolongada o incluso indefinida de ciertos datos. En consecuencia, se admite un plazo de conservación prolongado, pero debe integrarse en un marco de gestión responsable y justificada del ciclo documental. A su vez, el Artículo 89.3 RGPD contempla una excepción al derecho de portabilidad de los datos, permitiendo su limitación cuando esos derechos puedan imposibilitar u obstaculizar gravemente el logro de los fines científicos.  

¿Qué particularidades tiene el tratamiento de datos personales con fines de investigación biomédica?

El RGPD cambia el paradigma en el tratamiento de datos biomédicos: del control previo al principio de responsabilidad activa. En el ordenamiento español, la Disposición Adicional 17.ª de la LOPDGDD concreta las medidas exigidas por el art. 89.1 RGPD, entre las cuales destacan:

  • Evaluación de impacto sobre riesgos de reidentificación.
  • Aplicación de normas de calidad y buenas prácticas clínicas.
  • Acceso limitado a datos identificativos por parte de los investigadores.
  • Designación de representante legal en la UE en ensayos clínicos.
  • Revisión por un Comité de Ética de la Investigación (CEI) como garantía esencial

¿Qué otros derechos puede limitar?

Los apartados 89.2 y 89.3 prevén la posibilidad de restringir el ejercicio de ciertos derechos de los interesados regulados en los Artículos 15, 16, 18, 20, 21 RGPD (acceso, rectificación, limitación, portabilidad, oposición) si su ejercicio compromete gravemente la finalidad científica o de interés público del tratamiento y se aplican las garantías adecuadas. Dichas excepciones no son automáticas, y deben cumplir simultáneamente tres condiciones:

  1. Aplicación de garantías adecuadas conforme al art. 89.1.
  2. Que el ejercicio de derechos haga probable que se imposibilite u obstaculice gravemente el logro de los fines.
  3. Que la aplicación de la excepción sea necesaria para la consecución de dichos fines.

En el caso de investigación en salud pública/biomédica, las condiciones específicas que se deben dar (anonimización y seudonimización, interés público esencial, entre otros) se encuentran desarrolladas en la DA 17ª e) de la LOPDGDD.  

¿Por qué es importante este derecho?

La regulación del tratamiento de datos con fines científicos, históricos, estadísticos o de innovación constituye una herramienta esencial que permite conciliar el progreso científico y social con la protección de datos. El reto actual consiste en garantizar que la protección de datos no se convierta en un obstáculo para la investigación, pero también que la investigación no sirva como pretexto para erosionar los derechos de las personas.  

En materia de datos imperativo avanzar hacia un modelo normativo coherente, garantista y tecnológicamente adaptado que respalde la innovación responsable, en línea con el programa Horizonte Europa 2021–2027, que impulsa UN modelo de ciencia abierta y el uso de datos de acuerdo con los principios FAIR (Findable, Accessible, Interoperable, Reusable).

¿Qué implicaciones tiene en materia de reutilización de datos?

Se permite el tratamiento ulterior de datos personales con fines científicos sin necesidad de una nueva base legal si se cumplen los principios de minimización y compatibilidad de fines. Esto abre la posibilidad de reutilización de datos en investigaciones posteriores, siempre que se mantengan las garantías iniciales y no se comprometan los derechos fundamentales.  

En el caso de la investigación biomédica a LOPDGDD, en su Disposición Adicional 17.ª, desarrolla esta compatibilidad, permitiendo la reutilización de datos cuando exista una vinculación clara entre el proyecto original y el nuevo objetivo científico, tal y como ocurre en el proyecto IMI HARMONY.  

¿Qué medidas de seguridad se pueden adoptar para minimizar el riesgo?

Existen diversos tipos de medidas que requieren una gestión activa del riesgo. Por un lado, encontramos medidas técnicas y por otro, medidas organizativas.  

Uso prioritario de seudonimización y anonimización. Una de las principales medidas previstas por el RGPD para proteger a los interesados en estos contextos es la seudonimización, definida en el artículo 4.5 como el tratamiento que impide la atribución directa de los datos a una persona sin información adicional separada. Esta técnica permite realizar investigaciones sin recurrir a la identificación plena de los individuos, y es considerada una medida adecuada en el artículo 89.1 del RGPD. Por su parte, la anonimización supone la eliminación total de los datos identificativos, haciendo que el conjunto pierda su naturaleza de dato personal. Cuando los fines de la investigación pueden alcanzarse sin necesidad de vinculación con individuos concretos, esta técnica es preferible, al excluir la aplicación del RGPD y minimizar el riesgo prácticamente a cero.

Minimización y proporcionalidad en el uso de datos. El principio de minimización de datos, recogido en el artículo 5.1.c del RGPD, obliga a que los datos tratados sean adecuados, pertinentes y limitados a lo necesario. Aplicado al ámbito científico y estadístico, ello exige que el responsable del tratamiento realice un análisis previo de la proporcionalidad, evaluando si el objetivo perseguido puede alcanzarse con una cantidad menor de datos o con una muestra representativa que reduzca el volumen global de información tratada. Además, el artículo 89.1 requiere que los tratamientos con estas finalidades “no se utilicen para tomar decisiones respecto a personas físicas concretas”, lo que refuerza la idea de que el tratamiento debe dirigirse a resultados agregados, impersonales y desprovistos de efectos individuales directos.

Evaluación previa de impacto (EIPD). El artículo 35 del RGPD impone la obligación de realizar una evaluación de impacto cuando el tratamiento implique un alto riesgo para los derechos y libertades de las personas. Esto es particularmente relevante en estudios que traten datos a gran escala, especialmente en el ámbito sanitario o genético.  

Implementación de mecanismos de gobernanza. Además de las garantías técnicas, deben implementarse medidas organizativas. Entre ellas destacan:

  • Separación de funciones entre quienes investigan y quienes gestionan los datos identificativos  
  • Control estricto de accesos y trazabilidad de las operaciones.
  • Evaluación ética, especialmente en investigaciones biomédicas, sometidas al dictamen de comités de ética debidamente constituidos.

¿Cuál es el papel de los poderes públicos?

El legislador y la administración tienen la responsabilidad no sólo de garantizar este derecho, sino también de crear las condiciones jurídicas y materiales necesarias para su ejercicio, incluyendo la adecuación normativa del tratamiento de datos.

Teniendo en cuenta que algunos de los aspectos señalados en el RGPD requieren de desarrollo, los poderes legislativos nacionales tienen un papel central en la creación de una base jurídica suficiente y clara para habilitar estos tratamientos. A su vez, los poderes públicos también ejercen una función promotora y facilitadora del tratamiento de datos para fines científicos y estadísticos, especialmente a través de organismos públicos de investigación, institutos estadísticos y archivos nacionales.  

Por último, los poderes públicos desempeñan una función de supervisión del cumplimiento normativo, que se articula a través de autoridades de control como la Agencia Española de Protección de Datos (AEPD).

Para saber más puede verse:

Miguel Beriain,I. & Nicolás Jiménez, P. (2022). La utilización de datos con fines de investigación científica (XXI). La carta de derechos digitales. (2022). Tirant lo Blanch.

Troncoso Reigada, A., & González Rivas, J. J. (2021). Comentario al Reglamento general de protección de datos ya la Ley orgánica de protección de datos personales y garantía de los derechos digitales. Thomson Reuters Aranzadi. 

Autoría:

Juanita Pedraza Córdoba y Jorge Arévalo Rodríguez

Universidad Carlos III de Madrid

Derecho Público del Estado

Instituto Pascual Madoz

Observatorio de Derechos Digitales
Logo gobierno de españa