Los investigadores deben identificar primero el objetivo de su actividad (por ejemplo, realizar un estudio teórico, desarrollar un sistema biométrico, probar uno existente, etc.). Este es un paso importante no sólo para definir los fines para los que se recogerán los datos personales, sino también para ayudar a los investigadores a identificar si la actividad se califica como “investigación” y, en consecuencia, si se aplican las disposiciones legales específicas para las actividades de investigación. El artículo 89.2 del RGPD, por ejemplo, introduce varias excepciones para el tratamiento de datos personales en el contexto de la investigación. En particular, el artículo reconoce que ciertos derechos de los interesados (derecho de acceso, derecho de rectificación, derecho de restricción, derecho de oposición. Para más información, véase “Derechos de los interesados” en la Parte II de estas Directrices) dificultarían o impedirían que algunas investigaciones alcanzaran sus objetivos. Por lo tanto, establece excepciones a estos derechos cuando se cumplen dos criterios. En primer lugar, la exención deberá estar explícitamente prevista por los Estados miembros o el Derecho de la Unión. Esto significa que, además de las disposiciones del RGPD, los investigadores pueden quedar exentos de la obligación de cumplir dichos derechos solo en la medida en que existan fundamentos jurídicos específicos en una ley nacional o en la legislación de la UE distinta del RGPD (véase la sección 3.2.3 “Identificar la base jurídica más adecuada”). En segundo lugar, los investigadores aplicarán las medidas técnicas y organizativas adecuadas para salvaguardar los derechos y las libertades de los sujetos de los datos, tal y como exige el artículo 89.1 del RGPD. Dado el impacto potencial de cumplimiento para la actividad de investigación, es importante evaluar inmediatamente si la actividad se califica como “investigación”

También es necesario un alcance correcto de las actividades para que los investigadores comprendan los riesgos de protección de datos vinculados a la investigación. Por ejemplo, es probable que los sistemas que se utilicen en la asistencia sanitaria o en la aplicación de la ley requieran resultados más precisos que los empleados para actividades de ocio (como los servicios de transmisión de música). Dado que la precisión de un sistema puede depender en ciertos casos de la cantidad de datos personales que se procesen (por ejemplo, durante el entrenamiento de un algoritmo de IA), la necesidad de mayor precisión puede introducir más riesgos para la protección de datos. Los investigadores deben identificar con claridad qué nivel de precisión tendrá que satisfacer el sistema y definir estrategias para garantizar que dicha precisión se alcance introduciendo el menor nivel de riesgo posible, por ejemplo, limitando la cantidad de datos personales procesados (véase “Minimización de datos” en la sección “Principios” de la Parte II de estas Directrices).

Por último, pero no por ello menos importante, los investigadores tienen que entender su papel y el de otros actores implicados. Los investigadores tienen que examinar su participación en el tratamiento de datos previsto para entender si ellos (es decir, la entidad para la que trabajan) son las entidades con las principales responsabilidades sobre el tratamiento de datos (controlador de datos), si comparten el papel de controlador de datos con otras entidades (controlador conjunto), o si tratan los datos en nombre de otras entidades (procesador de datos). Las distintas funciones implican un reparto diferente de responsabilidades y obligaciones.