Más claridad en el tratamiento de datos personales en estudios clínicos

El Comité Europeo de Protección de Datos (“CEPD”) adoptó, el pasado 15 de abril, las Directrices 1/2026 sobre el tratamiento de datos personales con fines de investigación científica, actualmente en fase de consulta pública hasta el 25 de junio. Con este documento se busca establecer un marco interpretativo unificado en la Unión Europea para la aplicación de las disposiciones específicas que el Reglamento General de Protección de Datos (“RGPD”) dedica a la investigación científica. Aunque no son jurídicamente vinculantes, las Directrices marcarán sin duda la práctica de las agencias nacionales de protección de datos y constituyen un documento de referencia obligada para cualquier entidad que trate datos personales con fines de investigación.

El concepto de “investigación científica”

Una de las principales aportaciones de las Directrices es la concreción del concepto de investigación científica a efectos del RGPD. Consciente de que no existe una definición universalmente aceptada, el CEPD identifica seis factores cuya concurrencia cumulativa permite presumir que una actividad constituye investigación científica: (i) un enfoque metódico y sistemático; (ii) la adhesión a estándares éticos; (iii) la verificabilidad y transparencia; (iv) la autonomía e independencia de los investigadores; (v) que tenga por objeto contribuir al crecimiento del conocimiento general y al bienestar de la sociedad; y (vi) su potencial para contribuir al conocimiento científico existente o aplicarlo de forma novedosa. Si no concurren todos estos factores, deberá justificarse y poder demostrarse por qué la actividad debe considerarse, aun así, investigación científica.

El CEPD confirma que tanto la investigación financiada de forma privada como la desarrollada con ánimo de lucro tienen pleno encaje en este concepto. Las Directrices también se refieren a las llamadas “infraestructuras de datos de investigación” (e.g., biobancos, repositorios y otras bases de datos) y a las operaciones de tratamiento “auxiliares” (e.g., categorización, seudonimización previa, etc.), reconociendo que todas ellas pueden igualmente quedar amparadas por el régimen específico aplicable a la investigación científica.

Consentimiento amplio y consentimiento dinámico

Las Directrices confirman la posibilidad de recurrir al “consentimiento amplio” cuando, en el momento de la recogida de los datos, no es posible especificar plenamente los fines concretos de la investigación. El CEPD recuerda, no obstante, que esta figura no permite eludir el principio de especificación del consentimiento, de forma que el responsable debe delimitar el área de investigación con la mayor precisión posible (e.g. “investigación médica en el ámbito de la oncología”) y adoptar salvaguardas adicionales que compensen esta menor concreción de los fines.

Junto al consentimiento amplio, las Directrices contemplan también el “consentimiento dinámico”, consistente en obtener el consentimiento del interesado para cada proyecto de investigación específico, o partes del mismo, a medida que sus fines se concretan. Esta figura puede resultar adecuada para proyectos de larga duración, o en aquellos casos en los que existe una relación continuada entre investigadores y participantes. El CEPD admite, asimismo, la combinación de ambas modalidades de consentimiento.

El CEPD también efectúa algunas aclaraciones relevantes respecto al uso de otras bases legales, distintas del consentimiento, para el tratamiento de datos personales con fines de investigación. Respecto al “interés legítimo” (artículo 6.1.f) RGPD), el CEPD admite que es posible su uso incluso cuando la investigación se desarrolla con fines comerciales, dado el reconocimiento de la actividad investigadora como beneficiosa para la sociedad. En estos casos, puede atribuírsele un peso significativo en el necesario juicio de ponderación frente a los intereses, derechos y libertades del interesado. En el caso del llamado «interés público» (artículo 6.1.e) RGPD), el CEPD aclara que no está reservado a entidades públicas; las entidades privadas pueden invocarlo cuando una norma de la UE o nacional ampare sus actividades.

Tratamiento ulterior y limitación del almacenamiento

El CEPD confirma la presunción de compatibilidad del tratamiento ulterior con fines de investigación científica con los fines iniciales de la recogida, prevista en el artículo 5.1.b) RGPD. En consecuencia, el responsable no estará obligado a realizar el test de compatibilidad del artículo 6.4) RGPD, si bien deberá seguir valorando la licitud del tratamiento conforme a una base jurídica adecuada. En muchos casos, podrá apoyarse en la misma base jurídica que sustentaba el tratamiento inicial, pero ello no será posible cuando la base original era el consentimiento o una obligación legal cuyo alcance no comprende los nuevos fines de investigación.

En materia de conservación de datos personales, el artículo 5.1.e) RGPD permite almacenarlos por períodos más largos cuando se traten con fines de investigación científica, incluso una vez cumplidos los fines originales del tratamiento. El CEPD precisa, sin embargo, que dicha conservación no puede justificarse con fines genéricos de investigación. El responsable debe especificar, al menos, un área concreta de investigación y las futuras actividades deben ser razonablemente previsibles, sin que ello suponga la obligación de elaborar un plan de investigación completo.

Transparencia, derechos de los interesados y excepciones

Las Directrices abordan en detalle las obligaciones de información, conforme a los artículos 13 y 14 RGPD, a los interesados cuyos datos son objeto de tratamiento. El CEPD recomienda obtener voluntariamente datos de contacto de los interesados para permitir comunicaciones futuras en proyectos de larga duración, así como la utilización de mecanismos como páginas web o plataformas habilitadas a tal efecto. Se admite expresamente que las obligaciones de información puedan cumplirse a través de encargados del tratamiento, o de un corresponsable cuando el responsable carezca de contacto directo con los interesados.

Respecto a los derechos de los interesados, dos aspectos merecen especial atención. En cuanto al derecho de supresión, el artículo 17.3.d) RGPD permite al responsable rechazar las solicitudes únicamente cuando la supresión pueda hacer imposible u obstaculizar gravemente el logro de los objetivos de la investigación. EL CEPD indica estas situaciones se darán más fácilmente cuando se investigue con un número reducido de interesados, o se trate de estudios longitudinales en curso. Por lo que respecta al derecho de oposición, las Directrices confirman que el artículo 21.6) RGPD permite denegar la oposición cuando el tratamiento sea necesario para una misión de interés público, incluyendo aquellos casos en los que un interés legítimo del responsable coincida con un interés público.

Responsable, encargado y corresponsables

Mediante ejemplos prácticos especialmente útiles, las Directrices abordan la atribución de roles, como responsable, encargado o corresponsables, en escenarios habituales en investigación, especialmente para ensayos clínicos comerciales, colaboraciones público-privadas y consorcios de investigación, entre otros.

El CEPD confirma que la participación activa en la elaboración de un protocolo de investigación, definiendo claramente los fines y elementos esenciales de los medios, normalmente conferirá la condición de responsable a la entidad participante, incluso si ésta no llega a tratar materialmente datos personales, como suele ocurrir típicamente con el promotor de un ensayo clínico. La mera financiación de un proyecto o la actuación como consultor, experto o miembro de un comité ético no son, en cambio, suficientes por sí solas para conferir tal condición.

Garantías apropiadas

Las Directrices recuerdan que cualquier tratamiento con fines de investigación científica requiere la adopción de garantías apropiadas (artículo 89.1 RGPD). En aplicación del principio de minimización de datos, debe optarse por datos anonimizados o, subsidiariamente, seudonimizados, siempre que ello permita alcanzar los fines del tratamiento. El tratamiento de datos directamente identificables sólo está permitido cuando sea estrictamente necesario y proporcionado.

Adicionalmente, las Directrices proporcionan un catálogo no exhaustivo de otras posibles garantías: supervisión ética independiente, entornos de procesamiento seguros, uso de datos sintéticos, obligaciones de confidencialidad, etc. Particular atención se presta a las garantías específicas exigibles cuando se traten datos genéticos o biométricos, dadas las particularidades de esta categoría de datos.

Next steps

Las Directrices, que se encuentran en fase de consulta pública hasta el 25 de junio, aportarán mayor seguridad jurídica en cuestiones que llevaban tiempo pendientes de clarificación. Dada la trascendencia de este documento, es altamente recomendable que las entidades activas en este ámbito revisen sus procedimientos actuales y la documentación soporte de sus estudios y demás proyectos de investigación a la luz de los criterios interpretativos del CEPD, especialmente en lo relativo a las bases jurídicas utilizadas, los mecanismos de consentimiento y las salvaguardas técnicas y organizativas adoptadas.