Compartir datos
Home » RGPD » Principales herramientas y acciones » Compartir datos

Frederic Tronnier (GUF)

Esta parte de Las Directrices fue revisada por Aurélie Pols e Iñigo de Miguel Beriain.

Esta parte de las Directrices ha sido revisada y validada por Marko Sijan, Asesor Superior Especialista, (HR DPA)

 

Esta parte de las Directrices ofrece consejos para los investigadores que quieran compartir datos procesados con otros investigadores u organizaciones de investigación después de haber realizado su tarea de investigación original. El hecho de compartir los datos con otros investigadores probablemente se considere una forma de “difusión” o de poner los datos “a disposición” de otros investigadores. En consecuencia, se consideraría un procesamiento (adicional) diferente al original, que implicaba que los datos se “utilizaran” para abordar una pregunta de investigación (véase “Obtener acceso a una base de datos” en la sección de la Parte II “Principales herramientas y acciones”).

Partiendo de la base de que no se ha obtenido el consentimiento expreso de los interesados (de lo contrario, el requisito de legalidad sería más fácil de cumplir en virtud del artículo 6, apartado 1, letra a)). 6(1)(a), existen varios escenarios que exigen diferentes evaluaciones jurídicas (véase “Identificación”, “Seudonimización” y “Anonimización” en la sección “Conceptos principales” de la Parte II de estas Directrices):

  • Si los datos se han seudonimizado o se han establecido las salvaguardias adecuadas contra la reidentificación, puede ser más fácil que la “puesta en común” de los datos se considere legal en virtud del art. 6(4). 6(4).
  • Incluso si los datos no han sido seudonimizados, siempre que la difusión de los datos se considere necesaria para fines de investigación científica o histórica (por ejemplo, no está destinada a satisfacer la curiosidad morbosa de otros investigadores, sino a ayudarles realmente a progresar en su campo), el tratamiento seguirá considerándose probablemente como operaciones de tratamiento lícito compatibles (considerando 50), aunque sigue siendo muy aconsejable obtener el consentimiento de los interesados para el tratamiento posterior. Los considerandos 159 y 33 introducen la noción de consentimiento amplio para la investigación científica, lo que significa que el tratamiento exacto no debe especificarse completamente por adelantado. Sin embargo, los sujetos de los datos deben tener la opción de dar su consentimiento para áreas específicas de la investigación y retirar el consentimiento para otras partes del objetivo de la investigación.

En cualquier caso, los responsables del tratamiento tendrán que satisfacer el principio de equidad/transparencia (véase “legalidad, equidad y transparencia” en la sección “Principios” del Patr. II de estas Directrices) de nuevo, haciendo que los interesados sean conscientes de sus derechos en cuanto a esta finalidad adicional (art. 14.4). Todos los demás principios del RGPD deberán cumplirse también en relación con este tratamiento posterior.

Al igual que en el caso de la venta de datos personales, tenga en cuenta que usted puede tener un control conjunto con el destinatario de los datos y que sigue siendo responsable de la base de datos, es decir, responsable en caso de que el destinatario de los datos cometa infracciones (véase “Actores principales” en la Parte II de estas Directrices). Por lo tanto, al igual que en todas las transacciones, es necesario y aconsejable que haya contratos entre usted y el receptor de la base de datos para que todas las partes tengan claras las obligaciones y los derechos legales de cada una de ellas. Los contratos deben especificar la finalidad del receptor con los datos, así como el modo en que se protegerán los derechos de los interesados y quién lo hará.

Lo que hay que hacer
  • Antes de adquirir el acceso a una base de datos, un contrato entre el proveedor y el receptor de los datos debe definir los derechos y responsabilidades de cada parte implicada en la transacción. Esto incluye definir si la finalidad del tratamiento por parte del receptor está en consonancia con el tratamiento que los interesados consintieron anteriormente.
  • Trate todos los datos con el mismo cuidado que los datos personales y recuerde que los datos pueden ser agregados con datos adicionales de otras fuentes. Así, la anonimización de los datos personales es muy difícil.
  • Si recaba el consentimiento para compartir datos, recuerde mantener un lenguaje claro y sencillo para atraer al mayor número de personas posible. Hágalo relevante para la vida de las personas; utilice ejemplos reales y cotidianos siempre que sea posible. Esto incluye explicar para qué se necesitan los datos, qué derechos tienen los interesados y cómo se protegen los datos y la privacidad del interesado. Asegúrese de recabar el consentimiento individual para cada uno de los fines para los que prevea la necesidad de procesar los datos personales.
  • Recopilar pruebas de que se han realizado inversiones sustanciales para la creación de su base de datos (no en la creación de datos como tal). Esto garantiza los derechos sui generis de la base de datos, que le otorgan el derecho a impedir que otros utilicen la base de datos o extraigan información de ella.
  • Registra todo lo que haces y explica el motivo.
  • Asegúrese de tener una base legal para la divulgación a terceros. Transmita las obligaciones a los receptores de los datos y establezca estipulaciones claras.
  • Si tiene dudas sobre la comercialización de datos, pregunte al mayor número posible de expertos antes de comercializarlos por su cuenta.
  • Infórmese sobre el RGPD leyéndolo. Es necesario comprender claramente los términos básicos: “datos personales”, “tratamiento”, “encargado del tratamiento”, “responsable del tratamiento” y “interesado” es necesario, pero tenga en cuenta que el cumplimiento del RGPD va más allá de estos términos. Por lo tanto, consulte con un responsable de la protección de datos (si se ha designado uno en su organización) o con especialistas en protección de datos personales antes de iniciar las operaciones de tratamiento.
  • Para la investigación científica, utilice el dictamen del SEPD sobre protección de datos e investigación científica[1]
Lo que no hay que hacer
  • No utilice el paradigma de la propiedad de los datos: no encaja. Los derechos fundamentales de los interesados no pueden “venderse”.
  • No piense que si paga a un fabricante de bases de datos para utilizar su base de datos, quedará excluido de la responsabilidad en aquellos casos en los que el proveedor de los datos haya infringido otro derecho sobre una base de datos anterior. Cuestiona siempre de forma crítica el origen de los datos que vas a comprar.
  • No intente recabar el consentimiento para todas las situaciones posibles, la gente desconfiará de usted. Sin embargo, tampoco recojas un consentimiento para más de un propósito de procesamiento. Además, no utilices una jerga para ocultar la intención o asustar a la gente.
  • No advierta de las consecuencias económicas de la retirada del consentimiento o de la negativa a darlo. Recuerde que debe ofrecer a los participantes una opción real.
  • No asuma nunca que los datos que ha recogido no son críticos. No se salte la aplicación del RGPD por la seudonimización de los datos personales. En la mayoría de los casos es mucho más fácil reidentificar a los sujetos de los datos de lo que usted piensa (por ejemplo, debido a las tecnologías avanzadas que pueden correlacionar datos de múltiples fuentes y vincularlos a una persona específica). Sólo si los datos están realmente anonimizados, ya no es posible revertirlos a datos personales.

 

  1. SEPD, 2020. Dictamen preliminar sobre la protección de datos y la investigación científica. Disponible en: https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf

 

Ir al contenido