Bruselas, 16 de abril – Durante su último pleno, el CEPD adoptó unas Directrices sobre el tratamiento de datos personales con fines de investigación científica. Además, la Junta ha creado un equipo para acelerar la finalización de las directrices sobre anonimización. El CEPD también ha adoptado dos dictámenes sobre los dos conjuntos de criterios de certificación de Europrivacy para su aprobación como sellos europeos de protección de datos, uno de los cuales se utilizará como herramienta para las transferencias.
Muchos ámbitos de la investigación científica se basan en el tratamiento de los datos personales de las personas, lo que ha impulsado importantes avances científicos que benefician a la sociedad. El auge de las nuevas tecnologías, como la inteligencia artificial, también contribuye al progreso científico al permitir a los investigadores utilizar y analizar datos de manera innovadora.
El principal objetivo de las directrices del CEPD sobre investigación científica es aportar más claridad a los investigadores y facilitar el cumplimiento del RGPD, garantizando al mismo tiempo la protección de los derechos fundamentales de las personas.
«La investigación científica puede impulsar el progreso social y mejorar nuestra vida cotidiana.
Nuestras directrices facilitan la investigación innovadora al ayudar a los investigadores a navegar por el RGPD.
El CEPD se ha comprometido a apoyar a la comunidad científica y a liberar todo el potencial de la investigación científica en la UE, respetando al mismo tiempo los derechos de protección de datos».
Presidente del CEPD, Anu Talus
En sus directrices, el Comité aporta aclaraciones sobre el concepto de «investigación científica». Para determinar si el tratamiento tiene lugar con fines de investigación científica en el sentido del RGPD, el Comité proporciona seis factores indicativos clave que deben tenerse en cuenta, además de la naturaleza, el alcance, el contexto y los fines del tratamiento. Estos son: 1) enfoque metódico y sistemático, 2) adhesión a normas éticas, 3) verificabilidad y transparencia, 4) autonomía e independencia, 5) objetivos de la investigación, y 6) potencial para contribuir a los conocimientos científicos existentes o aplicar los conocimientos existentes de formas novedosas. Si las actividades de investigación cumplen con estos seis factores, se puede presumir que constituyen investigación científica. De lo contrario, el responsable del tratamiento debe justificar y poder demostrar por qué las actividades deben considerarse investigación científica, en el sentido del RGPD.
Se presume que el tratamiento posterior con fines de investigación científica es compatible con la finalidad inicial de la recogida de datos personales de las personas. Por lo tanto, los responsables del tratamiento no están obligados a realizar la prueba de compatibilidad de finalidades en virtud del RGPD para determinar si el nuevo tratamiento es compatible con la finalidad original de la recogida. Sin embargo, los responsables del tratamiento deben asegurarse de que la base jurídica del tratamiento inicial también sea adecuada para el tratamiento posterior de datos personales con fines de investigación científica.
Los responsables del tratamiento pueden basarse en el «consentimiento amplio» cuando los fines de la investigación no se conozcan plenamente en el momento de la recogida de los datos personales. En este caso, los investigadores deben respetar las normas éticas para la investigación científica y establecer salvaguardias adicionales para compensar la falta de especificación de la finalidad. Los responsables del tratamiento también pueden pedir a las personas que consientan en diferentes proyectos de investigación por separado, tan pronto como se conozcan los fines de dichos proyectos (consentimiento dinámico). También es posible una combinación de consentimiento amplio y dinámico.
Además, el CEPD aclara los derechos de las personas cuando sus datos personales se tratan con fines científicos. Esto incluye los derechos de supresión y oposición a los que pueden aplicarse limitaciones cuando los datos personales se tratan con fines de investigación científica. La Junta proporciona ejemplos para explicar cuándo se puede considerar que el derecho de supresión puede hacer imposible o perjudicar gravemente el objetivo de realizar investigaciones científicas. El CEPD también explica cuándo los responsables del tratamiento pueden rechazar la objeción de una persona al tratamiento de sus datos personales con fines de investigación científica. Este puede ser el caso cuando el tratamiento es necesario para el desempeño de una tarea realizada por razones de interés público.
El Comité recuerda que cuando varias entidades participan en el tratamiento de datos personales con fines de investigación científica, es necesario evaluar y documentar cómo se asignan las responsabilidades entre las entidades. A este respecto, las Directrices proporcionan ejemplos útiles para aclarar en qué situaciones las entidades pueden considerarse responsables, corresponsables del tratamiento o encargados del tratamiento.
Por último, el Comité explica cómo los responsables del tratamiento pueden evaluar las medidas técnicas y organizativas adecuadas, como la anonimización o la seudonimización, al tratar datos personales con fines de investigación científica. El CEPD ofrece ejemplos de otras salvaguardias que podrían aplicarse en función de los riesgos planteados por las actividades de investigación realizadas. Estos incluyen supervisión independiente o ética, entornos de procesamiento seguros, tecnologías de mejora de la privacidad, medidas de protección para la publicación de los resultados de la investigación, acuerdos de confidencialidad y condiciones para su uso posterior.
Las directrices estarán sujetas a consulta pública hasta el 25 de junio, lo que brindará a las partes interesadas la oportunidad de formular observaciones y comentarios.
Un «equipo de impresión» para finalizar el trabajo sobre la anonimización
Para acelerar la finalización de las próximas directrices sobre anonimización, la Junta creó un "equipo de impresión" dedicado que completará el trabajo para el verano.
Dictámenes Europrivacy
El CEPD adoptó un dictamen por el que se aprueba el conjunto actualizado de criterios de certificación de Europrivacy como Sello Europeo de Protección de Datos* de conformidad con el artículo 42, apartado 5, del RGPD. El Comité aprobó por primera vez los criterios de certificación de Europrivacy el 10 de octubre de 2022 como primer sello europeo de protección de datos a través del Dictamen 28/2022 del CEPD. El ámbito de aplicación del sistema de certificación Europrivacy se ha ampliado para incluir a los responsables y encargados del tratamiento establecidos fuera de Europa que están sujetos al artículo 3, apartado 2, del RGPD, ya sea porque proporcionan bienes o servicios a personas en Europa o porque supervisan su comportamiento.
Además, por primera vez, el Comité adoptó un dictamen en el que reconoce los criterios de certificación de Europrivacy como sello europeo de protección de datos que debe utilizarse como herramienta para las transferenciasde conformidad con los artículos 42 y 46 del RGPD. Los importadores de datos fuera de Europa que no están sujetos al RGPD ahora pueden solicitar al sistema de certificación Europrivacy las transferencias de datos que reciben. Esta certificación facilitará el cumplimiento de la obligación de los responsables y encargados del tratamiento en Europa de demostrar que proporcionan las garantías adecuadas para las transferencias de datos personales a terceros países u organizaciones internacionales.
Estas aprobaciones aportan más luz sobre los mecanismos de certificación de GDPR, confirmando su papel clave como herramienta de cumplimiento de GDPR.
Nota a los editores
*El Sello Europeo de Protección de Datos es un mecanismo de certificación GDPR reconocido en toda Europa. El Sello debe satisfacer criterios específicos aprobados por el CEPD y debe ser otorgado por un organismo de certificación acreditado en virtud del artículo 43 del RGPD para demostrar el cumplimiento de las normas del RGPD.
El comunicado de prensa publicado aquí ha sido traducido automáticamente del inglés. El CEPD no garantiza la exactitud de la traducción. Por favor, consulte el texto oficial en su versión en inglés si hay alguna duda.