TRATAMIENTO DE DATOS PERSONALES CON FINES DE INVESTIGACIÓN CIENTÍFICA SIN NECESIDAD DE RECABAR EL CONSENTIMIENTO
El GDPR establece que un tratamiento únicamente será lícito si se puede basar al menos con una de las bases jurídicas del art. 6.1.; además, si ese tratamiento incluye datos de categoría especial (art. 9.1. GDPR), dichos datos solo se podrán tratar si se dan una de las excepciones del art. 9.2 GDPR.
Para el caso del tratamiento de datos personales con fines de investigación científica o investigación en salud amparados en el art. 6.1.a) y 9.2.a) GDPR, es decir basados en el consentimiento explícito del interesado; si acudimos al considerando 33 del GDPR, encontramos que se indica que en estos tratamientos, con frecuencia no es posible determinar totalmente la finalidad del mismo en el momento de la recogida de los datos, por lo que si se pretende basar en el consentimiento no implica que este deba ser prestado de manera particular para cada investigación o proyecto concreto, ya que los interesados pueden dar su consentimiento para determinados ámbitos de la investigación o para concretos proyectos o partes de estos; con lo que podríamos plantearnos si realmente puede ser considerado este tipo de consentimiento, cuando es tan amplio, como un consentimiento informado y transparente, y por tanto válido. Y si esta falta de transparencia podría hacer que el interesado no tenga claro el destino de sus datos y, por tanto, su capacidad de control sobre los mismos.
1. Legitimación del tratamiento:
Para evitar basar el tratamiento con fines de investigación científica o investigación en salud en el consentimiento explícito del interesado, podríamos valorar hacerlo con el:
Las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública (Apartado 2.b) DA 17ª LOPDGDD).
Lo corrobora el considerando 50, cuando indica que las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles. La base jurídica establecida en el Derecho de la Unión o de los Estados miembros para el tratamiento de datos personales también puede servir de base jurídica para el tratamiento ulterior.
En la LOPDGDD, esta posibilidad se establece, aunque en el caso de tratamientos basados en el consentimiento, en el apartado 2.c) de la D.A. 17ª, en el que se indica que se considerará lícita y compatible la reutilización de datos personales con fines de investigación en materia de salud y biomédica cuando, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial.
Por tanto, el responsable del tratamiento no necesitará una base jurídica distinta de la inicial (fuese o no el consentimiento) que legitimó la obtención y tratamiento de los datos personales si los va a destinar ulteriormente a la investigación científica.
2. Habilitación para tratar datos de categoría especial:
Conforme a lo previsto en la DA 17ª apartado 2.d), los tratamientos de datos con fines de investigación científica amparados en las bases jurídicas previstas en el art. 6.1. e) y f) GDPR, serán lícitos, sin necesidad de recabar el consentimiento explícito del interesado, siempre que el tratamiento de datos de categoría especial sea necesario:
Ahora bien, el GDPR exige una serie de garantías para compensar la pérdida de derechos y control de los individuos respecto al uso de sus datos personales con fines de investigación científica. En este caso son la aplicación de las salvaguardas adecuadas del art. 89.1 y las disposiciones al efecto establecidas por los Estados miembros.
3. Medidas:
Conforme a lo previsto en la DA 17ª apartado 2.d), los tratamientos de datos con fines de investigación científica amparados en las bases jurídicas previstas en el art. 6.1. e) y f) GDPR, y habilitados el tratamiento de datos de categoría especial con los arts. 9.2.i o 9.2.j GDPR, serán lícitos, sin necesidad de recabar el consentimiento explícito del interesado, siempre que el tratamiento se lleve a cabo con datos personales seudonimizados:
Podrá procederse a la reidentificación de los datos en su origen, cuando con motivo de una investigación que utilice datos seudonimizados, se aprecie la existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza grave para sus derechos o sea necesaria para garantizar una adecuada asistencia sanitaria.