Gac Sanit.

2020;34(5):521–523

Nota de campo

La evaluación de impacto en protección de datos

en los proyectos de investigación
Francisco Javier García-León a,b,∗ , Román Villegas-Portero a , Juan Antonio Goicoechea-Salazar a ,
Dolores Muñoyerro-Muñiz a y Joaquín Dopazo c
a
Subdirección Técnica Asesora de Gestión de la Información, Servicio Andaluz de Salud, Sevilla, España
b
Grupo de Investigación «Ciencia, Tecnología, Sociedad y Racionalidad Práctica», Facultad de Filosofía, Universidad de Sevilla, Sevilla, España
c
Área de Bioinformática Clínica, Fundación Progreso y Salud, Sevilla, España

información del artículo r e s u m e n

Historia del artículo: Los recientes cambios en la normativa europea de protección de datos de carácter personal siguen permi-
Recibido el 12 de septiembre de 2019 tiendo el uso de los datos sanitarios con fines de investigación, pero establecen la evaluación de impacto
Aceptado el 10 de octubre de 2019 en protección de datos como instrumento de reflexión y análisis de riesgos en el proceso de tratamiento
On-line el 21 de enero de 2020
de datos. La publicación de una guía facilita la realización de esta evaluación de impacto, aunque no es de
aplicación directa para los proyectos de investigación. Se detalla la experiencia en un proyecto concreto,
Palabras clave: y se muestra cómo el contexto del tratamiento toma relevancia respecto a las características de los datos.
Protección de datos
La realización de una evaluación de impacto es una oportunidad para asegurar el cumplimiento de los
Reglamento General de Protección de Datos
Investigación
principios de la protección de datos en un entorno cada vez más complejo y con mayores desafíos éticos.
© 2019 SESPAS. Publicado por Elsevier España, S.L.U. Este es un artı́culo Open Access bajo la licencia
CC BY-NC-ND (http://creativecommons.org/licenses/by-nc-nd/4.0/).

Impact assessment on data protection in research projects

a b s t r a c t

Keywords: Recent changes in European regulations for personal data protection still allow the use of health data
Data protection for research purposes, but they have set the Impact Assessment on Data Protection as an instrument
General Data Protection Regulation for reflection and risk analysis in the process of data processing. The publication of a guide for facilita-
Research
tes this impact assessment, although it is not directly applicable to research projects. Experience in a
specific project is detailed, showing how the context of the treatment becomes relevant with respect to
the data characteristics. Carrying out an impact assessment is an opportunity to ensure compliance with
the principles of data protection in an increasingly complex environment with greater ethical challenges.
© 2019 SESPAS. Published by Elsevier España, S.L.U. This is an open access article under the CC
BY-NC-ND license (http://creativecommons.org/licenses/by-nc-nd/4.0/).

Introducción salud) será necesario llevar a cabo una evaluación de impacto en

protección de datos (EIPD). Su realización corresponde al respon-
El Reglamento General de Protección de Datos1 (RGPD) esta- sable del tratamiento de datos (en los proyectos de investigación, el
blece un marco común para el tratamiento de datos de carácter investigador principal), que contará con el asesoramiento del dele-
personal en el ámbito europeo, y la Ley Orgánica de Protección de gado de protección de datos de la institución donde se realice la
Datos y Garantía de Derechos Digitales2 (LOPDGDD), por su parte, investigación.
desarrolla algunos aspectos instrumentales, pero sin modificacio- Para ayudar a la realización de la EIPD, la Agencia Española de
nes ni interpretaciones sobre lo establecido en el RGPD3 . Desde la Protección de Datos (AEPD) ha desarrollado una herramienta para
perspectiva de la investigación sanitaria a partir de bases de datos, hacer análisis de riesgos y evaluaciones de impacto en la protección
no se introducen modificaciones sustanciales en cuanto a la posi- de datos5 , y ha publicado la Guía práctica para las evaluaciones de
bilidad de tratar estos datos4 y se permite el uso secundario de los impacto en la protección de los datos sujetas al RGPD6 .
datos de salud en investigación, pero con unos principios y unos El objetivo de esta nota de campo es comunicar la experien-
requisitos definidos. cia del uso de dicha guía en la realización de una EIPD ligada a
El Artículo 35 del RGPD establece que ante la probabilidad de que un proyecto de investigación, y que sirva como ayuda a futuros
un tratamiento «entrañe un alto riesgo para los derechos y liberta- investigadores que tengan que utilizarla.
des de las personas físicas» (esto incluye el tratamiento de datos de

Desarrollo de la experiencia

∗ Autor para correspondencia. Se realizó una EIPD para el tratamiento de datos en un proyecto
Correo electrónico: fjavier.garcia.leon@juntadeandalucia.es (F.J. García-León). de investigación que utilizaba la Base Poblacional de Salud7 para

https://doi.org/10.1016/j.gaceta.2019.10.006
0213-9111/© 2019 SESPAS. Publicado por Elsevier España, S.L.U. Este es un artı́culo Open Access bajo la licencia CC BY-NC-ND (http://creativecommons.org/licenses/by-nc-
nd/4.0/).
522 F.J. García-León et al. / Gac Sanit. 2020;34(5):521–523

transferencia de los datos mediante FTP entre servidores del anillo

de salud de la Red Corporativa de la Junta de Andalucía.
En cuanto a los productos o servicios generados por el pro-
cesamiento de los datos, es preciso especificarlos, así como sus
condiciones de uso y posible identificación o reidentificación de
las personas.
En nuestro caso no se recogerían datos adicionales directamente
de las personas incluidas en el estudio, por lo que no fue nece-
sario especificar el procedimiento de información y solicitud de
consentimiento. Los investigadores no disponían de la identifi-
cación personal de las personas, por lo que no se establecieron
procedimientos para el ejercicio de los derechos por parte de los
interesados (acceso, rectificación, cancelación/bloqueo, oposición
y portabilidad). No estaba contemplado un tratamiento de datos
fuera del Espacio Económico Europeo.

A.2. Análisis de la necesidad y proporcionalidad del tratamiento

Se hizo constar el informe sobre la legitimidad en el uso de

Figura 1. Apartados de la evaluación de impacto en protección de datos. bases de datos sin consentimiento informado en investigación sani-
taria en determinadas circunstancias4 , así como la legitimidad
del uso de la Base Poblacional de Salud como infraestructura de
conseguir una población de pacientes simulados con técnicas de investigación8 .
machine learning. La figura 1 muestra los apartados de la EIPD, y en En cuanto a la justificación, la necesidad del proyecto y del uso
el Apéndice online se presenta la plantilla utilizada. de los datos, se indicó que la generación de poblaciones de pacien-
tes simulados trataría precisamente de evitar la reidentificación de
pacientes anonimizados en proyectos de investigación9 .
A. Información del contexto en el que se tratarán los datos En este apartado se consignó el compromiso formal de usar
los datos exclusivamente para la finalidad declarada. También se
En este apartado se mostró cómo el tratamiento de los datos explicitó que los datos utilizados serían los mínimos imprescin-
previsto era acorde a los principios del RGPD. Se describió el ciclo dibles para alcanzar los objetivos del proyecto, y el compromiso
de vida de los datos y se analizó la necesidad y la proporcionalidad de mantener los datos sin destruir el tiempo estrictamente
del tratamiento. necesario.
A.1. Descripción del ciclo de vida de los datos B. Gestión de los riesgos derivados del tratamiento de los datos
Se detallaron las actividades a realizar, los datos específicos a
En este apartado se identificaron, analizaron y valoraron la
tratar y las personas y las tecnologías implicadas; todo ello tanto
probabilidad y el impacto derivados de la posibilidad de que se
para el proceso de adquisición de los datos como para su almace-
materializaran en un riesgo, con el objetivo de establecer las
namiento, tratamientos, cesiones a terceros y destrucción final.
acciones preventivas, correctivas y reductivas que permitieran
Se especificaron las personas involucradas y sus roles, y se iden-
minimizar la exposición al riesgo5 .
tificó al responsable del tratamiento (investigador principal), los
encargados del tratamiento (miembros del equipo de investiga- B.1. Identificación de amenazas y riesgos
ción y personal técnico de tratamiento de datos), el delegado de
protección de datos del centro donde se realiza la investigación y Para cada una de las actividades con los datos se identificaron
la persona responsable de los datos de la entidad que los suminis- las amenazas para la protección de datos y el riesgo al que pudieran
tra al equipo de investigación. En este proyecto no se contemplaba someterse los derechos de las personas.
la figura de promotor del estudio. Sobre la entidad financiadora, la Los riesgos se presentaron en una matriz que tenía en cuenta
EIPD se realizó previamente a la presentación del proyecto a una la probabilidad y el impacto, valorados en cuatro niveles: despre-
convocatoria competitiva, y se presentó al Comité de Ética de la ciable, limitado, significativo o máximo. En nuestro proyecto, por
Investigación. Se especificó que no estaba previsto generar paten- ejemplo, una posible amenaza sería el acceso no autorizado, con
tes, así como qué instrumentos se contaban para la protección de la riesgo de vulneración de derechos y libertades, que podría produ-
propiedad y qué criterios se tendrían en cuenta en el uso secundario cir un daño moral o económico; sin embargo, con los mecanismos
de los productos resultantes. de seguridad con que contamos, tanto la probabilidad de que esto
Respecto a la cesión de los datos por la entidad responsable (D.G. ocurra como su posible impacto son despreciables, por lo que el
Asistencia Sanitaria y Resultados en Salud) al equipo de investi- riesgo inherente es bajo.
gación, se indicó que está contemplado el uso de datos de salud
B.2. Evaluar y tratar los riesgos
para investigación sin necesidad de solicitar el consentimiento de
la persona interesada, al tratarse en este caso de grandes bases En este apartado es preciso identificar el riesgo inherente (riesgo
de datos en las que la obtención de este consentimiento exige un intrínseco asociado a una actividad en sí misma) y el riego residual
esfuerzo desproporcionado respecto a los riesgos que pudiera supo- (riesgo de una actividad una vez aplicadas las medidas de control
ner para la salvaguarda de la privacidad; además, el uso de estos para mitigar o reducir la exposición al riesgo). En nuestro caso, como
datos es de interés público, de acuerdo con la Ley General de Sani- en otros muchos proyectos de investigación, no sería viable dife-
dad, la Ley de Investigación Biomédica y la Ley General de Salud renciar ambos, al estar aplicadas por defecto las intervenciones de
Pública. mitigación. Igualmente, en la mayoría de las EIPD no sería nece-
La cesión se hace entre organismos dentro del Sistema Sanitario sario realizar una consulta a la Autoridad de Control a través del
Público de Andalucía, en el contexto de un proyecto de inves- Delegado de Protección de Datos, debido a que el riesgo residual
tigación en el ámbito exclusivamente público. Se contempla la sea alto o muy alto.
 F.J. García-León et al. / Gac Sanit. 2020;34(5):521–523 523

C. Conclusión y validación de la EIPD Editor responsable del artículo

Se incluyeron las conclusiones, y en este caso no era necesario

Javier García Amez.
un plan de acción. En las conclusiones se especificaron las posibles
amenazas, su riesgo inherente y residual, y medidas de mitigación
Contribuciones de autoría
que podrían implantarse (para la mayoría de los proyectos, este
aspecto no sería aplicable al estar solucionado por diseño).
Todas las personas firmantes han hecho contribuciones sustan-
D. Supervisión del tratamiento ciales a la concepción y el diseño del estudio, han participado en
la redacción del artículo y han dado su aprobación al manuscrito
La supervisión del tratamiento se asignó al investigador princi- enviado.
pal con el asesoramiento de expertos, y al delegado de protección
de datos del centro. Es recomendable que este último participe en Financiación
todo el proceso
Ninguna.
Conclusiones
Conflicto de intereses
Aunque el RGPD y la LOPDGDD no afectan en principio
a la disponibilidad de bases de datos para la investigación, Ninguno.
sí introducen elementos nuevos, destinados a poder demos-
trar que el tratamiento de los datos es acorde a la normativa Anexo. Material adicional
vigente.
La EIPD se configura como una pieza clave en la autorización Se puede consultar material adicional a este artículo en su ver-
del uso secundario de datos en investigación sanitaria, en la que el sión electrónica disponible en doi:10.1016/j.gaceta.2019.10.006
contexto del tratamiento toma gran relevancia respecto a las carac-
terísticas de los datos. Consideramos que la EIPD debería ponerse Bibliografía
a disposición de los comités de ética de la investigación en la eva-
luación de estos proyectos, previamente a su autorización. 1. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la
La realización de una EIPD por parte de los investigadores es protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos. (27 de abril de 2016).
una oportunidad para reflexionar sobre la pertinencia de la inves- 2. Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos
tigación y para asegurar el cumplimiento de los principios de la digitales. (6 de Dic de 2018).
protección de datos en un entorno cada vez más complejo y con 3. Sarrión-Esteve J, Benlloch-Domenech C. Una necesaria reflexión sobre el marco
normativo de la investigación científica biomédica. Gac Sanit. 2019;33:93–4.
mayores desafíos éticos. 4. Informe 073667/2018. Madrid: Agencia Española de Protección de Datos. (Con-
Respecto a nuestra experiencia, no hemos encontrado dificul- sultado el 4/7/2019.) Disponible en: https://www.aepd.es/media/informes/2018-
tades en la descripción de todo el ciclo de vida de los datos. Ha 0046-investigacion-biomedica.pdf.
5. Gestiona EIPD. Madrid: Agencia Española de Protección de Datos. (Consultado el
resultado muy interesante la reflexión acerca de la necesidad y la
2/10/2019.) Disponible en: https://gestiona.aepd.es/.
proporcionalidad del tratamiento de los datos en el proyecto de 6. Guía práctica para las evaluaciones de impacto en la protección de los datos suje-
investigación, y hemos encontrado más dificultades en el análisis tas al RGPD. Madrid: Agencia Española de Protección de Datos. (Consultado el
de los riesgos derivados del tratamiento de los datos, para lo que 4/7/2019.) Disponible en: https://www.aepd.es/media/guias/guia-evaluaciones-
de-impacto-rgpd.pdf.
ha sido de especial ayuda la guía de la AEPD. 7. Muñoyerro-Muñiz D, Goicoechea-Salazar JA, García-León FJ, et al. Conexión de
Estas evaluaciones suponen una oportunidad de mejora de la registros sanitarios: base poblacional de salud de Andalucía. Gac Sanit. 2019 May
calidad de los proyectos de investigación sanitaria a partir de bases 25, pii: S0213-9111(19)30107-4.
8. Resolución 0068/18 de la Dirección Gerencia del Servicio Andaluz de Salud
de datos. Es deseable contar con personas integrantes o consulto- por la que se crea la Base Poblacional de Salud. Sevilla: Servicio Andaluz
ras, expertas en aspectos éticos del tratamiento de datos, además de Salud. (Consultado el 6/2/2010.) Disponible en: http://www.sas.junta-
de la colaboración imprescindible y cualificada del delegado de pro- andalucia.es/principal/documentosacc.asp?pagina=pr base poblac.
9. De Lecuona I. Evaluación de los aspectos metodológicos, éticos, legales y sociales
tección de datos, figura existente en todos los organismos públicos, de proyectos de investigación en salud con datos masivos (big data). Gac Sanit.
centros sanitarios y universidades. 2018;32:576–8.