El sitio web de la UCLM utiliza cookies propias y de terceros con fines técnicos y de análisis, pero no recaba ni cede datos de carácter personal de los usuarios. Sin embargo, puede haber enlaces a sitios web de terceros, con políticas de cookies distintas a la de la UCLM, que usted podrá aceptar o no cuando acceda a ellos.

Puede obtener más información en la Política de cookies. Aceptar

Español
Tools
- Library
- Campus Virtual
- CAU
- Directory
- Intranet
- Search on UCLM

Research

Protección de datos personales

La investigación en Ciencias Sociales y Jurídicas implica a menudo tener que trabajar con datos personales; se espera que los investigadores, además de cumplir con la normativa vigente, observen también una serie de principios éticos que protejan a aquellos que han accedido a ser sujetos de investigación. Es obligación del investigador salvaguardar su privacidad.

Muchos datos de la investigación, incluso los datos sensibles, pueden compartirse ética y legalmente si los investigadores emplean estrategias de consentimiento informado, anonimización y control del acceso a los datos. Tan solo es importante pensar en ello desde el momento en el que se está diseñando la investigación (reflexionando qué datos son los que se necesitan, para usar solo los estrictamente necesarios) y desarrollar una estrategia para realizar un tratamiento correcto de los datos cumpliendo con la legislación vigente.

Antes de nada, es importante saber que un dato personal es toda información sobre una persona física que permita identificarla, directa o indirectamente, en particular mediante un identificador como nombre, número de identificación, localización, identificador en línea, o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social.

La regla general y la recomendación del CEIS será, y siempre que el objeto de la investigación no lo impida, que los datos relativos a personas sean anonimizados en el momento de la recogida de la información y, por tanto, previamente a su tratamiento. Cumplir esta regla exime de observar la normativa sobre protección de datos personales ya que, en ese supuesto no se estará trabajando con ningún dato que permita identificar a personas. En este caso, tan solo hay que ser cauteloso en la fase de difusión de los resultados para que no se proporcione ningún tipo de información por la que sea posible identificar a los participantes.

¿Qué debo hacer si en mi investigación tengo que trabajar con datos personales?

De no ser posible la anonimización en origen, se utilizará un proceso de seudonimizacion; de dichos datos, evitando que las personas cuyos datos son tratados puedan ser identificadas. Además, en este caso y para usar lícitamente estos datos se necesitará contar con el consentimiento expreso del participante que dona sus datos. Ese consentimiento expreso es el que otorga al investigador la legitimidad para tratar esos datos en su investigación. Recuerda, por tanto, incluir un apartado informativo sobre cómo se van a tratar los datos y cuál es el uso que se van a hacer de estos cuando diseñes tu hoja de consentimiento informado. Considera en este caso, las adaptaciones que tendrás que hacer para recoger el consentimiento en caso de colectivos vulnerables que tienen dificultades para otorgar un consentimiento libre, expreso y voluntario.

Ten en cuenta que los datos personales con los que trabajes pueden ser datos especiales

Adicionalmente, debes saber que hay una categoría de datos que la normativa vigente considera especiales y que exigirá que se lleven a cabo actuaciones adicionales. Estos datos especiales son los datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, los datos relativos a la salud, la vida sexual o la orientación sexual de una persona física. En este caso, y antes de iniciar cualquier tratamiento de estos datos, se deberá realizar un análisis de los riesgos derivados del tratamiento sobre los derechos y libertades de las personas cuyos datos son tratados. Es posible que, al realizar el análisis de riesgos, se concluya que hay un riesgo significativo o alto para los derechos de las personas que participan en la investigación. En este caso se debe realizar, con ayuda del Delegado de Protección de Datos de la UCLM, una evaluación de impacto en la protección de datos personales.

¿Qué medidas de seguridad organizativas se deben adoptar para proteger los datos personales?

En primer lugar, se debe designar una persona que será la responsable de asegurar el cumplimiento de todas las medidas de seguridad. Recuerda que todos los miembros del equipo están comprometidos a salvaguardar la confidencialidad de los datos personales de la investigación, aquellos miembros que no tengan vinculación permanente deberán firmar un acuerdo de confidencialidad.

Para la recogida y almacenamiento de los datos usa solo las aplicaciones que la UCLM tenga disponibles bajo contrato de servicios en cada momento. Por ejemplo, actualmente las herramientas disponibles para realizar formularios on-line son Microsoft Forms y Lime Survey, y para almacenar datos en la nube, OneDrive.

Establece procedimientos seguros de acceso a la información. En principio, las medidas de seguridad que la UCLM ha implementado para acceder a los equipos de la UCLM serían suficientes, pero si se considera conveniente se pueden establecer contraseñas para acceder a los archivos con la información más sensible.

Evita comunicar datos o información personal a terceros en llamadas telefónicas o correos electrónicos; en el caso de almacenamiento de documentos en papel debe realizarse en lugares seguros.

Establece procedimientos seguros de acceso y respuesta a la persona que ha donado sus datos cuando quiera ejercer sus derechos.

Ante una violación de la seguridad por acceso indebido, alteración de la información o pérdida del acceso, contacta lo antes posible con el Delegado de Protección de Datos.

¿Cómo garantizo que todos los miembros del equipo de investigación observen la confidencialidad?

La legislación vigente en materia de protección de datos personales establece que todas las personas que intervengan en cualquier fase del tratamiento de los datos estarán sujetas al deber de confidencialidad. El objetivo es garantizar una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. En el caso de las actividades de investigación que traten datos personales, solamente estarán autorizadas a tratar esos datos personales en una actividad de investigación concreta aquellas personas que figuren como miembros del equipo de investigación encargado de realizar la citada actividad.

Todos los miembros de la plantilla de la UCLM están obligados a guardar el deber de confidencialidad en virtud de su vinculación como trabajadores de aquella. Si alguno de los miembros de este equipo no fuese personal de la UCLM tendrá que firmar un documento de confidencialidad.

Cuando sea necesario suscribir un acuerdo de confidencialidad entre la UCLM y otra entidad, se recurrirá al modelo disponible en la OTRI (otri@uclm.es), visado por la asesoría jurídica de la UCLM, que está redactado sobre la base de un modelo de la Oficina Española de Patentes y Marcas (OEPM).

¿Quién es la persona responsable del tratamiento de los datos personales?

En cualquier investigación que se lleve a cabo en la UCLM en la que se traten datos personales:

Si los datos han sido obtenidos por el equipo investigador: la propiedad intelectual de los datos corresponderá al equipo investigador que lleve a cabo la investigación, el responsable del tratamiento de los datos personales será de la UCLM y el investigador principal del grupo de investigación será el responsable interno del tratamiento de los datos personales.
Si los datos personales han sido cedidos por un tercero: el titular de la propiedad intelectual y el responsable del tratamiento de los datos personales será el suministrador de los datos. En este caso, la UCLM será la encargada del tratamiento de los datos personales, para lo que tendrá que suscribir un acuerdo de encargo de tratamiento de datos personales con el tercero para que la UCLM pueda tratarlos de acuerdo con las condiciones pactadas en ese acuerdo.

En el caso específico de las tesis doctorales que traten datos personales:

Cuando los datos personales tratados para la realización de la tesis doctoral los haya obtenido el doctorando por sus propios medios: la propiedad intelectual y la responsabilidad del tratamiento de los datos personales le corresponderán a aquel.
Cuando los datos personales los ha obtenido un investigador o grupo de investigación de la UCLM y se faciliten al doctorando para la realización de su tesis: la propiedad intelectual será del investigador o del grupo de investigación que los haya obtenido, el responsable del tratamiento de los datos personales será de la UCLM y el investigador principal del grupo de investigación será el responsable interno del tratamiento de los datos personales.
Cuando los datos personales tratados para la realización de la tesis doctoral los ha obtenido el doctorando con los medios de la UCLM: la propiedad intelectual será de las personas que los hayan obtenido y elaborado (doctorando, director de la tesis, etc.), la responsabilidad del tratamiento de los datos personales será de la UCLM y el director de Tesis será el responsable interno del tratamiento.
Cuando los datos de la investigación se han obtenido de un tercero que los suministra a la UCLM: el titular de la propiedad intelectual y el responsable del tratamiento de los datos personales será el suministrador de los datos. En este caso, la UCLM será la encargada del tratamiento de los datos personales, para lo que tendrá que suscribir un acuerdo de encargo de tratamiento de datos personales con el tercero para que la UCLM pueda tratarlos de acuerdo con las condiciones pactadas en ese acuerdo.

¿Se pueden ceder los datos personales de la investigación?

Si en el marco de la investigación se ha previsto la cesión de datos de carácter personal a terceros ajenos a la investigación (esto es las personas que no están autorizadas a tratar los datos) es obligatorio que obtengas el consentimiento expreso y escrito de la persona que te los donó permitiendo la cesión.

Si los datos de carácter personal se transmiten fuera de la Unión Europea se está realizando una transferencia internacional de datos. En este caso el investigador y la UCLM son los exportadores de los datos. Asegúrate de que la transferencia se realiza a un país u organización internacional que garantizan un nivel de protección acorde con lo dispuesto en la normativa vigente.

¿Qué es un análisis de riesgos?

El análisis de riesgos es el proceso de identificar y evaluar la probabilidad e impacto derivados de que una amenaza en relación con los datos personales se materialice, y la gestión de esos riesgos tiene como objetivo establecer las acciones que prevengan, reduzcan o eviten en la medida de lo posible la materialización de esas amenazas y que permita minimizar a un nivel aceptable la exposición a los riesgos.

Identificar y evaluar los riesgos son las tareas iniciales del proceso de gestión de riesgos. Asegurar la correcta identificación de los riesgos a los que están expuestas las actividades de tratamiento es una parte clave para poder realizar una evaluación completa. La no identificación de riesgos implica que estos no se evalúan y no se tratan, y el tratamiento podría estar más expuesto al potencial riesgo. En el siguiente enlace se exponen las fases y acciones a desarrollar en el análisis de riesgos en el tratamiento de los datos personales. Este análisis se debe realizar con la ayuda del Delegado de Protección de Datos de la UCLM (proteccion.datos@uclm.es).

¿Qué es y cómo se hace una evaluación de impacto en la protección de datos personales?

La Evaluación de Impacto en la Protección de Datos Personales es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos. El análisis de riesgos para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable. La normativa vigente prevé que las Evaluaciones de Impacto se lleven a cabo “antes del tratamiento” en los casos en que sea probable que exista un alto riesgo para los derechos y libertades de los afectados.

Esta evaluación del impacto se debe realizar con la ayuda del Delegado de Protección de Datos de la UCLM (proteccion.datos@uclm.es). La evaluación del impacto no es necesaria en todos los casos en los que se traten datos personales, aunque lo será cuando exista una probabilidad alta de impacto sobre los derechos y libertades de los afectados.

Puedes consultar también la guía que proporciona la Agencia Española de Protección de Datos para saber más sobre cómo se realiza una Evaluación de Impacto

Voy a usar la plataforma REDCap ¿qué debo hacer?

Si en tu investigación sociosanitaria vas a emplear la plataforma REDCap, el CEIS te va a requerir que adjuntes a tu solicitud el compromiso de cumplimiento de normativa de datos personales que la UCLM ha preparado.

Compromiso de cumplimiento de la normativa sobre el tratamiento de datos personales en la realización de una investigación con la plataforma REDCap

Necesito documentarme más sobre la protección de datos personales

En el siguiente enlace puedes descargar un archivo que el Delegado de Protección de Datos de la UCLM ha preparado para aclarar cuestiones relativas a los datos personales y los principios que rigen en su tratamiento y gestión.

También puedes consultar el decálogo de la protección de datos personales en la investigación en la UCLM y el apartado de preguntas frecuentes sobre el tratamiento de los datos personales que ha preparado la UCLM.