Las leyes de protección de datos se aplican a cualquier persona que recopile información sobre una persona viva. Entonces, ¿qué necesitan saber los investigadores en artes, humanidades y ciencias sociales? [Publicado originalmente en el LSE Impact Blog en septiembre/2020]

Por Katherine Foxhall

Imagen: Comfreak.

El Reglamento General de Protección de Datos de la UE (RGPD) entró en vigor el 25 de mayo de 2018 y fue diseñado para proteger los derechos en línea de las personas en relación con sus datos personales. En el Reino Unido, el GDPR se promulgó a través de la Ley de protección de datos de 2018 (UKDPA). Si bien el Reino Unido se encuentra dentro del período de transición de su retiro de la UE, el GDPR aún se aplica; el gobierno ha explicado su intención de incorporar un “RGPD del Reino Unido” junto con la ley de protección de datos del Reino Unido a partir de 2021.

Las leyes de protección de datos se aplican a cualquier persona que recopile información sobre una persona viva, ya sea por motivos de empleo, estudio o de forma independiente, voluntaria o personal. Entonces, ¿qué necesitan saber los investigadores en artes, humanidades y ciencias sociales?

1. La investigación está contemplada explícitamente en el GDPR

La buena noticia es que la investigación, ampliamente entendida, que promueve el conocimiento y el bienestar colectivos de la sociedad, disfruta de una posición privilegiada dentro del GDPR. Mientras se desarrollaban las nuevas regulaciones, las organizaciones instaron al Parlamento Europeo y a la Comisión Europea a proteger la investigación. En el Reino Unido, la Academia Británica y el Consejo de Investigación Económica y Social, junto con las asociaciones de ciencias sociales, trabajaron arduamente para garantizar que la “naturaleza centrada en el público” y el “valor social crítico” de la expresión académica se protegieran dentro del nuevo GDPR, por ejemplo para evitar que las universidades interpreten la nueva normativa de forma muy restrictiva a través de procesos como la revisión ética.

GDPR permite específicamente la recopilación y el procesamiento de datos para “fines de investigación científica o histórica” o “fines estadísticos”, lo que permite algunas exenciones de los derechos de los interesados relacionados con el acceso, la rectificación, la restricción del procesamiento y el derecho a oponerse.

2. La investigación debe ser ética

Las exenciones para la investigación asumen la existencia de estándares metodológicos y éticos relacionados con el sector ampliamente aceptados y de larga data para la investigación. Si bien los códigos de conducta y práctica éticos y profesionales no rigen las materias de SHAPE (Social Sciences, Humanities & the Arts for People & the Economy – Ciencias sociales, Humanidades y Artes para las Personas y la Economía) de la misma manera que el periodismo y la investigación en salud, los investigadores tienen normas metodológicas, éticas y profesionales reconocidas que guían el trabajo de los científicos sociales y los académicos de humanidades. Un ejemplo es la orientación de la Comisión Europea sobre Ética en Ciencias Sociales y Humanidades.

3. Siga los principios básicos

Si el uso de datos personales por parte de un investigador es para “fines de investigación científica o histórica” o “fines estadísticos”, debe cumplir con los principios básicos para el procesamiento de datos personales en el corazón del GDPR. Por lo tanto, los investigadores deben asegurarse de recopilar, procesar y almacenar datos:

  • de manera legal, justa y transparente
  • para fines específicos y limitados
  • que solo se recopilen datos mínimos
  • por no más de lo necesario
  • de forma segura y responsable

4. Elija una base legal

Además de cumplir con los principios básicos, los investigadores deben elegir una base legal para el procesamiento de datos. Si bien el consentimiento puede parecer una base legal obvia, UKRI advierte a sus investigadores que, si bien buscar el consentimiento de las personas para participar en un proyecto es ético y puede ser necesario por otras razones legales (por ejemplo, para ensayos médicos), el consentimiento tal como lo define el GDPR no es probable que sea una base legal para el procesamiento de datos personales con fines de investigación. Una razón importante de esto es que las personas tienen derecho a retirar su consentimiento.

En cambio, es probable que los investigadores académicos empleados por instituciones de educación superior del Reino Unido, o cuyo trabajo esté financiado por un consejo de investigación o una organización benéfica como Wellcome Trust, puedan elegir la “tarea pública” como base legal adecuada, lo que refleja que la los Estatutos de la Universidad y la legislación como la Ley de Reforma Educativa de 1988 prevén explícitamente la investigación. Depender de la “tarea pública” como base legal, señala además, UKRI, también puede ayudar a asegurar a los participantes de la investigación que la organización es creíble y que sus datos personales contribuirán al bien público.

Si la “tarea pública” no está disponible o no es apropiada (por ejemplo, porque un investigador es autónomo), entonces el “interés legítimo” puede proporcionar una base legal flexible y apropiada para el procesamiento de datos que puede incluir intereses comerciales, intereses individuales (incluido el del investigador) o beneficios sociales más amplios. El “interés legítimo” probablemente será una base legal apropiada para usar material que contenga datos personales en la enseñanza y para proyectos como disertaciones de estudiantes, aunque los estudiantes y el personal deben ser conscientes de sus responsabilidades.

5. Datos personales de categoría especial (sensibles)

Una forma clave en la que la investigación está protegida en GDPR es en las disposiciones para el procesamiento de ciertas categorías “especiales” de datos personales. Anteriormente conocido como “datos sensibles”, esto incluye información sobre el origen racial o étnico de una persona; opiniones políticas; creencias religiosas o filosóficas; afiliación sindical; datos genéticos o biométricos; salud, vida sexual o orientación sexual. El procesamiento de categorías especiales de datos personales está permitido si se identifica una base legal y existe una condición separada apropiada para el procesamiento de una categoría especial. La investigación se considera una de estas condiciones apropiadas.

6. Exenciones para fines especiales

Existe una segunda ruta hacia las exenciones de las obligaciones del GDPR y la UKDPA. Esto es a través de las disposiciones permitidas para la categoría de “fines especiales”, que ahora incluye fines académicos junto con fines periodísticos, artísticos o literarios. A primera vista, las exenciones para “fines especiales” parecen particularmente atractivas porque ofrecen un alivio de las obligaciones relacionadas con los principios básicos de la protección de datos, como la identificación de una base legal; condiciones para el consentimiento; procesamiento de categorías especiales de datos; y los derechos individuales de los interesados.

Sin embargo, las exenciones para “propósitos especiales” deben usarse con cuidado. Las regulaciones de protección de datos no son independientes de la legislación como la Ley de Derechos Humanos (1998) y la Ley de Igualdad (2010), y GDPR requiere explícitamente que se sigan los códigos y pautas regulatorias (como las Pautas editoriales de la BBC y el Código de Broadcasting de Ofcom). Un análisis reciente1 realizado por especialistas legales sugiere que los umbrales en estas exenciones relacionadas con la “necesidad” y la publicación son altos. Debido a que los propósitos académicos fueron una nueva adición a la categoría preexistente de propósitos especiales en 2018, los límites legales para la interpretación de las exenciones para académicos aún no se han probado.

Conclusión

Como observó recientemente el Supervisor Europeo de Protección de Datos: “el respeto por los datos personales es totalmente compatible con la investigación responsable2”. Las consideraciones clave para los investigadores que utilizan datos personales son éticas y prácticas. Los datos deben recopilarse por motivos claros, proporcionados y necesarios. Los datos deben protegerse contra el uso indebido, la destrucción o los daños tanto antes como después de las publicaciones resultantes. Los investigadores deben mantener registros, incluidas las decisiones que se hayan tomado en relación con los datos. Los investigadores no deben tomar decisiones sobre personas que se basen únicamente en el procesamiento automatizado y utilizar seudonimización y cifrado cuando sea posible

Nada de esto representa un cambio radical en la forma en que los investigadores deben abordar el uso de los datos. Sin embargo, representa una oportunidad para que los investigadores revisen sus métodos y se aseguren de que el uso que hacen de los datos personales sea justo, legal, transparente, seguro y no cause daños sustanciales, daños o angustia a las personas.

Descargue el Royal Historical Society Guide to Data Protection and Historians in the UK.

Notas

1. MOURBY, M., et al. Governance of academic research data under the GDPR—lessons from the UK. International Data Privacy Law [online]. 2019, vol. 9, no. 3, pp. 192–206 [viewed in 07 October 2020]. DOI: 10.1093/idpl/ipz010. Available from: https://academic.oup.com/idpl/article/9/3/192/5536592

2. A Preliminary Opinion on data protection and scientific research [online]. European Data Protection Supervisor. 2020 [viewed in 07 October 2020]. Available from: https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf

Referencias

A Preliminary Opinion on data protection and scientific research [online]. European Data Protection Supervisor. 2020 [viewed in 07 October 2020]. Available from: https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf

Ensuring a healthy future for scientific research through the Data Protection Regulation 2012/0011(COD) [online]. Wellcome. 2015 [viewed in 07 October 2020]. Available from: https://wellcome.org/sites/default/files/ensuring-healthy-future-for-scientific-research-data-protection-regulation-joint-statement-dec15.pdf

Ethics in Social Science and Humanities [online]. European Union. 2018 [viewed in 07 October 2020]. Available from: https://ec.europa.eu/research/participants/data/ref/h2020/other/hi/h2020_ethics-soc-science-humanities_en.pdf

GDPR and Reasearch – An Overview for Researchers [online]. UK Research and Innovation [viewed in 07 October 2020]. Available from: https://www.ukri.org/files/about/policy/ukri-gdpr-faqs-pdf/

Information rights at the end of the transition period Frequently Asked Questions [online]. Information Comissioner’s Office. 2020 [viewed in 07 October 2020]. Available from: https://ico.org.uk/media/for-organisations/documents/brexit/2617110/information-rights-and-brexit-faqs-v2_3.pdf

Joint statement on the implementation of GDPR in UK universities [online]. The Royal Geographical Society. 2018 [viewed in 07 October 2020]. Available from: https://www.rgs.org/geography/news/joint-statement-on-the-implementation-of-gdpr-in-u/

MOURBY, M., et al. Governance of academic research data under the GDPR—lessons from the UK. International Data Privacy Law [online]. 2019, vol. 9, no. 3, pp. 192–206 [viewed in 07 October 2020]. DOI: 10.1093/idpl/ipz010. Available from: https://academic.oup.com/idpl/article/9/3/192/5536592

Research governance policy [online]. National Institute for Health and Care Excellence. 2018 [viewed in 07 October 2020]. Available from: https://www.nice.org.uk/Media/Default/About/what-we-do/science-policy-and-research/research-governance-policy.pdf

Enlaces externos

Consent <https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/consent/>

Data Protection Act 2018 <https://www.gov.uk/government/collections/data-protection-act-2018>

Data Protection and Historians <https://royalhistsoc.org/policy/data-protection-and-historians/>

Education Reform Act 1988 <http://www.legislation.gov.uk/ukpga/1988/40/part/II>

Legitimate interests <https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/>

NUJ code of conduct <https://www.nuj.org.uk/about/nuj-code/>

Public task<https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/public-task/>

Special category data <https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/special-category-data/>

The principles <https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/>

 

Sobre Katherine Foxhall

La Dra. Katherine Foxhall tiene 15 años de experiencia como historiadora académica y ha publicado numerosos artículos sobre la historia de la medicina y la salud. Es oficial de investigación y comunicaciones de la Royal Historical Society, incluido el trabajo sobre acceso abierto, desarrollo de políticas e igualdad de la sociedad.

 

Artículo original en inglés

https://blogs.lse.ac.uk/impactofsocialsciences/2020/09/16/data-protection-laws-apply-to-anyone-who-collects-information-about-a-living-individual-so-what-do-researchers-need-to-know/

 

Traducido del original en inglés por Ernesto Spinak.

 

Como citar este post [ISO 690/2010]:

FOXHALL, K. Las leyes de protección de datos se aplican a cualquier persona que recopile información sobre una persona viva. Entonces, ¿qué necesitan saber los investigadores en artes, humanidades y ciencias sociales? [Publicado originalmente en el LSE Impact Blog en septiembre/2020] [online]. SciELO en Perspectiva, 2020 [viewed ]. Available from: https://blog.scielo.org/es/2020/10/07/leyes-de-proteccion-de-datos-investigadores-shape/

 

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Post Navigation