Con la aprobación del Reglamento (UE) 2016/679, de 27 de abril de 216, General de Protección de Datos (“RGPD”) y, en particular, de su artículo 89, la UE trataba de aunar las garantías a los derechos fundamentales de los ciudadanos a la protección de datos y la necesidad del tratamiento de datos con el fin de impulsar la investigación.
En cierta medida, la mayor garantía en el tratamiento de los datos consiste en utilizar técnicas de anonimización, esto es, disociar el contenido de la información de los rasgos distintivos que identifican al titular de los datos.

Sin embargo, como indicamos a continuación, la anonimización no siempre se puede llevar a cabo o bien, aunque se empleen técnicas de anonimización, dadas las características del grupo de personas titulares de los datos o el tamaño de la muestra utilizado, dicha anonimización no es del todo efectiva. En estos casos, estaríamos ante datos pseudoanonimizados, es decir, supuestos en los que la técnica de anonimización es reversible o en los que el titular de los datos podría ser identificado si se combinara la información disociada con otra información adicional obtenida por separado.

El debate sobre en qué grado y cuándo los datos son completamente anónimos y, por tanto, no requieren de mayores garantías o, en cambio, están pseudoanonimizados y se han de tratar con todas las cautelas establecidas en el RGPD, es parte del análisis común que realizan los equipos involucrados en la gobernanza de datos y de I+D de las compañías.

Ello nos lleva además a una cuestión aún más concreta, si para poder utilizar determinados datos en proyectos de investigación científica se ha de recabar el consentimiento de los titulares de los datos. El consentimiento no sería necesario ni cuando se trata de datos completamente anónimos, por no requerir las garantías del RGPD, ni cuando el tratamiento de datos pseudoanonimizados tenga como base legal de legitimación cualquiera de las previstas en el artículo 6 del RGPD adicionales al consentimiento e igualmente válidas, como es el caso del interés público o, incluso, el interés vital (por ejemplo, en casos de salud pública).

El Comité Europeo de Protección de Datos, consciente de la importancia de establecer un marco estable que otorgue seguridad jurídica a los operadores para impulsar la innovación, está preparando unas directrices específicas al respecto. En parte, estas directrices recogerán parte de todo lo aprendido durante la pandemia del COVID-19 y las respuestas que tuvo que ir afrontando de modo más o menos urgente desde sus Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COVID-19.

Por su parte, lo más cercano a unas orientaciones sobre esta cuestión, son los criterios establecidos por el Supervisor Europeo de Protección de Datos (“SEPD”) en la Opinión Preliminar sobre protección de datos personales e investigación científica en materia de protección de datos en el curso de la investigación científica.