Protección de datos e investigación científica

1.-Cuando aplicar el Derecho se convierte en una operación de alto riesgo.

Es bien sabido que la aplicación de la normativa sobre protección de datos personales resulta de una simplicidad significativa. Basta con la concurrencia de un dato personal en un contexto de tratamiento para que tengamos la tentación de aplicar la norma. Nunca el silogismo jurídico básico se pareció al mecanismo de un botijo. Sin embargo, recuerdo que en mis tiempos jóvenes de campesino acalorado en la recolección de fruta beber agua era todo un arte. No bastaba levantar el cántaro. La altura de la vasija, la distancia con el pitorro, la parábola del chorrito… Definitivamente, incluso el mecanismo de un botijo tiene sus reglas.

Y he aquí, el primer riesgo, la investigación científica es una esfera material de enorme complejidad. Y ello nos obliga a no descuidar un aspecto crucial del Derecho: el arte de la interpretación jurídica, las teorías de la argumentación racional, la fundamentación de nuestras decisiones. Esta vexata questio, que aprendimos con Savigny e incorporó el artículo 3.1 del Código Civil, y que ha sido abordada por tantos. A veces conviene recordar lo que aprendimos en filosofía y revisitar a Alexy o recordar el concepto de caso difícil en Dworkin.

Es posible que para trabajar en protección de datos baste con conocer en profundidad el Reglamento General de Protección de Datos. Sin embargo, cuando nos enfrentamos a entornos de alta complejidad, las metodologías de la interpretación jurídica, la concepción integrada del Ordenamiento como sistema, o el conocimiento profundo del marco sectorial, resultan cruciales. Si no abordamos la complejidad nuestras soluciones pueden ser contraproducentes cuando no corrosivas.

2.-¿Es ajena la investigación al marco de la protección de datos?

En absoluto. Es evidente que la investigación con o sobre humanos se rige también por el RGPD y la normativa nacional en lo que resulte de aplicación. Es evidente que se producirán tratamientos cuando se realicen encuestas, grabaciones, fotos entrevistas… Y en tales casos debemos aplicar la norma. Es más, existen ámbito de la investigación, como la biomedicina, donde la regulación es muy compleja y exigente.

Pero la aplicación del RGPD a la investigación debe atender de modo muy preciso a la naturaleza de la actividad investigadora, al contexto y a los sujetos concernidos. Una aplicación literal y no matizada de la norma conduciría a situaciones absurdas. Por ejemplo, aquí se acaba de citar a Ronald Dworkin y Robert Alexy. El segundo es un ciudadano alemán “vivo”. Trabajo en una universidad y:

1.-No avisé al delegado de protección de datos de que iba a citar al bueno de Alexy.

2.-No realizamos el análisis de riesgos.

3.-Mi blog no está en el registro de las actividades de tratamiento.

4.-No consta en el inventario del Esquema Nacional de Seguridad, ni aplica sus medidas.

5.-No he cumplido con el artículo 13 RGPD, Alexy, no sabe que estoy tratando sus datos.

6.-Y no aplica la excepción doméstica.

Es imposible, no apreciar lo absurdo de esta conclusión. Resultaría sencillamente imposible escribir ni un solo trabajo con la metodología tradicional de los juristas. No hay manera de incorporar una sola cita. Ello nos obliga a dimensionar adecuadamente las condiciones de aplicación del RGPD.

3.-¿Existe alguna distinción relevante entre investigar y publicar?

Este es precisamente uno de los elementos nucleares que debemos considerar. El proceso de investigación “con datos personales” requiere del cumplimiento del conjunto de reglas y cautelas del RGPD. La norma reconoce en su artículo 89 la presencia de un interés público relevante en la investigación que faculta para el tratamiento siempre que se adopten medidas adecuadas. Ello implica que la legitimación para el tratamiento puede derivar de la ley, de una obligación legal, del consentimiento, del despliegue de misiones de interés público, e incluso del interés legítimo. Pero, también impone una metodología muy rigurosa que debe integrar el RGPD y la legislación nacional.

El Reglamento apunta en su considerando 156 una consideración muy valiosa cuando nos trasladamos al ámbito de la publicación:

«El tratamiento ulterior de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (como, por ejemplo, la seudonimización de datos). Los Estados miembros deben establecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos».

Esta preferencia por la anonimización o seudonimización, que integra después el artículo 89.1 es particularmente valiosa para la publicación. Es evidente, que siempre que la identificabilidad no resulte relevante hay que limitar o minimizar el tratamiento.

4.-¿Es toda la investigación igual? ¿Existe algo que cualifique la investigación histórica?

 El RGPD resulta muy claro en esta materia, cuando la investigación histórica se despliega sobre personas fallecidas queda fuera del marco de aplicación de la norma:

(158) El presente Reglamento también debe aplicarse al tratamiento de datos personales realizado con fines de archivo, teniendo presente que no debe ser de aplicación a personas fallecidas. Las autoridades públicas o los organismos públicos o privados que llevan registros de interés público deben ser servicios que están obligados, con arreglo al Derecho de la Unión o de los Estados miembros, a adquirir, mantener, evaluar, organizar, describir, comunicar, promover y difundir registros de valor perdurable para el interés público general y facilitar acceso a ellos. Los Estados miembros también debe estar autorizados a establecer el tratamiento ulterior de datos personales con fines de archivo, por ejemplo, a fin de ofrecer información específica relacionada con el comportamiento político bajo antiguos regímenes de Estados totalitarios, el genocidio, los crímenes contra la humanidad, en particular el Holocausto, o los crímenes de guerra.

Es evidente que existe un marco de acción para los estados que no solo pueden regular en relación con los fallecidos sino de modo específico respecto de la creación científica. Así el artículo 85.1 señala que los «Estados miembros conciliarán por ley el derecho a la protección de los datos personales en virtud del presente Reglamento con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria».

Y esta es la segunda cuestión. Nos enfrentamos a un conflicto de derechos. La libertad de investigar, la creación científica debe balancearse con el derecho fundamental a la protección de datos. Y en el caso de los fallecidos las reglas vigentes en el ámbito nacional en materia de acceso a la información archivística definen un periodo de carencia de 25 años y, como se ha señalado en otro post, la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen integra las garantías para el honor y la reputación así como de la protección de la esfera privada familiar cuando se afectase al buen nombre o dignidad de la persona fallecida.

5.-La responsabilidad del operador y aplicador.

Seguir la tentación de la simplicidad silogística del RGPD puede producir efectos perniciosos. Cuando tomamos el rábano por las hojas, cuando todo es protección de datos podemos producir un efecto paralizante. Nuestra tarea es de una altísima responsabilidad. Trabajamos al servicio de un derecho fundamental, pero nuestra óptica no puede ser ni monista ni supremacista. La visión no puede ser sino holística e integradora. Aplicar el bisturí y separar cada capa siempre es complicado. No hacerlo es condenar la investigación a la desaparición a manos del RGPD. Y sobre eso, ya advirtió la Asociación Europea de Rectores en 2012. No lo olvidemos.