Hablemos de la adaptación del desarrollo tecnológico e investigación científica a la normativa de protección de datos.
Se sabe que el cumplimiento de la normativa de protección de datos en el ámbito de la investigación de salud, por ejemplo, no ha sido ni es nada sencillo por diferentes motivos.
Se percibe como una “mera carga burocrática”, la cual deben soportar la comunidad investigadora con escasa o nula formación ético-jurídica y con apenas un presupuesto viable que afronte su aplicación. La garantía de la privacidad es impensable que se pueda obtener “gratuitamente” ya que requiere de inminente inversión humana y técnica.
Se puede decir que contamos con normativa favorable a la investigación que exige la adopción de políticas de gestión responsable de los procesos de investigación, optando por la integración de las normas, en el diseño de la investigación desde la génesis de la idea investigadora y esto requiere de un “modelo de gestión estructurado y protocolizado”.
Si hay algo indiscutible es que el cumplimiento normativo en protección de datos por parte de la comunidad investigadora y de centros de investigación —públicos o privados— se convierte en valor añadido y evita riesgos reputacionales institucionales e infracciones, por lo que instamos a la adopción de la “privacidad como valor institucional”, como he señalado en numerosas ocasiones.
En las investigaciones se requiere prestar especial atención a los procedimientos correspondientes para obtener el “consentimiento amplio”, dado el caso, en otorgar la suficiente información comercial y de colaboración con partes comerciales (industria farmacéutica), procesos que permitan a los participantes mantenerse informados sobre las novedades de sus datos, las actividades de investigación. Además de ello, se necesita pensar en el diseño de procedimientos para la supervisión ética y comunicación con proveedores y en un “mecanismo de recompensa” con los participantes.
Por otro lado, la particularidad de este tipo de datos de localización (personales, pseudonimizados y anonimizados) nos obliga a poner el foco en tres normativas: el RGPD) y la LOPDGD, y el Reglamento sobre la privacidad y las comunicaciones electrónicas, que regula lo referente a los datos anonimizados, y no a los datos personales.
Por su parte, el papel protagonista que adoptan los principios del tratamiento de datos se acopla bastante bien al escenario de necesidad ante la crisis pandémica y a su “incertidumbre”, debido a que ya la legislación europea contempló la posibilidad de hipotéticos escenarios pensando, quizás, en otras epidemias pasadas como el ébola, la gripe aviar, la gripe A, el VIH, etc., donde el uso de los datos pudo ser determinante para su control, gestión e investigación, y de esta manera, se incluyó expresamente la base legitimadora a la que se podrían sujetar los gobiernos, administraciones públicas y demás entes.
Pero, además de ello, “la norma también se podría encajar a escenarios de tecnología e innovación, sobre todo, porque uno de los principales motivos de su creación fue poder estar a la altura de regular el tratamiento de datos masivos recogidos por tecnología”.
De hecho, las autoridades de control nacionales y el mismo Grupo de Trabajo del Artículo 29 previeron y analizaron el impacto posible del tratamiento de datos a través de dispositivos móviles mucho antes de la publicación del RGPD.
Por último, y no menos importante, cabe hacer una aclaración previa en relación con el término “investigación científica”. El RGPD señala que “el tratamiento de datos personales con fines de investigación científica debe interpretarse, (…) de manera amplia, que incluya, por ejemplo, el desarrollo tecnológico y la demostración, la investigación fundamental, la investigación aplicada y la investigación financiada por el sector privado. (…) Entre los fines de investigación científica también se deben incluir los estudios realizados en interés público en el ámbito de la salud pública”.
En este mismo sentido, el considerado 157 amplía el ámbito de la investigación, teniendo en cuenta la posible recogida de datos procedentes de registros.
Así, recuerda que “combinando información procedente de registros, la comunidad investigadora puede obtener nuevos conocimientos de gran valor sobre condiciones médicas extendidas, como las enfermedades cardiovasculares, el cáncer y la depresión. Partiendo de registros, los resultados de las investigaciones pueden ser más sólidos, ya que se basan en una población mayor (…)”.
Los resultados de investigaciones obtenidos de registros (también, electrónicos) proporcionan conocimientos sólidos y de alta calidad que pueden servir de base para la concepción y ejecución de políticas basada en el conocimiento, mejorar la calidad de vida de numerosas personas y mejorar la eficiencia de los servicios sociales.
Para facilitar la investigación científica, los datos personales pueden tratarse con fines científicos, a reserva de condiciones y garantías adecuadas establecidas en el Derecho de la Unión o de los Estados miembros. Es por ello, que hemos preferido la referencia a este concepto, renunciando a otros como “investigación biomédica” o “investigación en salud” y así, perseguir un alcance mayor.
Resultará esencial tener presente la nueva normativa del Espacio Europeo de Datos y el Reglamento de Gobernanza de los Datos, de las cuales hablaremos en las próximas semanas.