GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Tratamiento de datos personales con fines de investigación

Cuando una empresa debe procesar datos personales con fines de investigación, la empresa debe cumplir con las normas específicas del RGPD. Esto se aplica tanto al procesamiento de datos personales con fines de investigación científica o histórica. 

Diferencia entre los Propósitos de la Investigación Histórica y los Propósitos de la Investigación Científica

Fines de la investigación científica

Estudios que son metódicos y sistemáticos, destinados a desarrollar una nueva comprensión o conocimiento en ciertas áreas específicas.

Finalidades de la investigación histórica

Investigación y trabajos relacionados destinados a comprender, preservar, analizar o documentar eventos históricos, personas, condiciones, situaciones y similares que hayan ocurrido en el pasado.

Adoptar las medidas de seguridad técnicas y organizativas adecuadas

Las empresas deben proteger los datos personales tratados adoptando las medidas de seguridad técnicas y organizativas adecuadas. Esto también se aplica cuando una empresa procesa datos personales con fines de investigación. Si es posible lograr el mismo resultado a través de datos anónimos, los datos personales deben anonimizarse.

Ejemplos de medidas técnicas de seguridad:

  • Seudonimización o anonimización de datos personales. 
  • Autenticación de dos factores (2FA) al iniciar sesión en sistemas con datos personales. 
  • Protección antivirus en dispositivos y programas que procesan datos personales. 

Ejemplos de medidas organizativas de seguridad:

  • Acuerdo de confidencialidad con el personal encargado del tratamiento de datos personales. 
  • Procedimientos internos relativos al tratamiento de datos personales y situaciones específicas, como violaciones de datos personales.
  • Control de acceso para garantizar que solo los usuarios autorizados tengan acceso a los datos personales tratados en un sistema determinado. 

Comúnmente para colaborar con la corresponsabilidad del tratamiento

En la investigación, es normal que dos o más instituciones colaboren. Por ejemplo, investigadores de una institución de Finlandia que colaboran con investigadores de una institución de Inglaterra. En tales casos, es importante definir las funciones entre las partes. No es raro que exista una responsabilidad conjunta de los datos personales en la investigación en la que participen varias instituciones. También puede haber un controlador independiente para cada institución, o puede haber una relación de procesador entre las instituciones. 

¿Es el consentimiento una base jurídica común para el tratamiento de datos personales con fines de investigación?

No, el consentimiento es una base legal compleja para respaldar el procesamiento. Sin embargo, puede ser apropiado en ciertos casos, como se ilustra a continuación, para datos personales sensibles.  

¿Está permitido el tratamiento de datos personales sensibles con fines de investigación?

El tratamiento de datos personales sensibles no está permitido en virtud de la norma general del artículo 9 del RGPD. Sin embargo, hay excepciones. Para procesar datos personales sensibles con fines de investigación, el operador que desee llevar a cabo el procesamiento debe encontrar una excepción aplicable. Por ejemplo, para obtener el consentimiento explícito del interesado para el tratamiento de los datos personales sensibles. Además, puede haber leyes nacionales que regulen exenciones específicas. Tenga en cuenta que los requisitos para implementar las medidas de seguridad técnicas y organizativas adecuadas son más altos cuando el procesamiento se refiere a datos personales sensibles. 

Procesar los mismos datos personales nuevamente con fines de investigación

Dentro del RGPD, la regla principal es que cada nuevo procesamiento requiere una nueva base legal, a pesar de que la empresa ya procesa los mismos datos personales. Sin embargo, hay excepciones. Por ejemplo, se permite el procesamiento adicional sin una base legal adicional con fines de investigación. En otras palabras, se aplican las mismas normas a los archivos de interés público que al tratamiento posterior con fines de investigación. 

Puede haber más leyes nacionales que deben observarse cuando se procesa para la investigación

Muchos países de la UE tienen leyes nacionales complementarias que regulan el tratamiento de datos personales con fines de investigación. Por lo tanto, es importante conocer las leyes nacionales del país en el que se lleva a cabo la investigación, para cumplir con ellas. 

RGPD - REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Tratamiento de datos personales en las escuelas

Las escuelas en el área de la UE / EEE, tanto privadas como gubernamentales, procesan datos personales dentro de sus operaciones y, por lo tanto, están sujetas al RGPD. Además, generalmente procesan datos personales pertenecientes a niños, que es un grupo de sujetos de datos extra dignos de protección. También es común tratar datos personales sensibles, como las posibles alergias y bajas por enfermedad de empleados y estudiantes. La base jurídica adecuada depende del tratamiento. El consentimiento generalmente no es apropiado porque existe una relación de poder desigual entre los alumnos y la escuela. Las escuelas públicas no pueden tener un interés legítimo en el procesamiento de datos personales, ya que está prohibido por el RGPD. Sin embargo, puede ser permitido para las escuelas privadas, pero por lo general es inapropiado para ellos también. 

¿Quieres saber más?

Leer más
Scroll al inicio