No te pierdas nuestros contenidos
SuscribirmeUn contexto que exige claridad
La ciencia ha sido reconocida desde hace tiempo en la legislación de la Unión Europea (UE) como un valor que beneficia a la sociedad. El Reglamento General de Protección de Datos (RGPD) refleja esto al permitir un cierto grado de flexibilidad cuando los datos se utilizan exclusivamente con fines de investigación científica, como la posibilidad de almacenarlos durante períodos más largos o reutilizarlos para proyectos relacionados. Sin embargo, el desarrollo de nuevas tecnologías y la expansión de la investigación transfronteriza han planteado dudas sobre el alcance de esas excepciones. ¿Qué actividades pueden beneficiarse del régimen de investigación? ¿Cómo se debe informar a los participantes cuando el objeto de un estudio evoluciona? ¿Qué medidas minimizan el riesgo de reidentificación? En respuesta a estas preguntas, el Comité Europeo de Protección de Datos (CEPD) adoptó el 15 de abril de 2026 el Borrador de Directrices 1/2026 con el objetivo de armonizar los enfoques y, una vez finalizada la Consulta pública, proporcionar un punto de referencia para las autoridades de control.
¿Qué se entiende por investigación científica?
El RGPD no define la «investigación científica»; las directrices cubren esa laguna describiendo seis características que, en conjunto, dan lugar a la presunción de que una actividad constituye investigación científica: (1) un enfoque metódico y sistemático; (2) el respeto de las normas éticas y la integridad de la investigación; (3) la verificabilidad y la transparencia de los resultados; (4) autonomía e independencia en la elección de los medios y los fines; (5) una contribución al conocimiento y al bienestar social; y (6) el potencial de contribuir al conocimiento científico existente o de aplicarlo de formas novedosas. Cuando todos estos elementos están presentes, el uso de los datos puede beneficiarse de las flexibilidades previstas por el RGPD.
El CEPD también aclara que las infraestructuras de datos de investigación, como los biobancos, los bancos de imágenes o los repositorios genéticos, pueden constituir en sí mismas investigación científica cuando su diseño refleje esos seis factores. Asimismo, señala que las operaciones de tratamiento auxiliares —la selección de participantes, la curación de conjuntos de datos o la seudonimización de la información— pueden entrar en el ámbito de la investigación científica cuando persigan un objetivo científico claro.
Una vez identificadas las características que distinguen a la investigación científica, la siguiente pregunta es cómo encajan estas en la estructura del RGPD.
De la definición de la finalidad a la gestión del tiempo
Una vez que una actividad ha sido identificada como científica, el siguiente paso es cumplir con los principios básicos del RGPD. El principio de limitación de la finalidad impide que los datos se reutilicen para fines incompatibles con aquellos para los que fueron recopilados originalmente. El artículo 5, apartado 1, letra b), sin embargo, introduce una presunción de compatibilidad de la finalidad: el tratamiento posterior de datos personales con fines de investigación científica es generalmente lícito y no requiere una prueba de compatibilidad separada cuando se mantiene la finalidad científica.
Dicha presunción se aplica únicamente cuando el tratamiento se limita a fines de investigación científica. Si un proyecto deriva hacia usos comerciales o excede el alcance del consentimiento original, será necesaria una evaluación de compatibilidad y, cuando proceda, podría ser necesario identificar una nueva base jurídica.
Otra cuestión clave es la gestión del tiempo. El RGPD permite a los responsables del tratamiento conservar los datos personales durante períodos más largos cuando se tratan con fines de investigación científica y se han establecido las garantías adecuadas. Por lo tanto, las directrices instan a los responsables del tratamiento a establecer períodos de conservación concretos, o al menos criterios claros, y a revisarlos periódicamente, evitando la conservación indefinida. La conservación de datos personales tras la finalización de un estudio puede estar justificada para verificar los resultados o apoyar proyectos de seguimiento, pero dicha conservación debe estar debidamente justificada.
Fundamentos jurídicos: consentimiento, interés público e interés legítimo
Tras la finalidad y el plazo, viene el análisis de la base jurídica. Las directrices identifican tres bases jurídicas principales para la investigación y recuerdan a los responsables del tratamiento que, cuando se trate de datos de salud, datos genéticos u otras categorías especiales de datos personales, también debe invocarse una condición del artículo 9.
- Consentimiento amplio. Se puede solicitar un consentimiento amplio para proyectos futuros que aún no puedan describirse por completo, siempre que el ámbito de investigación esté suficientemente delimitado. No basta con referirse en términos generales a la «investigación científica»; debe especificarse el campo o el objetivo previsto. Antes de que comience cada proyecto específico, el responsable del tratamiento debe verificar si este entra dentro de ese consentimiento amplio y, en caso contrario, obtener un consentimiento adicional. En otras palabras, consentimiento dinámico. Dado que el consentimiento amplio es menos específico, las directrices recomiendan mantener informados a los participantes y establecer una supervisión externa.
- Interés público o ejercicio de la autoridad pública. El artículo 6, apartado 1, letra e), del RGPD permite el tratamiento cuando una ley o un acto administrativo confía a una entidad una misión de interés público. La medida pertinente debe ser clara, necesaria y proporcionada. En el ámbito de la asistencia sanitaria, se espera que las normas específicas del sector especifiquen las garantías con mayor detalle.
- Interés legítimo. La investigación científica también puede basarse en los intereses legítimos del responsable del tratamiento o de un tercero, siempre que se sopese el valor social de la investigación frente a los derechos y las expectativas razonables de las personas afectadas. Deben adoptarse medidas adecuadas para mitigar los riesgos. Las autoridades públicas no pueden invocar esta base jurídica en relación con el tratamiento realizado en el ejercicio de sus funciones públicas. Cuando se trate de categorías especiales de datos personales, la condición pertinente del artículo 9 y cualquier requisito nacional aplicable también determinarán el análisis.
Transparencia y derechos de los interesados
Una vez identificada la base jurídica, los responsables del tratamiento deben centrarse en la transparencia. Las directrices dejan claro que los participantes deben saber quién trata sus datos personales, con qué finalidad, durante cuánto tiempo y cómo pueden ejercer sus derechos. En los estudios a largo plazo, es recomendable recopilar datos de contacto para que los participantes puedan mantenerse informados de las novedades y los cambios. La información puede facilitarse mediante avisos escritos, sitios web o aplicaciones, y debe incluir un punto de contacto para consultas.
Cuando los datos personales se obtengan de otras fuentes, se deberá informar igualmente a las personas afectadas, salvo que ello resulte imposible o que pueda perjudicar gravemente el objetivo de la investigación. Cualquier cambio sustancial —por ejemplo, la inclusión de nuevas categorías de datos o de nuevos socios— deberá comunicarse con la debida antelación.
Los participantes conservan sus derechos de supresión y de oposición, aunque el RGPD prevé excepciones específicas en el contexto de la investigación. El responsable del tratamiento podrá denegar una solicitud de supresión cuando la eliminación imposibilite la investigación o la perjudique gravemente y cuando se hayan establecido las garantías adecuadas. Del mismo modo, se puede anular una oposición cuando el responsable del tratamiento pueda demostrar que el tratamiento es necesario para una tarea realizada en interés público o que su interés legítimo prevalece y coincide con ese interés público. Las excepciones previstas en el artículo 89, apartado 2, y en las legislaciones nacionales permiten adaptar esos derechos al contexto científico.
El tratamiento de estos derechos está estrechamente relacionado con la asignación de responsabilidades y con las medidas técnicas y organizativas que sustentan la confianza en la investigación científica.
Responsabilidades y garantías: un puente hacia la confianza
Además de los principios y las bases jurídicas, la protección de datos requiere una clara asignación de responsabilidades. Cuando varias entidades determinan conjuntamente los fines y los medios de un estudio —como suele ocurrir en los consorcios de investigación—, actúan como corresponsables del tratamiento y deben documentar y comunicar sus respectivas responsabilidades para que los participantes sepan a quién dirigirse.
Las garantías adecuadas son el otro pilar que permite aprovechar la flexibilidad del artículo 89, apartado 1. El CEPD insiste en la minimización de datos: siempre que sea posible deben utilizarse datos anonimizados o seudonimizados, y los datos que permitan una identificación directa solo deben tratarse cuando sea estrictamente necesario. Los proyectos también deben estar sujetos a una supervisión ética independiente. Los entornos de tratamiento seguros permiten analizar la información sin copiarla ni descargarla, lo que reduce el riesgo de divulgación. Tecnologías como la seudonimización, el cifrado y la privacidad diferencial pueden mitigar aún más el riesgo.
Como señalamos en nuestra entrada anterior Post | Los datos seudonimizados en los ensayos clínicos, la seudonimización reduce el riesgo de reidentificación, pero no elimina el carácter personal de los datos cuando existe una clave de reidentificación. El Borrador de las directrices refuerza este punto. Por lo tanto, los responsables del tratamiento deben combinar la seudonimización con protecciones contractuales, una gobernanza sólida y criterios de publicación que impidan que se revele la identidad de los participantes.
Implicaciones prácticas para el sector farmacéutico y sanitario
Para el sector farmacéutico y sanitario, las directrices se traducen en prácticas concretas. Los promotores de ensayos clínicos deben basarse en metodologías sólidas y garantizar que los protocolos sean revisados por comités de ética. Cuando se utilice el consentimiento amplio, el alcance de la investigación debe delimitarse claramente y se debe mantener informados a los participantes para que se pueda solicitar el consentimiento dinámico a medida que los proyectos evolucionen. Los biobancos deben definir quién puede acceder a las muestras y garantizar que el tratamiento se realice en entornos seguros. En proyectos multinacionales, es esencial identificar a los corresponsables del tratamiento y acordar condiciones de transferencia que cumplan con las normas de protección de datos.
Un horizonte de participación
La Consulta pública sobre las Directrices 1/2026 permanecerá abierta hasta el 25 de junio de 2026. Esto brinda a las empresas farmacéuticas, los hospitales universitarios, las organizaciones de pacientes y otras partes interesadas la oportunidad de presentar comentarios. Dichas observaciones pueden influir en la versión final de las directrices y en la futura interpretación del RGPD en el contexto de la investigación.
A la espera de esa versión definitiva, las organizaciones del sector farmacéutico y sanitario ya pueden empezar a revisar sus proyectos a la luz del Borrador. Resulta útil verificar si las actividades cumplen las seis características que identifican la investigación científica, elegir la base jurídica adecuada y, cuando proceda, la condición del artículo 9, actualizar los avisos de privacidad para que los participantes comprendan la finalidad y la duración del tratamiento, establecer canales de comunicación y procedimientos para gestionar las solicitudes de supresión y oposición, asignar responsabilidades entre los socios e implementar medidas de seguridad como la seudonimización y entornos de tratamiento seguros. En resumen, un enfoque proactivo de la protección de datos no solo facilita el cumplimiento, sino que también contribuye a generar confianza, una condición necesaria para que la investigación científica prospere y siga aportando beneficios a la salud pública.
Para más información, no dudes en contactar con nuestros especialistas de Cuatrecasas a través del Área de Conocimiento e Innovación.
No te pierdas nuestros contenidos
Suscribirme