Datos sensibles y obtención de consentimiento de acuerdo con GDPR

En mayo de 2018, se introdujeron nuevas regulaciones de protección de datos en la UE. El reglamento general de protección de datos (GDPR) se desarrolló para proteger los datos personales de los residentes de la UE recopilados por cualquier persona y organización, incluidas las que se encuentran fuera de la UE. GDPR cubre una amplia gama de procesos que incluyen cómo una organización recopila, procesa, almacena, transfiere y utiliza datos personales. En otras palabras, esto significa que si está recopilando datos de los ciudadanos de la UE, debe cumplir con el GDPR. Dentro del campo de la investigación, el GDPR actúa como instrumento de seguridad para mejorar la confianza mutua entre investigadores y participantes.

Es importante comprender que los investigadores son recopiladores de datos y el GDPR también se aplica a sus procesos de trabajo. ¿Cómo deben cumplir los investigadores los requisitos establecidos por GDPR mientras trabajan con datos personales sensibles? A continuación, se incluyen algunas cosas a considerar:

¿Qué son los datos sensibles? ¿Estás recopilando datos sensibles?

Algunos datos personales, por su naturaleza, están en la categoría de sensibles y, por lo tanto, necesitan una fuerte protección. Este tipo de datos se denominan datos personales sensibles y se pueden procesar bajo ciertas condiciones. Según la Comisión Europea, se consideran los siguientes datos como sensibles y está sujeto a condiciones de procesamiento específicas:

  • Origen racial o étnico
  • Opiniones políticas
  • Creencias religiosas o filosóficas
  • Afiliación a un sindicato
  • Salud
  • La vida sexual u orientación sexual de una persona
  • Datos genéticos
  • Datos biométricos que se utilizan para identificar de forma única a una persona.

Desde que comenzó la pandemia Covid-19, se han realizado numerosas entrevistas para comprender el impacto de la pandemia en las personas y sus seres queridos. Dado que estas conversaciones incluyen datos sobre la salud mental de los entrevistados, debe considerarse como “Datos sensibles” y ser tratados con especial cuidado.

Según el GDPR, para recopilar datos sensibles, hay dos puntos importantes a considerar:

Primero, los datos confidenciales deben ser vitales para el proyecto de investigación. Si esta información no es absolutamente necesaria para su proyecto, entonces no debería recopilarla en primer lugar. Entonces el investigador debe seguir la lógica de la minimización de datos.

En segundo lugar, es necesario pedir “consentimiento ”. El consentimiento del interesado, o del entrevistado, es absolutamente crítico incluso para comenzar la entrevista. El consentimiento del entrevistado significa cualquier indicación libre, específica, informada e inequívoca del tratamiento de los datos personales que le conciernen.

Como entrevistador, debe recibir el consentimiento antes de que comience la entrevista. La primera parte importante aquí es comprender que el consentimiento debe darse libremente. En segundo lugar, es muy importante que el consentimiento sea informado. El consentimiento informado significa que el entrevistado conoce su identidad como investigador, qué actividades de procesamiento de datos tiene la intención de realizar, el propósito de la recolección de datos, y que pueden retirar su consentimiento en cualquier momento. Los principios de Protección de Datos requieren que cuando se procesen datos personales, los investigadores deben proporcionar información transparente y en lenguaje sencillo para las personas cuyos datos serán recopilados y analizados.

De acuerdo con Robert Bond, un socio y notario para Bristows LLP, los investigadores deben informar a las personas sobre quién está procesando los datos personales, con quién se pueden compartir esos datos personales, los fines para los que se utilizarán los datos, durante cuánto tiempo se conservarán y qué derechos y privilegios tienen las personas en términos de sus datos personales.

Un investigador puede recibir el consentimiento ya sea de forma oral o por escrito antes de la entrevista. Si opta por recibir el consentimiento verbalmente antes de la entrevista, debe registrarlo. Registrar el consentimiento y la entrevista en su conjunto con fines de archivo, análisis y verificación de datos es una de las mejores prácticas.

Controlador de datos versus procesador de datos desde una perspectiva GDPR

Es importante determinar los diferentes roles y responsabilidades que tienen las personas u organizaciones según las regulaciones de GDPR cuando recopilan datos con fines de investigación. Entonces, ¿cuál es la diferencia entre un "controlador de datos" y un "procesador de datos"?

De acuerdo con GDPR y otras leyes de privacidad, el controlador de datos posee la mayor parte de responsabilidad cuando se trata de proteger la privacidad y los derechos del interesado, como el nombre del entrevistado y el contenido sensible. Son dueños de los datos y establecen los límites sobre cómo y por qué se controlan los datos. 

Un procesador de datos, por otro lado, es el tercero elegido por el controlador para procesar los datos. Aunque los procesadores de datos están sujetos a una menor responsabilidad, es muy importante que sean conscientes de sus responsabilidades para no poner en peligro la privacidad y la seguridad de los datos de sus clientes. 

Para ponerlo en contexto, las herramientas de análisis y transcripción automatizadas actúan como “procesadores de datos” ya que son contratadas o compradas por el investigador para procesar sus datos. No tienen ningún derecho para alterar los datos o transferirlos a terceros a menos que existan cláusulas especiales y seguras que permitan que se lleve a cabo dicha transacción.

¿Cuáles son las responsabilidades de las herramientas de análisis y transcripción automatizadas?

Los investigadores utilizan herramientas de análisis y transcripción automatizadas para convertir sus entrevistas en texto en menos tiempo del que les llevaría transcribirlas manualmente. La velocidad impulsada por la inteligencia artificial y la accesibilidad a los datos basados ​​en la nube ofrecen oportunidades para aumentar la productividad y la calidad de la investigación, siempre que los investigadores puedan identificar rápidamente qué preguntas generan información más productiva. 

Es fundamental que los proveedores de servicios de transcripción automatizada sean conscientes de sus responsabilidades y mantengan los datos de sus clientes de la manera más segura. Esto implica almacenar los datos en servidores seguros, evitando la transferencia de datos a terceros que no posean las medidas de seguridad necesarias para proteger la privacidad de los usuarios, asegurándose de que los datos sensibles se almacenen dentro de la Unión Europea (UE) y la eliminación completa de los datos existentes del usuario por solicitud explícita.

Scrintal es creado por investigadores para ofrecer a los investigadores una plataforma de análisis y transcripción segura que libera una gran cantidad de tiempo de la transcripción manual que se puede utilizar para un trabajo más productivo. Sabemos cuán vital es el cumplimiento de GDPR y la protección de datos para nuestros usos, por lo que la seguridad de sus datos es nuestra máxima prioridad.

  • Todos nuestros servidores están ubicados en la UE
  • Usamos servidores AWS (Amazon Web Services) que cumplen con GDPR y demostrar el cumplimiento de rigurosos estándares internacionales, como ISO 27017 para seguridad en la nube, ISO 27018 para la privacidad en la nube además de ISO 27001
  • Todos sus datos están encriptados con AES256, que ofrece la máxima dureza computacional durante el mayor período del tiempo.

Scrintal es también uno de los pocos proveedores en su campo que ofrece acuerdos de procesamiento de datos que se presentan a sus usuarios antes de que carguen su primera grabación. Por favor, visite nuestro sitio Web para obtener más información y si está interesado en probar Scrintal durante 30 minutos de forma gratuita.

Ece Kural's profile picture

Ece Kural

PhD Candidate @ Stockholm University