Protección de datos na investigación

Se no desenvolvemento dunha investigación se van a realizar entrevistas, probas con persoas, medicións, intervencións con seres humanos, recompilación de mostras biolóxicas, recollida de datos persoais ou datos de categorías especiais: políticas, sindicais, de orixe étnica, xenéticos, biométricos, etc. debe presentarse especial atención ao indicado neste apartado.

Datos persoais en investigación

Índice

Requisito previo

Uso preferente de datos anónimos

Datos anonimizados e datos seudonimizados

Regulación do tratamento de datos persoais na investigación

O consentimento na recollida de datos persoais

Traballos académicos

Investigacións en centros docentes

Tratamento de datos de saúde

Criterios para o tratamento de datos de saúde para fins de investigación

Acceso ás historias clínicas

Ciclo do tratamento de datos para fins de investigación

 

Requisito previo 

Como primeiro requisito debe sinalarse que antes de realizar unha investigación destas características é necesaria a aprobación polo Comité de Ética da USC.

Uso preferente de datos anónimos 

Nos proxectos de investigación deben usarse preferentemente datos anónimos ou anonimizados. 

No caso de non ser posible deberá xustificarse a necesidade de uso de datos persoais na concreta investigación e o sistema de protección de datos que se vai establecer.

Se os datos son anónimos non se aplica a normativa de protección de datos.

Datos anonimizados e datos seudonimizados

Son datos anonimizados aqueles datos persoais que perderon toda vinculación directa ou indirecta coas persoas afectadas.

Os datos seudonimizados son aqueles datos que poden atribuírse a unha persoa física utilizando información adicional. Nestes casos é aplicable a normativa de protección de datos.

Recoméndase utilizar as guías e ferramentas que pon a disposición a AEPD para realizar a anonimización 

Guía y Herramienta básica de anonimización | AEPD

Regulación do tratamento de datos persoais na investigación 

A.- Todo tratamento de datos persoais para fins de investigación debe ser lícito e ter unha base xurídica. A base xurídica normalmente é o previo consentimento da persoa á que se lle solicitan os datos (6.1.a RGPD), ou podería fundamentarse nunha misión realizada en interese público (6.1.e RGPD) y art. 2 LOSU (fins da universidade)

Debe sinalarse que o tratamento das denominadas categorías especiais de datos están prohibidas agás consentimento explícito con fins de investigación científica. Son categorías especiais de datos persoais as que inclúen información relacionada con:

  1. A orixe étnica ou racial

  2. As opinións políticas

  3. As conviccións relixiosas ou filosóficas

  4. A afiliación sindical

  5. Os datos xenéticos

  6. Os datos biométricos dirixidos a identificar de maneira unívoca a unha persoa física

  7. Os datos relativos a saúde

  8. A vida u orientación sexual

B.- Deben recollerse só aqueles datos persoais imprescindibles para a investigación.

C.- Todo tratamento de datos debe estar previsto pola organización e figurar no rexistro de tratamentos da USC. De non existir o tratamento debe poñerse en contacto con protecciondatos [at] usc.gal (protecciondatos[at]usc[dot]gal) para crealo e dotalo de medidas de seguridade.

D.- Debe informarse sempre dos seus dereitos ás persoas das que se recollen os seus datos a través dunha das cláusulas establecidas (vid. apartado de modelos de documentos e cláusulas).

E.- Debe realizarse unha análise de seguridade dos datos almacenados para concretar os riscos e as medidas a aplicar.

F.- Debe establecerse o prazo de conservación dos datos e os sistemas de bloqueo ou destrución cando xa non sexan de utilidade.

O consentimento na recollida de datos persoais 

Para realizar unha investigación con datos persoais debe solicitarse o consentimento das persoas que participan nela. O consentimento debe ser:

  • Unha manifestación de vontade inequívoca 

  • Prestada libremente. Non o é nos supostos de mal estado de saúde, grupos vulnerables, dependencia funcional ou xerárquica, etc.

Debe indicarse a posibilidade de retiralo; con todo, a súa anonimización permite usar os datos.

Non fai falta que o consentimento se estableza para cada proxecto de investigación senón que pode ser para unha ampla área de investigación.

O consentimento debe incluír información sobre o tratamento dos datos e o exercicio de dereitos.

No caso de intervencións, deben de solicitarse o consentimento informado e o consentimento en materia de protección de datos. Ambos consentimentos poden incluírse nun mesmo documento.

Traballos académicos 

A realización de TFG, TFM e outros traballos académicos no que se traten datos persoais se rexe pola Resolución Reitoral 07/05/2021, procedemento de avaliación previa de traballos de fin de estudos e doutros traballos académicos no caso de intervención con seres humanos, obtención de mostras ou de datos persoal:

http://imaisd.usc.es/ftp/oit/documentos/5128_gl.pdf

Esta Resolución é aplicable para traballos que impliquen: 

  1. Realización de entrevistas/probas/medicións/intervención

    1. Mostras biolóxicas humanas

    2. Datos persoais/ datos de categorías especiais: políticas, sindicais, orixe étnica, xenéticos, biométricos,…

      Non sería aplicable ao deseño de propostas que non se executen, a traballos que se realicen no marco dun proxecto que xa fora informado polo Comité de Ética nin aos traballos que utilicen datos secundarios de saúde sempre que sexan para finalidades ou áreas de investigación relacionadas, exista consentimento previo e informe dun comité de ética e se dispoña de autorización da persoa responsable da custodia das mostras ou datos que se vaian empregar.

      Estes traballos deberán ser informados polo Centro e aprobados polo Comité de Ética.

       

Pode consultar a guía para usuarios elaborada pola CRUE "Conceptos básicos para o tratamento de datos persoais no proceso de elaboración dunha tese de doutoramento, un traballo fin de titulación ou calquera outro traballo académico que realice o alumnado"

 

Investigacións en centros docentes

A realización de investigacións, traballos e teses en centros docentes está regulada 

  1. Pola Instrución 2/2024, da  Secretaría Xeral

  2. Pola Instrución 4/2023, da Secretaría Xeral Técnica da Consellería de Cultura, Educación, Formación Profesional e Universidades para a autorización de estudios no ámbito educativo 

     

  3. As investigacións científicas e teses deben ser aprobada polo Comité de Ética da USC e contar coa autorización da Consellería a través de sxt.cultura.educacion [at] xunta.gal (sxt[dot]cultura[dot]educacion[at]xunta[dot]gal) 

  4. Os TFG/TFM deben ser aprobado polo Comité ética USC

  5. Outras actividades que impliquen interrelación con menores e uso de datos requirirán unha análise pola  Secretaría Xeral

Tratamento de datos de saúde

A regulación do tratamento de datos de saúde para fins científicos figura na disposición adicional 17 da Lei Orgánica 3/2018, de 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais.

Existen determinadas normas que permiten o tratamento de datos de saúde:


• A Lei 14/1986, de 25 de abril, Xeneral de Sanidade.
• A Lei 31/1995, de 8 de novembro, de Prevención de Riscos Laborais.
• A Lei 41/2002, de 14 de novembro, básica reguladora da autonomía do paciente e de dereitos e obrigacións en materia de información e documentación clínica.
• A Lei 16/2003, de 28 de maio, de cohesión e calidade do Sistema Nacional de Saúde.
• A Lei 44/2003, de 21 de novembro, de ordenación das profesións sanitarias.
• A Lei 14/2007, de 3 de xullo, de investigación biomédica.
• A Lei 33/2011, de 4 de outubro, Xeneral de Saúde Pública.
• A Lei 20/2015, de 14 de xullo, de ordenación, supervisión e solvencia das entidades aseguradoras e reaseguradoras.
• O texto refundido da Lei de garantías e uso racional dos medicamentos e produtos sanitarios, aprobado por Real Decreto Lexislativo 1/2015, de 24 de xullo.
• O texto refundido da Lei Xeral de dereitos das persoas con discapacidade e da súa inclusión social, aprobado por Real Decreto Lexislativo 1/2013 de 29 de novembro.

Criterios para o tratamento de datos de saúde para fins de investigación

CRITERIO 1. Necesidade de consentimento para o uso dos seus datos con fins de investigación en saúde e, en particular, a biomédica. O consentimento pode ser para unha investigación concreta ou para áreas xerais vinculadas a unha especialidade médica ou investigadora.

CRITERIO 2. Posibilidade de Reutilización de datos persoais

Habéndose obtido o consentimento para unha finalidade concreta, pódense utilizar os datos para finalidades ou áreas de investigación relacionadas coa área na que se integrase cientificamente o estudo inicial.

Debe comunicarse a cláusula informativa en materia de protección de datos e ter informe previo favorable do comité de ética da investigación


CRITERIO 3. Se deben utilizar datos seudonimizados

Debe realizarse unha separación técnica e funcional entre o equipo investigador e quen realice a seudonimización e conserve a información que posibilite a reidentificación. Unicamente serán accesibles ao equipo de investigación cando:

  • Exista un compromiso expreso de confidencialidade e de non realizar ningunha actividade de reidentificación.

  • Se adopten medidas de seguridade específicas para evitar a reidentificación e o acceso de terceiros non autorizados.

A reidentificación so debe producirse  cando, con motivo dunha investigación que utilice datos seudonimizados, se aprecie a existencia dun perigo real e concreto para a seguridade ou saúde.

CRITERIO 4. Necesidade de realizar unha avaliación de impacto

No caso de existir riscos derivados do tratamento e nos supostos previstos no artigo 35 do Regulamento (UE) 2016/679:  e dicir, cando se utilizan novas tecnoloxías ou que pola súa natureza, alcance, contexto ou fins, entrañe un alto risco para os dereitos e liberdades das persoas físicas, ou o estableza a autoridade de control https://www.aepd.es/documento/listas-dpia-é-35-4.pdf debe realizarse unha avaliación de impacto. 

Esta avaliación incluirá de modo específico os riscos de reidentificación vinculados á anonimización ou seudonimización dos datos.

Pode consultarse a información da AEPD sobre o particular: 

Realización de evaluaciones de impacto de protección de datos | AEPD

CRITERIO 5.- Debe someterse a investigación científica ás normas de calidade e, no seu caso, ás directrices internacionais sobre boa práctica clínica

Debe aplicarse o Código de boas prácticas en investigación na USC (Consello de Goberno 28-09-2018).

CRITERIO 6. Adoptar, no seu caso, medidas dirixidas a garantir que os investigadores non acceden a datos de identificación dos interesados.

CRITERIO 7. Designar un representante legal establecido na Unión Europea, se o promotor dun ensaio clínico non está establecido na Unión Europea. 

CRITERIO 8. Necesidade de supervisión polo Comité de Ética

O uso de datos persoais seudonimizados con fins de investigación en saúde pública e, en particular, biomédica deberá ser sometido ao informe previo do Comité de Ética da Investigación da USC .

CRITERIO 9. Excepcións aos dereitos de acceso, rectificación, limitación do tratamento e oposición

Existen excepcións aos dereitos de acceso, rectificación, limitación do tratamento e oposición en materia de datos de saúde con fines de investigación: 

  • Cando se exerzan directamente ante os investigadores ou centros de investigación que utilicen datos anonimizados ou seudonimizados. Non obstante o anterior, o exercicio dos dereitos debería realizarse a través de: https://sede.usc.es/sede/publica/catalogo/procedemento/55/ver.htm

  • Cando se refira aos resultados da investigación.

  • Cando a investigación teña por obxecto un interese público esencial relacionado coa seguridade do Estado, a defensa, a seguridade pública ou outros obxectivos importantes de interese público xeneral, sempre que neste último caso a excepción estea expresamente recollida por unha norma con rango de Lei

  • Sempre que sexa probable que eses dereitos imposibiliten ou obstaculicen gravemente o logro dos fins científicos e canto esas excepcións sexan necesarias para alcanzar eses fins (89 RGPD)

Acceso ás historias clínicas 

O acceso á historia clínica con fins xudiciais, epidemiolóxicos, de saúde pública, de investigación ou de docencia, réxese polo disposto na lexislación vixente en materia de protección de datos persoais, e na Lei 14/1986, de 25 de abril, Xeneral de Sanidade, e demais normas de aplicación en cada caso. 

O acceso á historia clínica con estes fins obriga a preservar os datos de identificación persoal do paciente separados dos de carácter clínico-asistencial, de maneira que, como regra xeral, quede asegurado o anonimato, salvo que o propio paciente dea o seu consentimento para non separalos.

 

Ciclo do tratamento de datos para fins de investigación

The contents of this page were updated on 03.03.2025.