deontológicas para la ética de
investigación, y cumplir los requisitos
del RGPD
Coordinador de evaluación
Coordinador de profesionales
Coordinador técnico
Proveedores de soluciones
acerca de
PARA QUÉ es
esta herramienta
Algo relevante para las tres dimensiones de medición del rendimiento de un trial son los asuntos relacionados con la ética de investigación. Las reglas y normas de la ética de investigación forman parte de la TGM y deben tenerse en cuenta a la hora de crear un trial. Siempre que haya personas implicadas en las actividades, se deben seguir los reglamentos y los requisitos de protección de datos para proteger su privacidad y regular su participación. Estas obligaciones se definen especialmente en el Reglamento General de Protección de Datos (RGPD) de la UE. El RGPD se estructura en torno a un grupo de principios de privacidad que se describen brevemente a continuación. Según estos principios, esta guía enumera los requisitos y recomendaciones clave, vinculados a cada una de las tres fases de un trial: preparación, ejecución y evaluación. Con el nuevo reglamento, una compañía puede recibir una multa por valor del 2 % de su facturación si no tiene en orden sus registros (artículo 28 del RGPD), si no ha notificado a la autoridad de supervisión y al interesado al que se refieren los datos sobre una infracción o no ha realizado una valoración de los posibles efectos. Para llevar a cabo un trial, los cambios que supone este nuevo reglamento se refieren principalmente a los derechos de los ciudadanos. En el RGPD, los derechos de los interesados se explican en el capítulo III. Aunque las nuevas normas para empresas son también relevantes en el contexto del trial, la ejecución y el cumplimiento del RGPD dependen de cada compañía/empresa/organización que participa en el trial. En resumidas cuentas, esta directriz deontológica (como parte de la Trial Guidance Methodology) no tiene como objetivo ayudar a los negocios a adaptarse al RGPD, sino que ante todo se centra en los derechos de los interesados que posiblemente participen en las actividades del trial.
Las siguientes directrices reflejan los problemas y conceptos anticipados con mayor frecuencia para organizar un trial, pero no son completamente exhaustivas. El motivo de esto es que para identificar con precisión qué problemas deontológicos podrían ser relevantes para un trial, se necesita más información sobre su configuración, como el escenario y hasta qué punto están implicados participantes externos, como pueden ser los voluntarios. Sin embargo, las directrices ofrecen una buena indicación de cuáles podrían ser los problemas más importantes y cómo solucionarlos.
En primer lugar, una visión general de algunos de los principios del RGPD:
Legalidad, justicia y transparencia: el RGPD indica claramente que el procesamiento de los datos solamente será legal si, y en la medida que, por lo menos se cumpla una de varias condiciones [artículo 6 del RGPD]. Estas condiciones son, por ejemplo, que el interesado haya dado su consentimiento para procesar sus datos personales con uno o más fines específicos. Las condiciones para dar el consentimiento están consolidadas y este debe facilitarse de una forma inteligible y de fácil acceso, usando un lenguaje claro.
Limitaciones de recopilación, procesado y finalidad: el RGPD establece que los datos personales solamente pueden obtenerse con «finalidades específicas, explícitas y legítimas» [artículo 5, apartado 1(b) del RGPD]. El RGPD también indica que los interesados deben ser capaces de «dar su consentimiento solamente a ciertas áreas de investigación o partes de los proyectos de investigación en la medida permitida por la finalidad establecida». El artículo 17 concede a cada interesado el derecho a solicitar la eliminación de sus datos personales cuando retire su consentimiento o si presenta alguna objeción a su procesamiento, además de cuando los datos ya no sean necesarios con las finalidades para las que fueron recopilados. Según el RGPD no es necesario enviar notificaciones / registros de todas las actividades de procesamiento de datos a cada autoridad local de protección de datos. En lugar de eso, hay requisitos internos para guardar los registros y, en algunos casos, es obligatorio designar a un responsable de la protección de datos.
Exactitud: el RGPD indica que los datos deben ser «exactos y, donde sea necesario, estar actualizados» [artículo 5, apartado 1(d) del RGPD].
Minimización de datos & privacidad por diseño: el RGPD establece que los datos recopilados sobre una persona deben ser «adecuados, relevantes y limitarse a lo que sea necesario en relación con los fines para los que se hayan procesado» [artículo 5, apartado 1(c) del RGPD]. La privacidad por diseño, un nuevo requisito legal conforme al RGPD, exige la inclusión de la protección de datos desde el comienzo del diseño de los sistemas, en lugar de ser un elemento adicional posterior. El artículo 23 exige a los controladores que guarden y procesen solamente los datos que sean absolutamente necesarios para realizar su labor (minimización de datos), además de limitar el acceso a los datos personales de las personas que necesitan llevar a cabo su procesamiento.
Limitaciones/integridad del almacenamiento y confidencialidad: el RGPD indica que los datos personales deben «guardarse de tal manera que no se permita la identificación de los interesados durante más tiempo del que sea necesario» [artículo 5, apartado 1(e) del RGPD]. El RGPD también establece que los procesadores de datos deben hacerlo «de tal manera que [se garantice] la seguridad adecuada de los datos personales, incluida su protección frente al procesamiento ilegal o la pérdida, la destrucción o el daño accidentales» [artículo 5, apartado 1(f) del RGPD]. También conocido como supresión de datos, el derecho a ser olvidado autoriza al interesado a solicitar al controlador de datos a que borre sus datos personales, interrumpa la divulgación de los datos y posiblemente hacer que terceros dejen de procesar los datos. Las condiciones para la supresión de datos, tal y como se explican en el artículo 17, incluyen la pérdida de relevancia de los datos para las finalidades originales de procesado, o si el interesado retira su consentimiento.
Requisitos y recomendaciones del RGPD para la fase de preparación
Decidir si se necesita una Valoración del efecto de la protección de datos (VEPD) [véase la sección 3, artículo 35 del RGPD]. Una VEPD será necesaria especialmente en los siguientes casos:
- para una evaluación sistemática y exhaustiva de los aspectos personales relacionados con las personas físicas basada en el procesamiento automático, incluida la creación de perfiles, y en las decisiones que tengan efectos jurídicos sobre la persona física o que la afecten considerablemente de forma similar;
- para el procesamiento a gran escala de las categorías especiales de datos mencionados en el artículo 9(1), o de datos personales relacionados con condenas y delitos penales indicados en el Artículo 10; o or
- para una supervisión sistemática de un área de acceso público a gran escala.
- Asegúrese de que los datos se recopilen con fines específicos, explícitos y legítimos y no se procesen más de ninguna manera que sea incompatible con esos fines [artículo 5, apartado 1(b) del RGPD].
- Informe al interesado (la persona de la que se recopilan los datos personales) sobre la identidad y la información de contacto del controlador de datos, qué tipo de datos se recopilarán y procesarán, cómo se utilizará el resultado de su aportación y asegúrese de que los datos que se recopilen se ajusten a esta descripción. Facilite información sobre el objetivo de la investigación, quién tendrá acceso a los datos y durante cuánto tiempo se guardará el material. Esta información debe ofrecerse en una hoja de consentimiento informado, que el interesado debe firmar antes de la recopilación de datos.
- El proceso de observación o grabación debe quedar muy claro. Haga que cualquier persona posiblemente afectada tenga la posibilidad de negarse a ser observada o grabada.
- Siempre debe informar de forma rigurosa y anticipada sobre la investigación realizada a todos los participantes y a los posibles transeúntes. En caso de que algún transeúnte pudiera verse afectado por la actividad, por ejemplo, si queda expuesto a un escenario de trial que tenga un componente de campo, se le debe dar tanta información como sea posible por adelantado. Esto puede hacerse colocando carteles informativos cerca de la zona del trial, por poner un ejemplo. Esto se consideraría una buena práctica, incluso cuando los observadores no sean «interesados» propiamente dichos. No obstante, esto depende de la situación. Si los proveedores de la solución realizan una vigilancia o seguimiento por vídeo de los transeúntes, entonces es posible que se conviertan en interesados.
Requisitos y recomendaciones del RGPD para la fase de preparación (continuación)
- Si fuera necesario, consulte con las autoridades locales de protección de datos para asegurarse del cumplimiento de todos los reglamentos y normativas sobre derechos de protección de datos. Cuando sea necesario, se deben hacer todos los registros pertinentes con las autoridades nacionales. Con el RGPD, ya no hay necesidad de notificar a las autoridades de protección de datos acerca del procesamiento de los datos. Sin embargo, existen otras responsabilidades, lo que puede afectar a los derechos de los participantes, como el deber de llevar a cabo una evaluación del efecto de la protección de datos y realizar consultas previas (en los artículos 35 y 36 del RGPD puede consultarse cuándo es relevante esto).
- El interesado tendrá derecho a no someterse a una decisión basada únicamente en el procesamiento automático, incluida la creación de perfiles, que tenga efectos jurídicos sobre su persona o que le afecte considerablemente de forma similar (artículo 22 del RGPD). Si ese procesamiento es necesario en DRIVER+ (p. ej. para la medición del rendimiento «posiblemente automatizado» y el inicio de sesión usando infraestructuras técnicas en SP92), la decisión debe basarse en el consentimiento explícito del interesado [artículo 22, apartado 2(c) del RGPD].
- Plan para practicar la minimización de los datos, es decir, evitar recopilar datos innecesarios.
- Planifique y garantice que los datos personales recopilados se guarden de forma segura, por ejemplo, usando la familia de normas ISO/IEC 27000 o el tipo de asesoramiento facilitado por el National Cyber Security Center (Centro Nacional de Ciberseguridad) del Reino Unido.
- Anonimice y cifre los datos personales como norma general.
- Utilice tecnología para el registro de los datos si fuera necesario. Justifique sus actuaciones.
Requisitos & ecomendaciones del RGPD para la fase de ejecución
- Ahora es obligatorio en todos los estados miembros notificar cualquier infracción en caso de que los servidores sufran un ataque cibernético, o si alguien no autorizado consigue de alguna manera acceso a los datos personales. Esto es así para aquellos casos en los que la infracción de datos posiblemente «ocasione un riesgo para los derechos y las libertades de las personas».
- Esto debe hacerse en un plazo de 72 horas tras haberse conocido la infracción.
- Asegúrese de que todos los datos personales recopilados se guarden de forma segura, por ejemplo, usando la familia de normas ISO/IEC 27000 o el tipo de asesoramiento facilitado por el Instituto National Cyber Security Center (Centro Nacional de Ciberseguridad) del Reino Unido.
- Utilice tecnología para el registro de los datos si fuera necesario. Justifique sus actuaciones.
- Aplique la minimización de los datos, es decir, evite recopilar datos innecesarios. Los datos recopilados que ya no se necesiten deben ser borrados. En caso de infracción de los datos, esto disminuirá el número de personas afectadas.
- Evite procesar datos que no estén actualizados.
- Anonimice cifre los datos personales como norma general.
- Tenga en cuenta que, según el RGPD, cualquier persona ubicada en la Unión Europea (alguien que resida en la UE, no simplemente un ciudadano de la UE) puede solicitar la eliminación de su información personal de una base de datos corporativa, o tiene derecho a saber el motivo por el que esto no se puede hacer.
- El interesado tiene derecho a no someterse a una decisión basada únicamente en el procesamiento automático, incluida la creación de perfiles, que tenga efectos jurídicos sobre su persona o que le afecte considerablemente de forma similar (artículo 22 del RGPD). Si ese procesamiento es necesario para la ejecución de un trial (p. ej. para la medición del rendimiento «posiblemente automatizado» y el inicio de sesión usando la test-bed technical infrastructure), la decisión debe basarse en el consentimiento explícito del interesado [artículo 22, apartado 2(c) del RGPD].
- Asegúrese de que los datos se recopilen con fines específicos, explícitos y legítimos y no se procesen más de ninguna manera que sea incompatible con esos fines [artículo 5, apartado 1(b) del RGPD].
Requisitos recomendaciones del RGPD para la fase de evaluación
- Ahora es obligatorio en todos los estados miembros notificar cualquier infracción en caso de que los servidores sufran un ataque cibernético, o si alguien no autorizado consigue de alguna manera acceso a los datos personales. Esto es así para aquellos casos en los que la infracción de datos posiblemente «ocasione un riesgo para los derechos y las libertades de las personas». Esto debe hacerse en un plazo de 72 horas tras haberse conocido la infracción.
- No se debe volver a utilizar los datos sin un acuerdo por escrito. Cuando un controlador quiere procesar los datos con otra finalidad debe obtener un consentimiento informado firmado y actualizado del interesado.
- Evite procesar datos que no estén actualizados.
- Los datos recopilados que ya no se necesiten deben ser borrados. En caso de infracción de los datos, esto disminuirá el número de personas afectadas.
- Anonimice y cifre los datos personales como norma general. Los datos personales deben «conservarse de tal manera que no se permita la identificación de los interesados durante más tiempo del que sea necesario» [artículo 5, apartado 1(e) del RGPD].
- Este procesamiento o análisis de los datos personales debe hacerse «de tal manera que [se garantice] la seguridad adecuada de los datos personales, incluida su protección frente al procesamiento ilegal o la pérdida, la destrucción o el daño accidentales» [artículo 5, apartado 1(f) del RGPD].
- Tenga en cuenta que, según el RGPD, cualquier persona ubicada en la Unión Europea (alguien que resida en la UE, no simplemente un ciudadano de la UE) puede solicitar la eliminación de su información personal de una base de datos corporativa, o tiene derecho a saber el motivo por el que esto no se puede hacer.
- Si los datos personales figuran en la descripción de los resultados del trial que se guardan en el PoS, esto debe justificarse.
- Además de garantizar que los datos personales se recopilen con fines específicos, explícitos y legítimos, asegúrese de que los datos no vuelven a procesarse de ninguna otra manera que sea incompatible con esos fines [artículo 5, apartado 1(b) del RGPD].
Enlace
- No se trata de una herramienta física, sino de un proceso.