Garantías adecuadas que deben adoptarse en virtud del apartado 1 del artículo 89
Home » RGPD » Conceptos principales » Protección de datos e investigación científica » Garantías adecuadas que deben adoptarse en virtud del apartado 1 del artículo 89

El apartado 1 del artículo 89 exige que se apliquen “garantías adecuadas” al tratamiento de datos personales con fines de investigación científica o histórica o con fines estadísticos, independientemente de cuál sea la base jurídica del tratamiento. El objetivo de estas garantías es asegurar el respeto del principio de minimización de los datos personales (véase la subsección “Principio de minimización” en la sección “Principios” dentro de la Parte II de estas Directrices. Así pues, el primer parámetro que debe analizarse es si se cumplen las condiciones propias del tratamiento de datos personales, es decir, el tratamiento de datos personales debe ser necesario para llevar a cabo esa investigación concreta. El apartado 1 del artículo 89 establece que las garantías adecuadas “deben reflejarse en medidas técnicas y organizativas”, como la seudonimización. La seudonimización debe ir acompañada de otras disposiciones, en función de los riesgos de cada proyecto. Los responsables del tratamiento deben velar siempre por la aplicación de medidas técnicas y organizativas adecuadas destinadas a garantizar la protección de los derechos y libertades de los interesados. A continuación, se presentan algunos ejemplos posibles de dichas medidas o salvaguardias:

  • Control del acceso a las bases de datos de forma que dicho acceso sólo se permita a personas autorizadas, para investigaciones aprobadas, con interés científico justificado, y solución informática implementada que permita un control auditable de los archivos de registro de acceso.
  • Firma de un compromiso jurídicamente vinculante entre las partes, que incluye las condiciones del tratamiento: compromiso de confidencialidad y no identificación de los interesados, y uso de los datos para la finalidad específica autorizada.
  • Aplicación de medidas de seguridad para garantizar la protección de la transferencia y el almacenamiento de datos en el destinatario.
  • Garantizar la transparencia de la información proporcionada a los participantes.
  • Seguimiento continuo de las condiciones de tratamiento a lo largo del tiempo, que podría adoptar la forma de medidas de transparencia (publicación y accesibilidad de las políticas de gestión de datos) y de previsiones a largo plazo (identificación de las obligaciones del responsable del tratamiento). En relación con este último punto, cabe destacar la necesidad de establecer compromisos claros de control de la gestión/tratamiento de los datos personales por parte de la institución que lleva a cabo la investigación y que podría encomendarse más específicamente al Comité de Ética de la Investigación (CEI) correspondiente.
  • Establecimiento de un sistema de control externo al investigador que podría ser competencia del CEI correspondiente o de la dirección del centro de investigación, que debería participar en el citado acuerdo.

Además, los investigadores deben tener en cuenta que existen otros mecanismos previstos en el régimen general del RGPD que también introducen medidas adecuadas al tratamiento de datos con fines de investigación en el sentido del artículo 89.1, como las EIPD o la intervención de los DPD.  Por último, es interesante mencionar que existen iniciativas para promover códigos de conducta y mecanismos de certificación internacionales que pueden armonizar estas salvaguardias.

Ir al contenido