Palabras como “comité de ética”, bioética, investigación biomédica o consentimiento informado son de uso habitual no sólo por la comunidad académica e investigadora sino también por los medios de comunicación y la sociedad en general. Es lógico que así sea, desde el momento en que, en un primer momento, la investigación sobre la energía atómica y, posteriormente, el desarrollo de la genética pusieron sobre la mesa la necesidad no sólo de acotar prácticas susceptibles de poner en riesgo la salud y el medio ambiente sino, también, los límites morales que la manipulación de nuestro ADN plantea en ámbitos como los embriones humanos o los productos transgénicos.

No ha alcanzado tanta notoriedad otro aspecto: el uso de información personal. Ciertamente, la criticidad de la información sobre salud resulta plenamente asumida y no parece que elementos como la captación de fotografías o el tratamiento de datos de identificación despierte idéntica preocupación.

En primer lugar, desde un punto de vista práctico, es fundamental entender que el centro de gravedad de la información personal se ha trasladado desde la idea de “captación” a la de “tratamiento”. En realidad, la información en si misma carece de valor; en nuestra sociedad lo relevante es la finalidad que perseguimos y el tratamiento que realizamos. Esto puede apreciarse con un ejemplo particularmente simple. Tómese la cuenta de correo electrónico de cualquiera de los autores de este artículo. Aparentemente es un dato banal pues no parece más que una dirección para comunicarse con estudiantes y colegas. Sin embargo, si nuestro lector se dedica a “vender lo que sea” @uv.es o @uji.es es un indicador de primer nivel sobre relación profesional con la universidad y renta potencial. Y no hace falta explicar qué sucede si esa información se pone en el cuadro de diálogo de cualquier buscador.

Ahora, póngase el lector en situación. Alguien a partir de una búsqueda con su correo electrónico es capaz de inferir su lugar de trabajo o su teléfono de contacto. Ciertamente no tiene motivo para la preocupación. Pero, ¿qué sucede si se toma su fotografía de una web que narra una investigación sobre enfermos de SIDA y usando un buscador de imágenes le encuentra en otro sitio con su nombre y apellidos? Su foto deja de ser un aditamento en una comunicación académica y pasa a convertirse en un elemento capaz de decirle al mundo que usted padece una grave enfermedad y ha disfrutado de un tratamiento experimental. Por tanto, en la sociedad red, en el mundo de Big Data, lo fundamental es el tratamiento. Y ello hace que riesgos muy familiares de investigación en áreas de ciencias de la salud –medicina, farmacología, enfermería o psicología– se trasladen a otros ámbitos como la genética, la sociología, la politología o los estudios económicos. Por otra parte, en áreas de investigación como las ciencias de la educación donde los sujetos de estudio pueden ser menores los riesgos se incrementan significativamente.

La tutela de la protección de datos

Esta realidad justifica plenamente que en nuestro sistema jurídico y en toda la Unión Europea se reconozca y tutele el derecho fundamental a la protección de datos como un derecho al control sobre nuestros datos. Por ello, cuando un investigador obtenga datos personales asume de modo inmediato ciertas obligaciones jurídicas ineludibles. Partamos del hecho de que un dato es cualquier información relativa a una persona identificada o identificable sin un esfuerzo desproporcionado. Una imagen, una grabación de audio, una radiografía, nuestra dirección, la matrícula de un vehículo, etc. Cualquier cualidad predicable de un sujeto identificable es un dato de carácter personal. Y es fundamental entender que para que esto no ocurra no basta una pseudonimización: si el investigador disocia los datos pero les atribuye un valor cualquiera que permite reidentificar al sujeto siguen siendo datos personales. Asimismo, es irrelevante el medio de tratamiento, una vez insertamos un dato en una aplicación informática cualquiera, o simplemente lo recogemos en soporte papel o lo archivamos en este formato “estamos tratando datos”.

Esta materia está regulada por la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y su Reglamento de desarrollo. Estas normas establecen obligaciones muy precisas de contenido formal como la publicación del fichero en un diario oficial, en el caso de las universidades públicas, y su inscripción registral. Por otra parte, existen deberes vinculados a la información previa al sujeto de la investigación y a la obtención del consentimiento. Por último, la norma define con mucha precisión los deberes de secreto y las obligaciones de seguridad. En consecuencia, debemos ser conscientes de que en muchas ocasiones cuando investigamos asumimos deberes jurídicos vinculados a un derecho fundamental y no atenderlos pone en riesgo la propia investigación –en virtud de la tacha que supondría su ilicitud– y el prestigio de la institución académica.

No es extraño que esta cuestión sea percibida como una barrera a la investigación. Sería un error no asumir que efectivamente introduce un cierto nivel de complejidad. Pero este es mayor cuando el soporte jurídico y técnico se presta ante un incidente de difícil solución. Sin embargo, si el investigador incorpora este componente jurídico puede asumir un diseño de la investigación que satisfaga los requerimientos normativos. Y una investigación que respeta la privacidad es una investigación responsable, atenta a los derechos de las personas que participan en la misma y ofrece garantías adicionales para los terceros que eventualmente la contratan.

Nueva normativa europea

En este periodo se está tramitando por la Unión Europea el Proyecto de Reglamento General de Protección de Datos. Cuando esta norma se apruebe regirá los tratamientos de información personal en el conjunto de la Unión Europea e incorporará dos elementos esenciales para el desarrollo de la investigación: el primero, la protección de datos basada en el diseño y por defecto –esto es, cualquier tratamiento de datos personales deberá regirse por un principio de proporcionalidad que limite los datos a los estrictamente necesarios y a establecer una precisa relación de coherencia entre el universo de los datos, la finalidad que se persigue y la naturaleza del tratamiento que se realiza–; el segundo, ante ciertos tratamientos relevantes por el número de sujetos, por su condición (menores, enfermos, etc.) o por su propia naturaleza (videovigilancia) el análisis de impacto en la protección de datos deberá ser objeto de una valoración previa que determine los riesgos subyacentes.

El resultado práctico de aplicar la legalidad vigente y la futura legislación europea no es otro que aportar seguridad y confiabilidad. La protección de datos de carácter personal constituye sin ningún género de dudas una ventaja competitiva y, sobre todo, incorpora un compromiso éticamente ineludible con la salvaguarda de los derechos fundamentales.

Artemi Rallo es investigador principal en el I+D del Ministerio de Economía y Competitividad sobre la “reforma del derecho europeo de protección de datos y su impacto en España” (MINECO DER 2012-34764) en el que también participa Ricard Martínez. El grupo de investigación estudia el impacto de esta regulación en el tratamiento de datos personales por el sector público y privado. En la sociedad de la información el derecho fundamental a la protección de datos se proyecta de modo determinante no solo sobre la vida privada sino sobre la esfera de derechos de las personas y muy significativamente resulta esencial para la garantía de la identidad digital, cumpliendo un papel de garante frente al uso de tecnologías como la gelocalización, el big data o el análisis del comportamiento.

Artemi Rallo Lombarte, catedrático de Derecho Constitucional - Dep. de Dret Públic de la Universitat Jaume I de Castelló
Ricard Martínez Martínez, técnico de control de bases de datos - Servei d'Informàtica de la Universitat de València