Los riesgos de investigar con datos personales

Investigar con datos personales exige un compromiso con el cumplimiento de la legalidad. Responde a un imperativo ético: si investigamos con este tipo de información debemos, ante todo, garantizar y proteger los derechos de los implicados. Por desgracia, esto no siempre se cumple. La experiencia profesional adquirida en la gestión del cumplimiento del Reglamento General de Protección de Datos, y la de nuestro equipo de investigación en proyectos de investigación como BigMedilytics proporcionan un par de valiosas lecciones.

En primer lugar, el cumplimiento de estas normas en la investigación se percibe como parte de la carga burocrática que los investigadores soportan. En general no existe un conocimiento ético y formativo previo.

La Declaración de Helsinki inspira gran parte de los principios de estas investigaciones, sobre todo en el área de ciencias de la salud. Sin embargo, no es un marco suficiente para garantizar el derecho fundamental a la protección de datos.

Para muchos investigadores la “protección de datos” no es otra cosa que un impreso de consentimiento informado que descargan de la web del comité de ética de la investigación. Este no es más que una parte del cumplimiento exigible y, aunque al lector le resulte paradójico, debo afirmar que es la menos relevante en términos materiales.

Además, genera una cultura de copiar y pegar que, por alguna extraña razón, convence a algunas personas de que basta con el impreso. Por eso algunos, no familiarizados con la investigación, creen honestamente estar cumpliendo las normas. Implica un volumen desconocido de estudios en los que alguien, con tan buena voluntad como escaso acierto, vulnera los derechos de menores, ancianos y enfermos.

No basta con saber que la norma existe

El resultado es que un colectivo investigador escasamente formado confunde la parte con el todo e incumple los deberes de análisis de riesgos, evaluación de impacto relativa a la protección de datos, adopción de medidas de seguridad, declaración y registro de actividades de tratamiento. Todo en aras de facilitar la burocracia.

No es el único problema en el enfoque. Recuerdo la intervención de un delegado de protección de datos en una jornada sobre la materia en la que lamentaba que los investigadores no tengan en cuenta la normativa. Del mismo modo, se tiene constancia de acciones de estos profesionales consistentes en comunicar a los investigadores que la norma existe. Para ello se emplean discursos meramente formales, propios de una conferencia, a estudiantes de grado en una Facultad de Derecho.

Ambas actitudes constituyen la manifestación del trágico error de pensar que cumplir con el Reglamento General de Protección de Datos es problema de los investigadores. Esta es la manifestación más patológica y nociva para el cumplimiento normativo. Convencer a investigadores de primer nivel con un discurso vacío y alejado de la realidad, desconocedor de los más elementales procesos de investigación científica, resulta contraproducente y genera desafección e impotencia.

Hace falta más inversión

La garantía de los derechos fundamentales exige inversión. Y la que se refiere al Reglamento General de Protección de Datos exige procesos de gestión y la existencia de personas que presten soporte al investigador.

En términos de costes e inversión, descargar el peso de la protección de datos en el investigador principal, o en el equipo de investigación, constituye un serio error de concepto en los modelos de gestión de proyectos.

Para empezar, presupone que la garantía de la privacidad debe realizarse a coste cero. Esto es ridículo. Cualquier empresa privada que investigue en la Unión Europea dispone de las personas que soportan este área. Por otra parte, el coste de oportunidad derivado de trasladar presión al investigador con materias alejadas de su área, angustia y quebraderos de cabeza, resulta incalculable.

Nuestras universidades no solo deben liderar la investigación, deben hacerlo con garantías. La potencia de análisis que proporciona la computación distribuida en clústeres, mediante el soporte de proveedores en la nube, los programas de analítica de datos y la construcción de redes neuronales ofrecen grandes oportunidades para investigar al servicio del bien común.

El legislador europeo (y español) ha hecho sus deberes. Las aportaciones que hicimos los investigadores durante la exposición pública del Proyecto de Ley Orgánica de Protección de Datos en sede parlamentaria fueron atendidas. Primero, por un informe de la Agencia Española de Protección de Datos, y después mediante la tramitación de las enmiendas promovidas por el Partido Socialista.

No todo son buenas noticias. El regulador y el legislador fueron incapaces de entender que la investigación con datos, el vulgarmente llamado big data, desborda el área de investigación en salud al que se refiere la disposición adicional decimoséptima de la Ley.

En cualquier caso, disponemos de un ecosistema normativo favorable a la investigación, pero hay que aplicarlo. Ello exige la adopción de políticas de gestión responsable de los procesos de investigación. Defiendo que resulta crucial la integración de las normas, no solo de la protección de datos, en el diseño de la investigación desde la génesis de la idea investigadora.

Para esto es necesario un modelo de gestión estructurado y protocolizado. En él debería depositar su confianza el investigador, sabiendo que al otro lado hay personas que serán su soporte y guía.

La universidad y los investigadores deben entender que la protección de datos no solo evita riesgos reputacionales y sanciones de las autoridades de protección de datos. Constituye un valor ético, un compromiso con la calidad de la investigación que comporta una ventaja competitiva y de prestigio en la sociedad de la transformación digital.