Guías BibUpo: Gestión de datos de investigación: Protección, derechos y acceso a los datos

Protección, derecho y acceso a los datos

El "derecho a la privacidad" se refiere al estar libre de intrusiones o perturbaciones en la vida privada o en los asuntos personales. Toda investigación debe esbozar estrategias para proteger la privacidad de los sujetos involucrados y también acerca de cómo el investigador va a tener acceso a la información.

Los conceptos de privacidad y confidencialidad, aunque están relacionados, no son lo mismo. La privacidad se refiere al individuo o sujeto, mientras que la confidencialidad se refiere a las acciones del investigador.

Consentimiento informado:

Se denomina consentimiento informado cuando, antes de obtener el consentimiento como tal, se le describe al sujeto de una investigación, lo que se va a hacer con sus datos, quién tendrá acceso a ellos y cómo van a ser publicados.

Al decidir la forma de consentimiento que se usará, vale la pena considerar quién necesita acceder a los datos personales y qué se debe hacer con los datos para poder compartirlos públicamente o con otras personas investigadoras.

Los datos anonimizados no requieren consentimiento para compartir o publicar, pero se considera ético informar a los sujetos sobre el uso y destino de los datos.

Confidencialidad:

Para minimizar los riesgos de divulgación de información confidencial, hay que considerar los siguientes factores cuando realice el diseño de su investigación:

Si es posible, recopile los datos necesarios sin utilizar información de identificación personal.
Si se requiere información de identificación personal, retire la identificación de los datos después de la recolección o tan pronto como sea posible.
Evite transmitir electrónicamente datos personales no cifrados.

Otras consideraciones incluyen la retención de instrumentos originales de recolección, tales como cuestionarios o grabaciones de entrevistas. Una vez que estos se transfieren a un paquete de análisis o se realiza una transcripción y la calidad es asegurada o validada, puede que ya no haya razón para retenerlos.

Los responsables han de considerar los aspectos de privacidad y tratamiento de los datos personales de los interesados desde el comienzo de un estudio de forma transparente, lo que afecta a la gestión de los datos desde antes de empezar a recopilarlos.

La protección de datos se refiere a los derechos de las personas cuyos datos se recogen, se mantienen y se procesan, de saber qué datos están siendo retenidos y usados y de corregir las inexactitudes. Si la investigación involucra a personas, se deben considerar las obligaciones legales y éticas con respecto a compartir los datos.

Principios básicos de protección de datos:

La OECD define ciertos principios básicos que complementados con otros estándares y medidas facilitan la protección de la privacidad y de las libertades individuales. (OECD, 2002)

Principio de limitación en la recolección de los datos

Deberán existir límites para la recogida de datos personales y cualquiera de estos datos deberán obtenerse con medios legales y justos y, siempre que sea apropiado, con el conocimiento o consentimiento del sujeto implicado.

Principio de calidad de los datos

Los datos personales deberán ser relevantes para el propósito de su uso y, en la medida de lo necesario para dicho propósito, exactos, completos y actuales.

Principio de especificación del propósito

El propósito de la recogida de datos se deberá especificar a más tardar en el momento en que se produce dicha recogida, y su uso se verá limitado al cumplimiento de los objetivos u otros que no sean incompatibles con el propósito original, especificando en cada momento el cambio de objetivo.

Principio de limitación de uso

No se deberá divulgar, poner a disposición o usar los datos personales para propósitos que no cumplan lo expuesto en el principio anterior, excepto
• si se tiene el consentimiento del sujeto implicado o
• por imposición legal o de las autoridades (por ejemplo, se puede disponer que los datos recopilados con fines de toma de decisiones administrativas puedan estar disponibles para investigación, estadísticas y planificación social).

Principio de salvaguardia de la seguridad

Se emplearán salvaguardias razonables de seguridad para proteger los datos personales contra riesgos, tales como pérdida, acceso no autorizado, destrucción, uso, modificación o divulgación de los mismos. Los aspectos de seguridad y privacidad no son idénticos. Las limitaciones de uso y divulgación de los datos debieran ser reforzadas medidas de seguridad: físicas (por ejemplo, bloqueo de puertas, uso de tarjetas de identificación); organizacionales (por ejemplo, niveles de autoridad para acceder a los datos); en particular, en los sistemas informáticos, (como el cifrado o codificación y el seguimiento a amenazas de actividades inusuales y respuestas a ellas).

Principio de transparencia

Deberá existir una política general sobre transparencia en cuanto a evolución, prácticas y políticas relativas a datos personales. Se deberá contar con medios ágiles para determinar la existencia y la naturaleza de datos personales, el propósito principal para su uso y la identidad y lugar de residencia habitual de quien controla esos datos.

El RGPD reconoce dos usos distintos de los datos en investigaciones:

El uso de datos directamente recopilados para un propósito específico (uso primario)
El uso de datos inicialmente recopilados para un propósito científico, pero que posteriormente pudieran ser usados para otro propósito de investigación (uso secundario)

El interesado debe saber con claridad las razones y usos de sus datos personales en momento en el que se recopila la información del interesado. Una modificación en el uso de los datos personales durante una investigación podría restringir el uso de dichos datos.

Reutilización o uso secundario de los datos personales

La reutilización o uso secundario de datos personales está permitida en la RPGD para temas de investigación, pero solo cuando el responsable disponga de medidas técnicas de seguridad y privacidad que garanticen la protección de los derechos de los interesados.
Estas medidas pueden ser: la seudonimización, la anonimización, la encriptación, el control restringido o limitado de acceso (Ver apartado Tratamiento y anonimización de datos sensibles).
No obstante, aunque el uso secundario de datos sea legal, los interesados mantienen su derecho a ser informados sobre los nuevos tratamientos ejercidos sobre los datos

En el caso de las bases de datos y datasets, la legislación española de propiedad intelectual protege la manifestación concreta de ideas y la información contenida en una base de datos específica.

Según la Ley 5/1998 de 6 de marzo, de incorporación al Derecho español de la Directiva 96/9/CE, del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos (BOE n.º 57, de 7 de marzo de 1998), cuyo artículo 1 modifica el artículo 12 del Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia, con la siguiente redacción, dice (Texto consolidado publicado en el BOE nº 97, de 22/04/1996):

Art. 12 Colecciones. Bases de datos

1. También son objeto de propiedad intelectual, en los términos del Libro I de la presente Ley, las colecciones de obras ajenas, de datos o de otros elementos independientes, como las antologías y las bases de datos que por la selección o disposición de sus contenidos constituyan creaciones intelectuales, sin perjuicio, en su caso, de los derechos que pudieran subsistir sobre dichos contenidos. La protección reconocida en el presente artículo a estas colecciones se refiere únicamente a su estructura en cuanto forma de expresión de la selección o disposición de sus contenidos, no siendo extensiva a éstos.

2. A efectos de la presente Ley, y sin perjuicio de lo dispuesto en el apartado anterior, se consideran bases de datos las colecciones de obras, de datos, o de otros elementos independientes dispuestos de manera sistemática o metódica y accesibles individualmente por medios electrónicos o de otra forma.

3. La protección reconocida a las bases de datos en virtud del presente artículo no se aplicará a los programas de ordenador utilizados en la fabricación o en el funcionamiento de bases de datos accesibles por medios electrónicos.

El acceso a los datos de investigación puede variar en función de las propias necesidades del personal investigador o de las limitaciones externas.

Los desafíos que enfrentan el personal de investigación al compartir los datos de investigación, relacionados con los problemas de propiedad intelectual de los datos y los datos con información confidencial, puede afectar en:

Cómo y dónde un investigador proporciona acceso
Tipos de restricciones impuestas a los datos

Existen tres tipos fundamentales de restricciones a los datos:

1) Embargo: Periodo específico de tiempo donde el acceso a los datos es restringido (6-24 meses). Los financiadores de proyectos pueden requerir que los datos estén de manera oportuna o dentro de un plazo determinado después de finalizado el proyecto.
2) Restricciones de acceso tecnológico: Establecer accesos restringidos mediante credenciales de acceso al sistema (claves personales), autentificación institucional, membresías, etc.
3) Consentimiento informado: Describe un acuerdo entre el productor de datos y la persona que usa secundariamente los datos.