PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE

INVESTIGACIÓN

“Un científico no sólo tiene la obligación de

investigar sino que también tiene la
responsabilidad ética de aquello que produce su
ingenio”.
(Peter Alexander Ustinov)

Palma, 26 de marzo de 2019

ABSTRACT:

Este artículo se presenta como una sinopsis; un sucinto estudio en el que se

utiliza un lenguaje sencillo y comprensible para aquellos lectores que
comienzan a familiarizarse en aspectos relacionados con la protección de
datos personales y las actividades de investigación.

Se analizarán brevemente los preceptos del Reglamento General de Protección

de Datos (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos y garantía de los derechos digitales (LOPDGDD) dedicados
precisamente al ámbito relativo a la protección de datos e investigación. Se
trata pues de un análisis enfocado principalmente en el tratamiento y
protección de datos personales desde la perspectiva de las actividades de
investigación en las Universidades españolas.

Sin duda alguna, ya les puedo avanzar que, quedarán algunas cuestiones en el
tintero, reflexiones por exponer y debatir, que espero y deseo, sean objeto de
futuras colaboraciones.

PALABRAS CLAVES:

 Investigación
 Tratamiento de datos personales
 Responsabilidad “proactiva”

1
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

 Principio de minimización de los datos

 Consentimiento en investigación biomédica
 Licitud del tratamiento
 Finalidades biomédicas

INTRODUCCIÓN

No son pocas las visitas y las llamadas telefónicas que como delegada de
protección de datos de mi Univesidad estoy recibiendo a diario, y francamente:
¡Me alegra sobremanera!. No puedo más que manifestar mi entusiasmo ante la
creciente implicación por parte de grupos de investigación, de investigadores
principales, de gestores de proyectos de investigación, de doctorandos, de
alumnado que está realizando sus trabajos fin de grado (TFG) y trabajos fin de
máster (TFM). Y de eso se trata. ¿Verdad?. De que TODOS –miembros de la
Comunidad Universitaria en su conjunto– nos comprometamos a respetar el
derecho fundamental a la protección de los datos personales, en definitiva, el
objetivo, en último término, es el de proteger a personas. Es decir, en palabras
de Ricard Martínez, director de la Cátedra de Privacidad y Transformación
Digital de la Universitat de València: «Detrás de cada dato hay una persona y
no se trata de proteger datos, si no de proteger personas».1

Como he avanzado, me voy a centrar en realizar una síntesis de la

problemática que se plantea en las universidades españolas en relación al
tratamiento y protección de datos y las actividades de investigación, y, en
consecuencia, de la correcta aplicación del mencionado marco normativo.

Como premisa inicial, no podemos obviar que el efecto llamada del

Reglamento General de Protección de Datos (RGPD) y la posterior entrada en
vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (LOPDGDD) han intensificado
las solicitudes, las consultas, las dudas, los informes relacionados con el
tratamiento de datos personales y los proyectos de investigación (actividades
en investigación en sentido amplio), en los que, los agentes implicados en
investigación, esto es, los investigadores principales, los miembros de los
grupos de investigación, los gestores de los proyectos de investigación, los
doctorandos han adoptado una aptitud (pro)activa, interactuan, se

1
Sesión sobre privacidad y seguridad dirigida al personal investigador a iniciativa de
la Oficina de Innovación y Auditoría TI (OIATI) de la UJI.
2
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

responsabilizan2 en el cumplimiento de las prescripciones establecidas en

ambos textos legales, son conscientes de su obligado cumplimiento y de las
implicaciones que supondría la vulneración de los mismos.

Llegados a este punto, determinadas preguntas preceptivas deberíamos

plantearnos a la hora de realizar un tratamiento de datos personales en
actividades de investigación, preguntas que tienen cierta trascendencia y algún
que otro quebradero de cabeza para los delegados y delegadas de protección
de datos de las Universidades: ¿Quién es el responsable del tratamiento? ¿Es la
propia Universidad? ¿Es el investigador? ¿El gestor del proyecto de
investigación? ¿El doctorando? ¿El alumnado de los TFG y TFM? ¿Ambos pero en
distintos ámbitos competenciales? ¿Se deben nombrar responsables funcionales?
¿Quién determina las finalidades y las medidas de índole técnica y organizativas
necesarias que garanticen la seguridad de los datos de carácter personal y eviten
su alteración, pérdida, tratamiento o acceso no autorizado?.

Precisamente, éstas y otras muchas preguntas se plantean en el seno del recien

creado grupo de trabajo de delegados y delegadas de protección de datos de
las Universidades españolas.

PONGÁMONOS EN SITUACIÓN: PRIMERA TOMA DE CONTACTO

En este punto, no podemos avanzar en el presente estudio sin preguntarnos:

¿Qué entendemos por investigar?

La tercera acepción del diccionario de la Real Academia Española (DRAE)

dispone que investigar es “3. intr. Realizar actividades intelectuales y
experimentales de modo sistemático con el propósito de aumentar los
conocimientos sobre una determinada materia”.

Por su parte, la exposición de motivos de la Ley Orgánica 6/2001, de 21 de

diciembre, de Universidades (LOU), en relación a la actividad investigadora,
dispone que la Universidad debe reforzar su actividad investigadora para
configurar un modelo que tenga como eje el conocimiento. La Ley otorga pues,
mediante un título propio, carta de naturaleza a la actividad investigadora en
la Universidad. A su vez, la LOU realza la importancia presente, y sobre todo
futura, que la investigación tiene como factor diferenciador y de calidad en el

2
Artículo 5.2. del RGPD. Principio de «Responsabilidad proactiva»: El responsable del
tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 del artículo
5 y capaz de demostrarlo («responsabilidad proactiva»).
3
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

desarrollo competitivo de la Universidad; y reconoce, al mismo tiempo, el

positivo impacto de la actividad científica en la sociedad, en la mejora de la
calidad de vida de los ciudadanos y en la creación de riqueza

Ahondando en el concepto de investigación científica y técnica, el preámbulo

de la Ley 14/2011, de 1 de junio, de la Ciencia, la Tecnología y la Innovación
considera el concepto de investigación científica y técnica como equivalente al
de investigación y desarrollo, entendido éste como “el trabajo creativo
realizado de forma sistemática para incrementar el volumen de conocimientos,
incluidos los relativos al ser humano, la cultura y la sociedad, el uso de esos
conocimientos para crear nuevas aplicaciones, su transferencia y su
divulgación”.

En este punto, a mi juicio, el RGPD ha sido convenientemente “generoso” en

cuanto al tratamiento de datos personales en actividades de investigación
(esto es, con fines de investigación científica). Veámos, a continuación, algunas
pinceladas de ello recogidas en el citado Reglamento.

Si leemos con detenimiento el considerando 159 del mencionado Reglamento

es indudable que viene a manifestar que el tratamiento de datos personales
con fines de investigación científica debe interpretarse, de manera amplia, que
incluya, por ejemplo, el desarrollo tecnológico y la demostración, la
investigación fundamental, la investigación aplicada y la investigación
financiada por el sector privado.

El citado considerando trae a colación que en los fines de investigación

científica se deben incluir los estudios realizados en interés público en el
ámbito de la salud pública. Así pues, en el referido considerando podemos leer:

“Para cumplir las especificidades del tratamiento de datos personales con

fines de investigación científica deben aplicarse condiciones específicas, en
particular en lo que se refiere a la publicación o la comunicación de otro modo
de datos personales en el contexto de fines de investigación científica. Si el
resultado de la investigación científica, en particular en el ámbito de la salud,
justifica otras medidas en beneficio del interesado, las normas generales del
presente Reglamento deben aplicarse teniendo en cuenta tales medidas”.

Por su parte, el estudio del considerando 33 del RGPD –que versa sobre la
imposibilidad en algunos supuestos de determinar a priori, en el momento de
su recogida, la finalidad del tratamiento de los datos personales con fines de
investigación científica ya fue objeto de mención en el artículo publicado, el
día 15 de noviembre de 2018, bajo la rúbrica: “Protección de datos y
universidad: ¿Y las universidades públicas? ¿Cómo debemos actuar?”, en el

4
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

portal jurídico A definitivas, si bien, se hace necesario volver a recordar su

contenido:

“Con frecuencia no es posible determinar totalmente la finalidad del

tratamiento de los datos personales con fines de investigación científica en el
momento de su recogida. Por consiguiente, debe permitirse a los interesados
dar su consentimiento para determinados ámbitos de investigación científica
que respeten las normas éticas reconocidas para la investigación científica.
Los interesados deben tener la oportunidad de dar su consentimiento
solamente para determinadas áreas de investigación o partes de proyectos de
investigación, en la medida en que lo permita la finalidad perseguida”.

De igual forma, el Gabinete Jurídico de la Agencia Española de Protección de

Datos emitió el informe 073667/2018, y, entre otros aspectos, dictaminó
acerca del considerando 33 del reglamento, indicando que precisamente el
consentimiento prestado para el tratamiento de los datos con fines de
investigación científica ha tenido en cuenta el carácter intrínsecamente
dinámico de la investigación.

En este sentido, el Gabinete Jurídico de la Agencia Española de Protección de

Datos se pronuncia en los siguientes términos:
“De todo ello se derivaría que los requisitos de especificidad y carácter
inequívoco para la prestación del consentimiento no deben ser interpretados
en el ámbito de la investigación científica de un modo restrictivo, limitado a
una concreta investigación de la que se facilite toda la información disponible,
sino que cabe considerar que concurren en los supuestos en los que el
consentimiento se presta en relación con un determinado campo de
investigación, pudiendo extenderse en el futro ese consentimiento, sin que
ello lo vicie en modo alguno, incluso a “finalidades” o áreas de investigación
que ni siquiera hubieran podido determinarse en el momento en que se
prestó sin que sea necesario recabar un nuevo consentimiento del sujeto
fuente, teniendo en cuenta los beneficios para los individuos y la sociedad en
su conjunto que pueden derivarse de tal investigación no prevista.
De este modo, por poner un ejemplo, no sería preciso, para garantizar el
carácter inequívoco y específico del consentimiento, que el mismo fuese
prestado para la realización de una investigación concreta; ni siquiera para la
realización de investigaciones en una rama muy delimitada, como por
ejemplo, un determinado tipo de cáncer, sino que, teniendo en cuenta la
interpretación derivada directamente del propio Reglamento, será
suficientemente inequívoco y específico el consentimiento prestado en
relación con una rama amplia de investigación, como por ejemplo, la
investigación oncológica, o incluso para ámbitos más extensos”.

Otro aspecto a destacar regulado por el RGPD es la recogida y tratamiento de

datos personales para realizar encuestas estadísticas, entre otras finalidades,
con fines de investigación científica. En efecto, el Reglamento en su
Considerando 162 dispone:
5
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

El presente Reglamento debe aplicarse al tratamiento de datos personales con

fines estadísticos. El contenido estadístico, el control de accesos, las
especificaciones para el tratamiento de datos personales con fines
estadísticos y las medidas adecuadas para salvaguardar los derechos y las
libertades de los interesados y garantizar la confidencialidad estadística
deben ser establecidos, dentro de los límites del presente Reglamento, por el
Derecho de la Unión o de los Estados miembros. Por fines estadísticos se
entiende cualquier operación de recogida y tratamiento de datos personales
necesarios para encuestas estadísticas o para la producción de resultados
estadísticos. Estos resultados estadísticos pueden además utilizarse con
diferentes fines, incluidos fines de investigación científica. El fin estadístico
implica que el resultado del tratamiento con fines estadísticos no sean datos
personales, sino datos agregados, y que este resultado los datos personales no
se utilicen para respaldar medidas o decisiones relativas a personas físicas
concretas”.

Por lo que respecta al tratamiento de las categorías especiales de datos, el

Considerando 52 apunta, expresamente, que:

“deben autorizarse excepciones a la prohibición de tratar categorías

especiales de datos personales cuando lo establezca el Derecho de la Unión o
de los Estados miembros y siempre que se den las garantías apropiadas, a fin
de proteger datos personales y otros derechos fundamentales, cuando sea en
interés público, en particular (…) con fines de archivo en interés público, fines
de investigación científica e histórica o fines estadísticos”

Como colorario de todo lo anterior, ahondando en el tratamiento de los datos

con fines de investigación científica el primer inciso del Considerando 53
indica que:

“las categorías especiales de datos personales que merecen mayor protección

únicamente deben tratarse con fines relacionados con la salud cuando sea
necesario para lograr dichos fines en beneficio de las personas físicas y de la
sociedad en su conjunto”.

Un detalle importante debe destacarse: no podemos pasar por alto el

contenido del artículo 89 bajo la rúbrica “Garantías y excepciones aplicables al
tratamiento con fines de archivo en interés público, fines de investigación
científica o histórica o fines estadísticos” del RGPD. En efecto, el mencionado
articulo se postula y apuesta por la adopción de garantías respetanto siempre

6
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

el principio de minimización3 de los datos personales y la implementación de

medidas técnicas y organizativas que podrán incluir la seudonimización4.

Finalmente, como apunta el apartado segundo del artículo 89 del RGPD se deja
la opción de que se puedan establecer excepciones a los derechos de los
artículos 15, 16, 18 y 21 siempre que “sea probable que esos derechos
imposibiliten u obstaculicen gravemente el logro de los fines científicos”.

PROBLEMÁTICA SURGIDA EN LAS UNIVERSIDADES EN RELACIÓN A

LAS ACTIVIDADES DE INVESTIGACIÓN

De forma lógica y previa, resulta de capital importancia que los agentes

implicados en la investigación –grupos de investigación, investigadores
principales, gestores de los proyectos de investigación, doctorandos,
alumnado que está realizando sus TFG y TFM–, informen a la Universidad, en
su caso, a través de su delegado o delegada de protección de datos, sobre que
están investigando, y ello, es fundamental para que la institución pueda
aplicar, en el supuesto de tratamiento de datos personales, la adopción de
medidas técnicas y organizativas apropiadas con el fin de garantizar el
cumplimiento de los requisitos del RGPD y para garantizar la protección de los
derechos y libertades de las personas físicas con respecto al tratamiento de sus
datos personales.

No obstante, queda patente que en muchos supuestos de incumplimiento de la

normativa vigente en materia de protección de datos la Universidad ni sabe ni
va a saber que están investigando los agentes implicados en la investigación
por lo que difícilmente se va a poder orientar sobre las medidas técnicas y
organizativas que se deben implementar así como asesorarles en el protocolo
a seguir para incorporar, a modo de ejemplo, un nuevo fichero en el Registro
de Actividades de Tratamiento5.

3
Articulo 5.1 del RGPD. Los datos personales serán: c) adecuados, pertinentes y limitados a lo
necesario en relación con los fines para los que son tratados («minimización de datos»).
4 Articulo 4.5 del RGPD «seudonimización»: el tratamiento de datos personales de manera tal
que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que
dicha información adicional figure por separado y esté sujeta a medidas técnicas y
organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona
física identificada o identificable;
5 Protocolo a seguir para la inscripción en el RAT de la Universitat de les Illes Balears:
https://seu.uib.cat/LOPDGDD/Registre-Act.-Tractament/

7
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

Llegados a este punto, es indudable que en esta matèria no tenemos más que
considerar que los tratamientos de datos personales que realizan este tipo de
colectivos son tratamientos de la propia Universidad, como persona jurídica
que es, y, en consecuencia, es la propia institución la responsable del
tratamiento –y máxime cuando será responsable del cumplimiento de la
normativa vigente, y, a mayor abundamiento, debe ser capaz de demostrarlo
(«responsabilidad proactiva»)–. En efecto, la Universidad será la responsable
del tratamiento y deberá de determinar los fines y medios del mismo de
conformidad con la definición de responsable del tratamiento dada por el
artículo 4 del RGPD, que pasamos a reproducir de forma literal:

7) «responsable del tratamiento» o «responsable»:la persona física o jurídica,

autoridad pública, servicio u otro organismo que, solo o junto con otros,
determine los fines y medios del tratamiento; si el Derecho de la Unión o de los
Estados miembros determina los fines y medios del tratamiento, el
responsable del tratamiento o los criterios específicos para su nombramiento
podrá establecerlos el Derecho de la Unión o de los Estados miembros;

Otro aspecto a destacar, y no es una cuestión baladí, son los proyectos de

investigación que implican transferencias internacionales de datos. ¿Cómo
puede la institución controlar este tipo de actividades que suponen un flujo de
datos personales desde el territorio español a destinatarios establecidos en
países fuera del Espacio Económico Europeo (EEE: Países de la Unión Europea
más Liechtenstein, Islandia y Noruega)?

A mi entender, es una tarea fundamental desde las Universidades difundir

entre los miembros de la Comunidad Universitaria protocolos específicos de
actuación, políticas de privacidad y de seguridad, y ello, para demostrar desde
la institución esa responsabilidad «proactiva» de la que hablábamos
anteriormente.

En conclusión, podemos afirmar, y deberíamos estar de acuerdo en ello, que el

responsable del tratamiento es la propia Universidad, como persona jurídica,
puesto que es donde se desarrolla la investigación (actividad investigadora)
sin perjuicio de que internamente se puedan nombrar responsables
funcionales, como por ejemplo, el investigador principal inmerso en un
proyecto de investigación o el gestor de los proyectos de investigación en los
que se enmarcan.

8
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

LOPDGDD Y TRATAMIENTO DE DATOS DE SALUD6

Como punto de partida, y antes de abordar este epígrafe no podemos dejar de

mencionar el Considerando 157 del RGPD que prevé la posibilidad de que los
investigadores combinando información procedente de registros puedan
obtener nuevos conocimientos de gran valor sobre condiciones médicas
extendidas, como las enfermedades cardiovasculares, el cáncer y la depresión.

Efectivamente, indica el RGPD que partiendo de registros, los resultados de las

investigaciones pueden ser más sólidos, ya que se basan en una población
mayor. Y añade que, dentro de las ciencias sociales, la investigación basada en
registros permite que los investigadores obtengan conocimientos esenciales
acerca de la correlación a largo plazo, con otras condiciones de vida, de
diversas condiciones sociales, como el desempleo y la educación.

En este sentido, los resultados de investigaciones obtenidos de registros

proporcionan conocimientos sólidos y de alta calidad que pueden servir de
base para la concepción y ejecución de políticas basadas en el conocimiento,
mejorar la calidad de vida de numerosas personas y mejorar la eficiencia de
los servicios sociales.

Como conclusión, en el citado considerando se indica que: “Para facilitar la

investigación científica, los datos personales pueden tratarse con fines
científicos, a reserva de condiciones y garantías adecuadas establecidas en el
Derecho de la Unión o de los Estados miembros”.

Del mismo modo, el Gabinete Jurídico de la Agencia Española de Protección de

Datos emitió el informe 073667/2018 acerca de la incidencia que en el ámbito
de la investigación biomédica produce el RGPD. El Gabinete Jurídico indicó que
“en el caso de la investigación biomédica, y particularmente en la llevada a
cabo a partir de muestras biológicas procedentes del mismo, nos
encontraremos ante el tratamiento de datos relativos a la salud de los sujetos
fuente, toda vez que el artículo 4.15 del Reglamento los define como “datos
personales relativos a la salud física o mental de una persona física, incluida la
prestación de servicios de atención sanitaria, que revelen información sobre su
estado de salud”.

6
Articulo 4.15) «datos relativos a la salud»: datos personales relativos a la salud física o
mental de una persona física, incluida la prestación de servicios de atención sanitaria, que
revelen información sobre su estado de salud;
9
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

Por otra parte, dejaremos al margen el estudio de los ensayos clínicos que
podrían ser objeto, por su amplitud, de un artículo específico atendiendo al
contenido del Considerando 161: “Al objeto de otorgar el consentimiento para
la participación en actividades de investigación científica en ensayos clínicos,
deben aplicarse las disposiciones pertinentes del Reglamento (UE) n.o
536/2014 del Parlamento Europeo y del Consejo. ” 7

Entrando ya en el fondo del asunto, la Disposición adicional decimoséptima de

la LOPDGDD, bajo la rúbrica: “Tratamientos de datos de salud” establece una
serie de criterios para el tratamiento de datos personales en investigación en
salud. En nuestro caso, tiene especial importancia en el ámbito universitario
puesto que la mayoría de Universidades españolas tienen entre sus planes de
estudios Grados de Medicina, Psicología, Biología, Enfermeria, etc, existiendo,
en consecuencia, colaboraciones habituales entre grupos de investigación y
Hospitales Universitarios.

En este punto, se hace necesario e imprescindible traer a colación el concepto

de Biomedicina. ¿Qué entendemos por Biomedicina?

El diccionario de la Real Academia Española (DRAE) define la Biomedicina

como “Conjunto de disciplinas como la bioquímica, la biología molecular y

7
Tampoco podemos dejar de mencionar la Disposición final novena de la LOPDGDD que prevé la
Modificación de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de
derechos y obligaciones en materia de información y documentación clínica. Se modifica el apartado 3
del artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y
de derechos y obligaciones en materia de información y documentación clínica, que pasa a tener el
siguiente tenor: «Artículo 16. […] 3. El acceso a la historia clínica con fines judiciales, epidemiológicos, de
salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia
de protección de datos personales, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y demás
normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los
datos de identificación personal del paciente, separados de los de carácter clinicoasistencial, de manera
que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su
consentimiento para no separarlos. Se exceptúan los supuestos de investigación previstos en el apartado
2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y
garantía de los derechos digitales.
Asimismo se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere
imprescindible la unificación de los datos identificativos con los clinico asistenciales, en los cuales se
estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y
documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.
Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población,
las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud
Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de
protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario
sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto,
previamotivación por parte de la Administración que solicitase el acceso a los datos.»

10
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

celular y la genética, que desempeñan un papel fundamental en la medicina

actual”.

Retomemos el hilo conductor, precisadas las definiciones de datos relativos a

la salud y de Biomedicina veamos brevemente los criterios exigidos por la
LOPDGDD para el tratamiento de datos personales en investigación en salud
(finalidades biomédicas).

Precisa la LOPDGDD que el interesado o, en su caso, su representante legal

podrá otorgar el consentimiento para el uso de sus datos con fines de
investigación en salud y, en particular, con finalidades biomédicas. Tales
finalidades podrán abarcar categorías relacionadas con áreas generales
vinculadas a una especialidad médica o investigadora.

Asimismo, el marco normativo prevé la posibilidad de que las autoridades

sanitarias e instituciones públicas con competencias en vigilancia de la salud
pública podrán llevar a cabo estudios científicos sin el consentimiento de los
afectados en situaciones de excepcional relevancia y gravedad para la salud
pública.

En este punto, debemos tener presente, que la LOPDGDD considera lícita y

compatible la reutilización de datos personales con fines de investigación en
materia de salud y biomédica cuando, “habiéndose obtenido el consentimiento
para una finalidad concreta, se utilicen los datos para finalidades o áreas de
investigación relacionadas con el área en la que se integrase científicamente el
estudio inicial”.8

En conclusión, podemos determinar que el consentimiento en este ámbito

debe entenderse de forma amplia y no restrictiva, si ello, resulta beneficioso
para la sociedad en general.

A mayor abundamiento, para este tipo de tratamientos se requerirá informe

previo favorable del comité de ética de la investigación.9

8
Sin embargo, para este supuesto concreto, se debe tomar especial consideración en que los
responsables del tratamiento deberán publicar la información establecida por el artículo 13 del RGPD, en
un lugar fácilmente accesible de la página web corporativa del centro donde se realice la investigación o
estudio clínico, y, en su caso, en la del promotor, y notificar la existencia de esta información por medios
electrónicos a los afectados.
9
Los Comités de Ética de la Investigación (CEIs) son órganos colegiados constituidos al amparo de lo
dispuesto en la Ley 14/2007, de 3 de julio, de Investigación Biomédica, para garantizar en cada centro en
que se investigue la adecuación de los aspectos metodológicos, éticos y jurídicos de las investigaciones
que impliquen intervenciones en seres humanos o la utilización de muestras biológicas de origen
humano.
11
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

Por otra parte, la LOPDGDD considera lícito el uso de datos personales

seudonimizados con fines de investigación en salud y, en particular, biomédica.

En este sentido, el uso de datos personales seudonimizados con fines de

investigación en salud pública y biomédica precisará:

Primero.- De una separación técnica y funcional entre el equipo investigador y quienes

realicen la seudonimización y conserven la información que posibilite la reidentificación;

Segundo.- Que los datos seudonimizados únicamente sean accesibles al equipo de

investigación cuando exista un compromiso expreso de confidencialidad y de no realizar
ninguna actividad de reidentificación y se adopten medidas de seguridad específicas para
evitar la reidentificación y el acceso de terceros no autorizados.

Es evidente que de la mera lectura del tenor literal del precepto se permite la
reidentificación de los datos en su origen, cuando con motivo de una
investigación que utilice datos seudonimizados, se aprecie la existencia de un
peligro real y concreto para la seguridad o salud de una persona o grupo de
personas, o una amenaza grave para sus derechos o sea necesaria para
garantizar una adecuada asistencia sanitaria.

En definitiva, un apunte complementario debemos constatar, ese trato

“amable” no restrictivo que hemos venido postulando por parte del RGPD y de
la LOPDGDD podemos verlo reflejado en este apartado puesto que cuando se
traten datos personales con fines de investigación en salud, y en particular la
biomédica, a los efectos del artículo 89.2 del Reglamento (UE) 2016/679,
podrán excepcionarse los derechos de los afectados previstos en los artículos
15, 16, 18 y 21 del RGPD en los siguientes casos:

Primero.- los citados derechos se ejerzan directamente ante los investigadores o centros de
investigación que utilicen datos anonimizados o seudonimizados;

Segundo.- cuando el ejercicio de tales derechos se refiera a los resultados de la investigación;

Tercero.- cuando la investigación tenga por objeto un interés público esencial relacionado con
la seguridad del Estado, la defensa, la seguridad pública u otros objetivos importantes de

En consencuencia, la realización de cualquier actividad de investigación biomédica que

implique un riesgo físico o psíquico para el sujeto afectado o la utilización de muestras
biológicas de origen humano, requerirá el previo y preceptivo informe favorable del CEI, como
garantía de que son respetados los derechos fundamentales de las personas, los postulados
éticos que afectan a la investigación biomédica y los aspectos éticos, metodológicos y legales
derivados de la Ley de Investigación Biomédica. (Definición dada por la Red de Comités de
Ética del Sistema Sanitario Público).
12
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

interés público general, siempre que en este último caso la excepción esté expresamente
recogida por una norma con rango de Ley.

A continuación, la norma prevé, conforme a lo previsto en el artículo 89 del

RGPD, que cuando se lleve a cabo un tratamiento con fines de investigación en
salud pública y, en particular, biomédica se procederá a adoptar una serie de
medidas que, a continuación, pasamos a desglosar:

1.º Realizar una evaluación de impacto que determine los riesgos derivados del tratamiento en
los supuestos previstos en el artículo 35 del Reglamento o en los establecidos por la autoridad
de control. Esta evaluación incluirá de modo específico los riesgos de reidentificación
vinculados a la anonimización o seudonimización de los datos.

2.º Someter la investigación científica a las normas de calidad y, en su caso, a las directrices
internacionales sobre buena práctica clínica.

3.º Adoptar, en su caso, medidas dirigidas a garantizar que los investigadores no acceden a
datos de identificación de los interesados.

4.º Designar un representante legal establecido en la Unión Europea, conforme al artículo 74

del Reglamento, si el promotor de un ensayo clínico no está establecido en la Unión Europea.
Dicho representante legal podrá coincidir con el previsto en el artículo 27.1 del RGPD.

Debemos recordar de nuevo por su trascendencia que el uso de datos

personales seudonimizados con fines de investigación en salud pública y, en
particular, biomédica deberá ser sometido al informe previo del comité de
ética de la investigación previsto en la normativa sectorial. En el supuesto de
que no exista el citado Comité, la norma dispone que la entidad responsable de
la investigación requerirá informe previo del delegado de protección de datos
o, en su defecto, de un experto con los conocimientos previos en el artículo
37.5 del RGPD.

Por último, la norma prescribe que en el plazo máximo de un año desde su

entrada en vigor, los comités de ética de la investigación, en el ámbito de la
salud, biomédico o del medicamento, deberán integrar entre sus miembros un
delegado de protección de datos o, en su defecto, un experto con
conocimientos suficientes del Reglamento cuando se ocupen de actividades de
investigación que comporten el tratamiento de datos personales o de datos
seudonimizados o anonimizados.

CONSIDERACIONES FINALES

Como conclusión predominante, debemos ser capaces, como agentes

implicados en el tratamiento de datos personales en investigación, de
informar, trasladar, hacer partícipe a la institución –a través de su delegado o
13
 PROTECCION DE DATOS, UNIVERSIDAD Y ACTIVIDADES DE
INVESTIGACIÓN

delegada de protección de datos– de los estudios y proyectos en investigación

(actividad investigadora en su conjunto) que se están desarrollando en el seno
de la Universidad.

La idea primordial que pretendo trasladar al lector es que se requiere

implicación, coordinación y cooperación con la propia institución por parte de
todos los agentes implicados en el tratamiento de datos personales,
respetando así la protección de los datos personales como derecho
fundamental que es.

Como reflexión final, al margen del estudio que aquí se ha realizado,

deberíamos plantearnos a título individual, ante el riesgo de saturación
informativa, y en palabras del profesor José Luis Piñar, delegado de Protección
de Datos de la Abogacía Española y catedrático de Derecho Administrativo y
titular de la Cátedra Google sobre Privacidad, Sociedad e Innovación de la
Universidad CEU San Pablo, lo siguiente: “cuando se nos informa de tantas
cosas, al final, uno ya no sabe de qué le informan. Más vale tener cuatro cosas
claras: quién trata mis datos, qué datos trata, para qué y ante quién puedo
ejercer los derechos que me corresponden”.10

Nota: Todas las denominaciones que aparezcan en este artículo en género

masculino o femenino, se deben de entender referidas indistintamente al
género masculino o femenino, según el sexo del titular de quien se trate.

Caty Pou
Asesora jurídica de la Universitat de les Illes Balears
Abogada núm 4627 del ICAIB
Delegada de Protección de Datos (UIB)
Contacto: caty.pou@uib.es; dpo@uib.es
Twitter: @caty_pou
https://seu.uib.cat/LOPDGDD/

Firmado por POU RAYAS CATALINA ANA - DNI 43132221E el día

27/03/2019 con un certificado emitido por AC Administración
Pública

10
https://www.efefuturo.com/tecnologia/usuario-no-consciente-aun-del-nuevo-modelo-
privacidad/
14