 Buenos días, vamos a empezar el seminario web sobre RGPD y aspectos legales relacionados con la gestión de datos de investigación. Para ello tenemos a Jack Flores, que trabaja en la Biblioteca de la Universidad del TREC, es gestor o consultor en gestión de datos de investigación. Como la mayoría ya saben, este webinar, un webinar similar se hizo en inglés, está colgado en pene, pero hemos querido hacer uno en español para que sea más accesible para toda nuestra comunidad. Yo voy a desconectar mi cámara para que así la conexión sea un poco mejor. Por ello, todos participantes están tenentando camas como micrófonos apagados. El chat no se va a ser parte de la grabación, por lo cual todas las preguntas que tengan, por favor háganlas a través de preguntas y respuestas. Y doy la palabra a Jack Flores para que comience con su presentación, que no quiero quitarle más tiempo. Gracias Alicia, y buenas tardes a todos, espero que me escuchen bien. Me da mucho gusto estar aquí y poder hablar con ustedes sobre este tema del RGPD y cómo afecta la recopilación de datos personales en la investigación. Yo me interesé mucho en este tema hace como un año y medio, dos años, cuando comencé a trabajar en la bioteca después de hacer investigaciones. Porque me di cuenta que, bueno, es importante por el tema legal, pero también me di cuenta que la gran mayoría de las personas en la universidad, incluyendo investigadores y administración y soporte de investigaciones, no tenía mucho conocimiento, una buena idea de qué se trataba. Entonces, estudié un poco sobre esto y me involucré en varios proyectos que tenían datos personales y comencé a aprender bastante sobre ello y decidí con eso comenzar a ayudar a los investigadores. Lo que quiero hablar hoy es realmente los dos primeros principios del RGPD. El RGPD es bien grande, tiene como varios artículos, pero los dos primeros son muy importantes. Y realmente, si entiendes esos dos primeros principios, entonces llegas a poder navegar el RGPD con mucha más facilidad. Así que voy a hablar de esos dos y voy a tocar un poco sobre los otros temas. Como, por ejemplo, la integridad y confidencialidad es muy importante. Obviamente, anonimizar, pseudonimizar, minimizar, todo ese tipo de medidas de seguridad y privacidad son parte de cada gestión de datos personales. Incluso la limitación del plazo de conservación es algo muy simple. Realmente, cuando estamos hablando de... ¿Hay problema con el audio? No, está bien. Bueno, cuando estamos hablando de investigaciones, podemos alargar el plazo de conservación por mucho tiempo, con tal que sea por investigaciones y que podemos demostrarlo. Así que es algo que realmente es una derogación que, en el caso de investigaciones, se nos hace un poco más fácil. Por temas de verificaciones o por la reutilización de datos. Ahora, antes de comenzar con los primeros dos principios, quería tener unas definiciones. Primero, ¿qué es un dato personal? Ahora, esto viene directamente del RGPD y dato personal es realmente toda información sobre una persona física que la puede identificar. Es decir, persona física tiene que ser alguien que esté vivo, obviamente, y que lo puede identificar simplemente que pueda saber quién es esta persona. Y entonces, la persona que se ha identificado se llama el interesado. Este es un término que se usa en el RGPD. También lo llamo el participante, por lo general, en temas de investigaciones. Y algo que tiene que ser los datos personales es que no es como que haya una lista en la que algo sea un dato personal y lo otro no lo es. Porque pueden haber cosas que son un dato personal para un individuo y no para otros. Por ejemplo, un apellido, mi apellido, bueno, tengo dos, pero mi primer apellido, flores. Si solamente tienes esa información sobre mí, nunca me podrías encontrar porque hay un millón de flores en el mundo. Pero si estás hablando sobre mi segundo apellido, que es de los YANI, ahí mismo me puedes encontrar porque es realmente solamente mi familia tiene ese apellido. Entonces, por lo que ves, siempre que estás trabajando con otros personales, no es tan simple decir, esto es un dato personal, eso no es un dato personal. Porque si tan solo un individuo puede ser identificado por esa variable, entonces deberías tomarlo como si fuera un dato personal. Después tenemos lo que se llama el tratamiento, el processing, si es en inglés. Y es cualquier operación o conjunto de operaciones que son realizadas sobre los datos personales. Esto realmente es cualquier deber o que puedas aplicar al dato personal. Desde mirarlos hasta guardarlos, lo que sea que tú puedas pensar, analizarlos, eso es una forma de tratamiento. Y el responsable es la persona física o jurídica, la institución o el organismo que, junto con otros, decide cuáles van a ser los tratamientos que van a ser aplicados en estos datos personales. Entonces, es importante saber quién es el responsable si eres un investigador. Por lo general, el responsable es la institución misma. Obviamente, dentro de esa institución, tú te responsabilizas por los datos personales que tú estás recopilando. Pero si hay una denuncia o hay un problema, sería la institución la cual se hace responsable y no tú por lo general. Entonces, comencemos con el primer principio, que es la licitud del tratamiento. Entonces, ¿cómo nos aseguramos de usar datos personales de forma licita? Hay seis maneras en la que uno, seis bases jurídicas por la cual uno puede procesar o tratar datos personales. Y la primera que tengo aquí en verde es el consentimiento, un formulario de consentimiento. Y eso es muy importante, es la que usamos en la universidad, si realmente porque cure los deberes legales y los de ética. Es decir, no solamente te cure legalmente como base jurídica, pero también tiene un aspecto de ética. Y por eso nos parece una manera muy interesante, creo que es la base jurídica más usada en investigaciones. Pero no es la única. Por ejemplo, también tenemos interés público. Esto viene a dar cuando vamos a usar datos personales, pero van a ser usados para algo que se puede demostrar que es un interés público. Para darles un ejemplo, el COVID-19, esto fue un interés público. Hasta la autoridad de control principal lo dijo explícitamente que esto es una forma en la cual la base jurídica de interés pública puede ser usada. Ahora, algunas instituciones utilizan el interés público para todas las investigaciones. ¿Por qué? Porque dicen que toda investigación está hecha por definición por el interés público. En la universidad de Utrecht no utilizamos esto, porque realmente no creemos que esto sea la verdad para cualquier investigación. Hay muchas veces en que realmente no es para interés público o que no sea necesario para interés público. Pero es debatible, y algunas universidades sí lo usan. Es algo sílidamente que hay que tener en cuenta. Después tenemos un tercero, que es el interés legítimos del responsable. Esto es un poco más complicado, y eso tiene que ver con cuando eres el responsable y tienes un interés en usar estos datos personales. Con tal de que tu interés no vaya en contra de los derechos de privacidad del interesado o del participante y puedas demostrarlo y lo hayas demostrado en un documento que puedas usar estos datos personales sin decir un consentimiento. Ahora, este documento se llama una evaluación de impacto relativa a la procesación de datos. En inglés le llamamos DTIA, y es un documento que requiere bastante investigaciones. Entonces, realmente tienes que ver punto por punto cuáles son las medidas de seguridad y de privacidad que vas a tomar y cuáles son los riesgos. Por lo cual, solamente lo recomendamos cuando es una investigación en la cual el consentimiento es muy difícil de obtener. Y siempre requiere un soporte. El investigador, muy rara vez, puede llenar uno de estos documentos por sí mismo. Ahora, hablando del consentimiento, hay cuatro cosas que tienen que considerarlo. La primera idea es que tiene que ser dada libremente, sin coerción. Y esto, por lo general, es fácil de hacer, pero hay veces que uno recompensa a los participantes al interesado por formar parte de la investigación. Ahora, con tal de que el participante no requiera de esta recompensa para sobrevivir, no hay coerción. Pero siempre tienes que tener esto en mente, sobre todo cuando estás haciendo investigaciones en un grupo sensible, digamos. También tiene que ser específico. Y esto es muy importante. Es parte del segundo principio también. Y es que tienes que saber exactamente cuáles datos personales estás recopilando y exactamente para qué van a ser usados. Es decir, cuáles van a ser los tratamientos. Obviamente, tiene que ser sin ambigüedad. Esto tiene que ser claramente presentado. Lo que a veces es un poco difícil porque tienes que presentar bastante información, pero de una forma clara y concisa. Y cómo hacerlo esto, bueno, es una arte en sí. Y obviamente tiene que ser informado. Y esto también es muy importante. Tienes que darle información a tus participantes, a los interesados. ¿Qué tipo de datos estás recopilando? ¿Cómo van a ser usados los tratamientos? ¿Cuál es el fin? Y también tiene que conocer sus derechos, sus derechos de retirar su consentimiento más que todos. Que en cualquier momento pueden tener el derecho a ser olvidados. Y tienes que poder ejecutar también este derecho con facilidad. Ahora, lo que he puesto aquí es una lista de ciertas... La información que de todas maneras tienes que poner en una forma de consentimiento. No solamente en una forma de consentimiento, pero cualquier base jurídica que estés usando requiere que informes al participante. Entonces, siempre tiene que tener la identidad y los datos de contacto de responsable. En este caso el responsable es la universidad, pero el contacto sería el investigador principal, por lo general. Después también tienes que tener los datos de contacto del delegado de protección de datos. Y esa es una persona que cada institución la tiene cada universidad. Y él supervisa el cumplimiento del reglamento en toda la institución. Entonces, ¿por qué tiene que ser mencionado el delegado de protección de datos? Bueno, porque si hay un problema entre el participante, el interesado y el investigador, el delegado es una persona en la cual el participante puede acudir para ver que sus derechos están siendo protegidos. Entonces, no es la primera forma de contacto, es como una contacto si es que hay problemas. Pero tiene que estar ahí, tendría que saber entre la institución quién es el delegado de protección de datos, una persona muy importante y por lo general muy ocupada porque tiene un montón de problemas que resolver. Después siempre tiene que tener la finalidad y la recopilación de los datos. Es decir, ¿para qué los estás usando y cuáles son los datos? Y también la categoría de estos datos personales, es decir, de qué se tratan, pero van más o menos juntos. Y los derechos del interesado, como mencioné, por lo menos el derecho a ser olvidado. Y tiene que ser tan fácil de ser olvidado como lo es de dar consentimiento. Pueden existir otros requisitos si es que el tratamiento incluye controladores múltiples o si hay transferencias fuera de la Unión Europea o también decisiones basadas únicamente en procesos automatizados. Entonces, si piensas que estos son temas que incluyen tus tratamientos, entonces ahí tienes que añadir ciertos requisitos. Eso es todo sobre la base jurídica. Y espero, Luis, realmente tenemos que utilizar una pregunta sobre la categoría de datos. Es algo que está escrito en el reglamento y tampoco no te dicen mucho sobre lo que eso significa. Pero, por ejemplo, si estamos hablando sobre impulsividad, bueno, los datos personales tienen que ver sobre tu peso, sobre tu... O dónde vives y es como se llama, sobre el medio ambiente, cosas así. Entonces, no tienes que ser completamente preciso con tal que le des una idea de qué tipo de datos personales. Yo digo si puedes dar los datos personales específicamente, hazlo. Y, por lo general, si se puede. Y eso es todo sobre la base jurídica. Pero también el segundo principio es la limitación de finalidad. Y ese principio es muy importante para investigaciones. ¿Por qué? Porque tiene que ver cómo se puede compartir datos personales de una manera legal, de una manera lícita. Ahora, el RGPD requiere que la razón por la cual alguien o usa o trata o colecciona o se recopila a datos personales sea evidente en el momento en el cual se recopila esta información del interesado o del participante. Como ven, este es un problema en desviaciones porque no siempre se sabe exactamente qué se van a hacer con esos datos personales por cualquier razón que sea metodológica o, como veas. Y a veces los tratamientos van a cambiar durante la investigación. Esa es simplemente la naturaleza de la ciencia. Y también este principio restringiría la reutilización de los datos personales. ¿Por qué? Porque simplemente no lo puede retrizar ya que solamente tienen que tener una finalidad precisa. Por suerte, el RGPD tiene una derrogación y reconoce dos distintos usos de datos en investigaciones. La primera es el uso primario, el que ya hemos hablado, que directamente ha recopilado la información del participante y tiene un propósito específico, es el uso primario. Pero también tiene ese uso secundario en el cual información, datos personales que han sido recopilados inicialmente para una gestión de desviaciones van a ser rehusados para otra investigación. Ahora, en este caso el RGPD permite la reutilización, el uso secundario con tal de que el uso secundario sea para investigaciones. Obviamente tienes que añadir ciertas medidas. Entonces dices, solamente puedes usar esta derrogación si es que vas a incorporar medidas técnicas y organizativas de seguridad y privacidad que garanticen la protección de los derechos de los interesados. Estas medidas son la pseudonymización, la anonymización, encriptación, control de acceso, hay varias. Pero tienes que incluirlas para poder utilizar este método de usar datos personales, de reutilizar datos personales. Ahora, el RGPD, el GDPR es grande, como digo, tiene como 100 artículos y no sé cuántas razones. Un artículo que es muy importante para si es que estás en investigaciones es el artículo 89, porque ala sobre esa derrogación, más allá de los primeros 20 artículos que realmente ala sobre la base jurídica que acaba de explicar. Así que les recomiendo que, por lo menos leanes, en uno es muy largo. Pero quiero explicar un poco más lo que quise decir con la derrogación de la finalidad. Entonces, la reutilización de datos personales está permitida con tal de que el fin del uso secundario sea compatible con el fin del uso primario. Y está hecho que el uso secundario para investigaciones es un uso compatible. Y esta es una impresión bien amplia. Por ejemplo, podemos ver si es que estamos utilizando datos personales para una investigación sobre hormonas, podemos utilizarlo para otra investigación sobre hormonas. Esto sería legal. Por varias razones se ve que es compatible. Pero si queremos usarlo para otra investigación sobre el cáncer, sigue siendo una investigación. Entonces, esto sería legal, sería lícito. Pero bueno, si queremos usarlo para estudios de género, que es un poco no tan relacionado, pero sigues en investigaciones, esto está legalmente, puedes hacerlo. Ahora, aquí podrías encontrar unos problemas, porque puede que ciertas personas por cualquier razón no quieran que sus datos personales sean usados para estudios de género. Y aquí es donde tienes que darte cuenta que a veces lo legal no garantiza que algo también sea ético. Y eso es algo también que en la forma de consentimiento tienes que poner. Aquí tengo unas preguntas que voy a responder. El consentimiento debe ser por escrito. ¿Qué sucede, por ejemplo, a la hora de tomar una fotografía? El consentimiento no tiene que ser por escrito, tiene que ser explícito. Tiene que poder comprobar que el individuo o el interesado dio su consentimiento. Esto puede ser verbal, puede ser simplemente contarle que puedas demostrarlo. Cuando tomamos una fotografía, pues tiene que dar su consentimiento. Si lo dieron verbalmente, está bien, pero tienes que tener una manera de comprobarlo. Porque si hay una denuncia como usted tiene estos personales y no tienes manera, dijiste, bueno, ellos me dijeron verbalmente que sí, pues es tu palabra contra la de ellos. Entonces ahí viene un problema. Por eso es mucho mejor tener algo escrito o algo verbalmente grabado que hace resolver esos problemas con mucha más facilidad. La policía puede compartir datos personales anonimizados o se denunizados con investigadores, en qué condiciones. Bueno, ese es otro tema. La policía tiene otras razones, otras bases jurídicas para utilizar, para recopilar datos personales. Ahora, si son anonimizados, significa que ya no son datos personales y voy a tocar este tema un poquito más tarde. Si son se denunizados, sí pueden ser reusados para investigaciones, pero tienes que tomar medidas muy fuertes para asegurarte de que los de los participantes, en este caso los interesados, no están siendo violados, ¿no? Y este es un tema más que requiere, realmente tienes que entrar en el contexto, saber qué datos personales están siendo usados para saber si es que podrás o no podrás usarlos. No es tan simple en ese caso. Claro, ADN, datos geométricos, estos aún más son datos personales sensibles, que tienen mucho más riesgos hacia el interesado, por lo cual las medidas tienen que ser mucho más fuertes. Es posible, pero eso tiene que ser un estudio, ¿no? Ahora, he dicho que, bueno, podemos utilizar los datos personales, tal y cual hayan medidas, pero no importa cuál es tu base jurídica o si lo estás reutilizando, por más que no necesitas el reconcentimiento, de todas maneras tienes que informar a los interesados, a los participantes. Ahora, no tienes que, si tienes los contactos, puedes contactarlos directamente, pero si también puedes hacerlo por un website, un boletín de noticias, tienes que tratar cualquier forma que sea disponible para asegurarte de que los participantes han sido informados de los tratamientos nuevos que van a ocurrir en sus datos personales. Ahora, si hay una manera en la que puedes renunciar a este derecho o es en la cual requiere un esfuerzo desproporcionado y el cual también el uso del tratamiento no invade demasiado, los riesgos son mínimos en el participante. Cuando el esfuerzo es desproporcionado, pues no hay necesidad de tener que informar a todos los participantes. Un ejemplo en el que puede suceder y tener en cuenta que todo depende mucho en el contexto, pero si no hay información de contacto y no tienes los datos fuertemente, los datos han sido fuertemente seudonomizados, es decir, las medidas de priasidad son grandes, y hay un bajo riesgo y no hay un forro plataforma donde puedes involucrarlos, pueda que puedas usar esta derrogación. ¿Qué ocurre, por ejemplo, con derechos de imagen cedidos a una empresa con fines comerciales y de explotación? ¿Puede la empresa cederlos para investigación? Depende. Que puede, podría. Pero ellos mismos son responsables por los datos personales que ellos han adquirido. Y si ellos tienen el consentimiento o tienen una base jurídica para poder darte esta información, sí se puede hacer. Pero en muchos casos no es posible porque si utilizan consentimiento no lo incluyeron en el consentimiento. ¿Qué significa cedudonomizar? Por favor, definición. Sí, bueno. Cedudonomizar es cuando tienes una... A ver. Como si yo tendría mi nombre, Jack Flores, y después un montón de variables, como mi peso, mi edad, donde vivo. Ahora, si yo codifico esto y saco mi nombre y lo reemplazo por un alias como Batman o Superman, esto es una forma de cedudonimización. Y el link, lo que me dice que Batman es en realidad Jack, lo guardaría en otra ficha. Fuera, fuera. Si alguien ve esta información no podría identificarme muy fácilmente porque no ve mi nombre Jack, solamente ve un alias. Cualquier alias que se sea. Entonces, eso es una forma de cedudonimización. Otra pregunta que veo aquí es ¿Las fotografías tomadas en actividades culturales o formativas precisan del consentimiento escrito de todos los asistentes o previamente a su recesión se avisa que se tomarán fotos para publicar en las redes dichas actividades? Como dije, contarle que si, de hecho, les hayas informado de lo siguiente, es una forma de consentimiento. Obviamente, en este tema ya no estamos hablando de investigaciones, pero de otros temas en los cuales podría que utilices otras bases jurídicas como contractuales o que forma parte de formar si quieres acceder a esta actividad cultural de por si das tu consentimiento al comienzo. Entonces, hay varias formas de consentimiento explícito si usando Google Forms aparece al principio que si sigue haciendo la encuesta das consentimiento no es explícito si no hay una forma en la que el participante le interesado ha dicho que sí o ha hecho un tic si solamente dice si continúas eso no sería explícito. Lo cual no lo utilizaría para investigaciones y puede ser usado para ciertos temas pero investigación siempre recomendamos que sea explícito que tengan que escribirlo, que tengan que hacer un check o firmar o decirlo verbalmente. Es recomendado. Ahora, quería terminar una última pregunta una cuestión ocurre lo mismo respecto a los datos de personas jurídicas personas jurídicas, te refieres a personas en el público por lo general si es político su información está hecha manifestamente pública entonces esto no cuenta como dato personal si ellos mismos lo han hecho han puesto su información hacia el público si se usan datos de mayores pero en estudio cómo se debería proceder para escribir un artículo científico disculpa no creo que entendís la pregunta pero bueno voy a continuar y después voy a regresar un poco a las preguntas. Para terminar esta charla quería hablar sobre cómo puedes conformular el consentimiento y la reutilización de datos personales si quieres reutilizar estos datos, si necesitamos el tema de open science, si queremos facilitar a otros investigadores usar nuestros datos personales, cómo lo puedes hacer y como ven todo comienza en el consentimiento y bueno he hecho una lista de qué debes hacer y qué no debes hacer y primero que todo es obviamente la información, tienes que informarlos de qué quieres compartir esos datos y cuáles van a ser las condiciones para compartir esos datos después tienes que explicar claramente cuáles son los datos que van a ser publicados porque tal vez no toda la información no todos los datos personales que han recopilado de los interesados, de los participantes van a ser publicados así que sé específico después también tienes que claramente explicar las medidas de seguridad y privacidad que vas a implementar para protegernos aquí tengo unos ejemplos que he dado que simplemente por ejemplo si vas a recopilar su edad y su peso, que puedes agrupar eso en rangos para que sea más difícil identificar al interesado y hay otras formas de acceder a la misión como lo que hablé o a control de acceso hay varias formas en las que uno puede obtener esas medidas y conocer estas medidas es otra gran parte de esa presentación que por el tiempo no podré ir en mucho detalle ahora se pidió aquí es algo que no deberías hacer los don'ts y ese es no usa el término anonimizado y voy a explicar esto claramente la anonimización es cuando realmente has sacado todos los datos que pueden identificar a esta persona entonces por definición si has anonimizado una base de datos, esos datos ya no son datos personales ahora si haces eso muy bien puedes hacerlo realmente mucho con ese tipo de datos pero es difícil comprobar que realmente has anonimizado una base de datos por ejemplo si yo he ser donomizado una base de datos les he sacado el nombre el apellido hasta la edad o la dirección y esto lo he guardado yo mismo y voy a publicar sola la información que he codificado tú puedes decir bueno esta información ahora es muy difícil identificar al participante pero con tal de que yo todavía sigue siendo ser donomizado y no realmente anonimizado por más que solo publique la información codificada aún más si es que yo no tengo esa información para ubicar al individuo si solamente tengo información codificada lo que lo hace muy difícil de identificar a esos individuos pero hay una base de datos terciaria que exista aponten el gobierno o forme parte de otra empresa y ellos con su información pueden ubicar al individuo del participante sigue siendo donomizada sigue siendo datos personales y no está realmente anonimizada en acuerdo con el reglamento entonces pueden ver que al menos que realmente puedas comprobar que no hay una manera razonable en la que alguien puede identificar a esos individuos no es recomendable decir que has anonimizado la data al menos que realmente la has agregado por ejemplo cuando haces un average y ese tipo de funciones ahí si realmente ya no puedes saber otra cosa que no se va a hacer es hacer promesas que vas a destruir los datos eso es simple si quieres reutilizar los datos no puedes haberlos destruidos y eso es algo que generalmente se hace por ejemplo cuando hay entrevistas y tienes una grabación y vas a destruir la grabación porque tienes una transcripción del grabado entonces ahí si puedes destruir una parte de los datos y puedes de ahí reutilizar la transcripción con sus medidas de seguridad obviamente pero trata de no prometer que vas a destruir toda la información porque si la vas a destruir no la puedes compartir por definición también evite promesas de que los datos no solo serán vistos por el equipo de investigación es algo bien común que veo cuando estoy dando a investigadores con formulares de consentimiento y porque bueno suena bien no se preocupe solamente a nosotros vamos a revisar estos datos pero si quieres reutilizarlo entonces no haces esas promesas sino piensas en cumplirlas no tienes que hacer esas promesas contarle que le digas claramente lo que quieres hacer con esos datos vas a estar usando esos datos personales y compartiéndolos lísitamente ahora cuando vas a compartir datos personales es importante que primero comparta solo los metadatos a eso me refiero la información sobre los datos este es un estudio en el que hemos recopilado información sobre la edad sobre la impulsividad y otras variables y que pongas esta información y que la gente después los investigadores mejor dicho cuando quieran acceder a esta información tienen que contactar al responsable para obtener acceso entonces esto permite que puedas cuando vayas a compartir estos datos puedas hacer que los solicitantes rellen un acuerdo de transferencia de datos un data transfer agreement y esto acuya que puedas de una manera controlar lo que los otros investigadores a los quienes han compartido los datos personales cumpla con los requisitos legales y varios repositories no creo que sea repositories donde publicas los datos tienen opciones para eso siempre si hay datos personales en la base de datos compartan los metadatos y pongan la data en la base de datos de la estrategia unos puntos claves de que tomar sobre esta presentación es lo primero que todo es que el RPGD el GDPR requiere que los responsables sean transparentes con los interesados el derecho a la información es muy importante y tienes que saber desde el comienzo también que vas a hacer con estos tipos de datos y si piensas compartirlo diles esto a los participantes desde un principio es decir realmente te requiere que te pongas en la mente lo que es la privacidad y los derechos de tus participantes desde el comienzo esto es muy importante en el RPGD con los puntos principales y también hay que entender que a veces es un poco da miedo utilizar datos personales porque piensas bueno no entiendo el reglamento es muy largo pero tienes que saber que realmente hay derrogaciones y que las investigaciones ocupan un lugar privilegiado dentro de la legislación, dentro del reglamento que suaviza muchas de las restricciones siempre y cuando tengas las medidas de seguridad y privacidad y entiendas por lo menos que estás protegiendo a tus participantes y que entiendas lo que más quieres hacer con estos datos al final eso es todo lo que quería decir ahora imagino que hay unas preguntas así que voy a comenzar los que no he podido responder en el momento a ver creo que la primera que estaba por responder era la de Mary Carmen de las 12 de 27 y a partir de ahí a ver si se usan los datos de mayores para un estudio cómo se debería proceder para escribir un artículo científico me refiero a que los mayores serían anónimos cómo se recogería dentro del consentimiento bueno si es anónimo y no sabes quiénes son esos individuos no son datos personales pero si son seudonomizados y no tienes el consentimiento pues tienes que buscar la base jurídica que puedes utilizar en este contexto pero requeriría mucho más detalles para saber exactamente cuál sería la manera en la cual proceder la próxima en otros países fuera de la Unión Europea no aplica este reglamento en qué medida esto puede perjudicar a los investigadores europeos es una muy buena pregunta es un punto muy importante si eres una institución europea el reglamento siempre va a aplicar no importa si estás recopilando datos personales de una persona que no sea europea o fuera del país con tal de que seas una institución europea ese reglamento aplica ahora de qué forma esto afecta las investigaciones pues yo creo que este tipo de reglamento sobre la brigacidad tiene que ser usados a través del mundo entero obviamente cuando tenemos unos países que tienen mucho más falta de brigacidad no sabría qué más decir sobre eso ya ya entendí la pregunta de Santos Cabero me refería a los datos aportados de las personas físicas que hablan el nombre de una persona jurídica una empresa, sociedades eso deben ser igualmente tratados como explica para personas físicas depende si tienes una empresa muy grande que diga sobre esa empresa no puede identificar a un individuo en sí, entonces no es un otro personal pero si tenemos una empresa pequeña en la que solamente hay tres personas trabajando ahí o tienes un CEO que realmente forma la imagen de esta compañía por más que sea una empresa jurídica entonces cualquier cosa que diga sobre esa empresa realmente identifica este individuo sus opiniones en ese caso se vuelven datos personales entonces como ves y eso vino a la definición de datos personal es que por más que no aplique a ciertas personas pueda que por el contexto aplique a otras entonces tienes que dar un estudio un poco más completo sobre qué tan grande es la empresa en caso que sea un estudio anónimo no se recogen datos que permitan identificar a la persona entiendo que no se aplica nada de esto por muy sensibles que sean los datos recogidos bueno, esta pregunta es un poco difícil si es un estudio anónimo qué quieres decir con anónimo porque si por anónimo posiblemente quisiera que su nombre no esté ahí eso no es suficiente es decir, pueda que sean datos sensibles que son sobre la persona siguen siendo datos personales no importa si tienes solamente unos cuantos datos directamente al lado de ese individuo cuando voy a agrandar esto cuando compartes datos con otros investigadores es necesario firmar el NTA aunque estos datos vayan determinados codificados, si es necesario no importa si sean determinados o codificados siguen siendo datos personales y es necesario tener un data transfer agreement o un MTA ¿A qué se refería con metadatos cuando lo de compartir datos? espero que haya traducido ese término correctamente porque en inglés es metadata pero metadatos es cualquier dato sobre los datos sobre la data por ejemplo cuando estoy hablando de un estudio sobre geología los metadatos sería el hecho de qué se trata cuál es el fin del estudio considerarlo un poco como toda la información sobre lo que es ese estudio como los keywords también son formes de los metadatos algo que te dice esta base de datos se trata de este tipo de información entonces si quieres adquirir acceso a eso tienes que pedirle permiso a responsable es simplemente información sobre el estudio a nivel europeo si indica publican en open access por lo que deberíamos tener en cuenta el rpgd claro la ley siempre va a ser como se dice va por encima va por encima del open access disculpa entonces por más de que un funder te diga necesitas hacer tus datos públicos si es que no puedes porque es el consentimiento mal o porque realmente son datos personales que no deberías compartir eso siempre va sobre imponerse el trato que se dispensa a los datos de investigación de la rpgd también esa aplicación a los datos necesarios para gestionar adecuadamente la investigación es decir metadatos de publicaciones científicas datos curriculares de investigadores etc. no, no necesariamente si entiendo bien los datos de investigación rpgd se refieren también a los datos del investigador esos son tus propios datos y si tú estás en control, si tú eres el que les está publicando no necesitas tu propio consentimiento de una forma lo del estudio anónimo me refiero a recoger variables genéricas sexo de edad sin poder saber quién es si tienes sexo, edad todos estos términos son datos personales de todas formas porque cuando los combinas puedes indirectamente identificar a este individuo así que eso no sería algo anónimo más que sería pseudónimo o minimizado, digamos perdí Jack, una pregunta es que había una pregunta que como estoy intentando dar a listo las que ya están respondidas una pregunta de Javier que decía que cuando se obtiene el consentimiento por escrito del interesado se le debe dar copia al interesado dicho consentimiento este no es necesario que digamos pero contale que tú tengas la copia del consentimiento es lo más importante que le des la copia no es algo que sea dichamente necesario podría estar un poco equivocada pero por lo general nosotros nos quedamos con el consentimiento pero darles una copia nunca es nada malo no es un contrato es un consentimiento estamos en una duda, se está hablando de datos de sujetos participantes en la investigación pero el investigador principal del proyecto a veces maneja también datos de los restantes participantes de los restantes participantes sus nóminas ah, ya bueno este da igual, si estás recopilando datos personales de personas relacionadas al participante siguen siendo los datos personales de la otra persona también entonces ahí tienes que tener aún más cuidado en el consentimiento y también darse cuenta de a quiénes tienes que pedirle el consentimiento no estoy me pierdo en el Q&A como que se han ido ciertas preguntas si estoy en cómo sería el tratamiento de los datos no entiendo eso va unido a una pregunta que ya estaba respondida don? ok era para ok aquí tengo en caso de corresponsabilidad entre varias instituciones socios de un proyecto europeo cuáles son los datos del delegado de protección de datos sobre lo que tenemos que informar a los interesados bueno el los interesados siempre tienen que saber que cómo pueden contactar al delegado de protección de datos eso es realmente todo y por qué en qué casos cuando no quieren dirigirse con el responsable directamente por cualquier razón que ellos tengan que no tienen que decirnos tampoco cuando hay varias instituciones un problema que hay es que hay varios delegados de protección de datos y a lo que se tiene que establecer desde el comienzo es quién va a ser el principal quién va a ser el coordinador bueno eso depende generalmente el coordinador del consor que generalmente es alguien que vemos el delegado de protección de datos al que vamos a acudir en una investigación internacional puede haber problemas para depositar datos personales obtenidos en Estados Unidos en un repositorio europeo también si los datos ya están tratados y se denominados pueden haber problemas si es que los participantes no están informados y no han dado su consentimiento para aquello por lo general no es posible hacerlo entonces tiene que de un principio tener esto bien claro bueno si es una insesión europea y ha recogido datos de Estados Unidos y les estás estás puesto en un repositorio europeo bueno estás dentro del reglamento entonces ahí no hay tanto problema no conozco tanto el reglamento de Estados Unidos pero no es de no tiene el mismo valor que el europeo no el mismo valor no es tan restringido como el europeo ah aquí tienes la ley en español obliga a dar copia al interesado son tres copias total una para interesado otra para institución y otra para la universidad muchas gracias si te hacen una foto y firmas el consentimiento como puedes retirar tu consentimiento si no tienes el contacto de esa persona te habría de dar dado una copia claro es una forma pero tiene que haber dado información tiene que haber sido informado y si tienes en esta información porque siempre tiene que ser tan fácil retirar tu consentimiento como puede ser de darlo como mencionamos datos de personas en un estudio estudio histórico de historia reciente por ejemplo de la época del tardofranquismo de la transición española los mencionados podrían ponerse alguna hola y disculpas seguimos grabando vale a partir de ahora perfecto creo que estábamos en la pregunta de Fernando Heredia Sánchez de las 12.46 lo malo es que se me han ya no puedo ver las preguntas bueno pues te las leo yo no sé si nos va a dar tiempo a ver todas porque tenemos un listado tremendo pero bueno yo sigo leyendo cuando mencionamos datos de personas en un estudio histórico de historia reciente por ejemplo de la época del tardofranquismo de la transición española los mencionados podrían oponerse de alguna forma la publicación de dichos datos es general esa creo que le respondí si es que los los implicados siguen vivos y están ahí pueden oponerse de todas maneras y seguir en interés público pues sería un juicio en el que se puede comprobar este es interés público si o no y hay un debate no sería solamente no no puedes usarlo vale a ver otra pregunta que había quedado creo una de Cristina Zorin que dice existen ejemplos de data transfer que podamos consultar alguno en castellano solo los tengo en inglés bueno habría que sino coger alguno y traducirlo por ejemplo pero sería en inglés vale Julio no sé si se estaba respondida podemos afirmar que una serie de datos recopilados mediante un google form solamente serán vistos por la propietaria del formulario hasta que punto podemos hacer esa afirmación ya que los datos están servidores de google no puedes comprobar que si estás usando google que solamente tú vas a ver eso es un problema como siempre cuando hablamos de media seguridad si estás utilizando un cloud service que sea por ejemplo de google que estén por lo general en estados unidos no es recomendable y por lo general no es este gdpr compliance como se dice compliance adecuarse pero es un poco más que adecuarse es un poco más serio pero a eso me refiero conforme entonces no lo recomendamos tenemos nuestros propios formularios nosotros usamos qualtrics que es este que sí es este compliance con el reglamento y la medida que usamos nos da mucha encripción y nos asegura de que solamente es responsable tiene acceso a esa información vale cuando compartes una de la océrea de ceda cuando compartes datos con otros investigadores es necesario firmar el mta aunque esos datos vayan pseudoanimizados y codificados o codificados sí, todavía es necesario vale creo que esta no se estaba respondida pero si el reglamento internacional puede haber problemas para depositar datos personales obtenidos en estados unidos en un repositorio europeo también si los datos ya están tratados y pseudoanimizados esta creo que ya la respondí así que me suena que sí pero bueno por si acaso Laura apunta a la ley de investigación biomédica el real decreto de biobancos vale luego si se piensa si se piensa compartir los datos animizados con una licencia por ejemplo creative commons debería decirse en el consentimiento sí, de todas maneras de poner con que licencia la vas a publicar no, eso siempre la información tiene que ser recomendada sería suficiente el interés público yo creo que esta más o menos queda un poco contestada con lo que hemos dicho antes pero bueno sería suficiente el interés público para elegitimar una investigación con datos biométricos siempre que se adopten las medidas de seguridad fuertes y adecuadas, siendo imposible contactar con los titulares de los datos es decir, los datos obtienen de bases de datos como por ejemplo archivos policiales o judiciales wow, ok bueno es una respuesta bien larga porque depende del contexto puede ser que contraja tenga las medidas y que sean usados para investigaciones y creo que una pregunta similar sobre usando los datos policiales entonces, si hay una posibilidad pero tiene que ser estudiado tiene que ser un tiene que realmente tiene que ser un DPAE de todas maneras y el DPAE de traducción es una evaluación de impacto relativa a la protección de datos este es un documento del cual sea el en el reglamento en el que realmente va sobre todas las medidas de seguridad y privacidad y los riesgos que están acumulando los participantes y si puedes hacer un caso es que puedes minimizar los riesgos al utilizar estos datos entonces puedes puedes continuar o usar estos datos claro, aquí de todas maneras siempre se va a involucrar el delegado de protección de datos vale le doy alguien pregunta repetir el nombre de la aplicación similar a Google Forms pero que cumple con el GPV o lo podemos para que quede grabado lo voy a poner aquí y queda registrado también si los datos salvacionados permanecen en el tiempo de cada el derecho a privacidad a la muerte del prestador pueden ser liberados X años después eso es una muy buena pregunta bueno una persona que ha fallecido ya no tiene derecho de privacidad eso suena un poco raro pero lo que sí parece que varias veces los datos de una persona también son conectados a los datos de otras personas entonces si también pueden indicar a los relacionados a esa familia siguen siendo otras personales pero del otro de la otra persona lo que sucede es que han muerto mientras que se hacen los exámenes por lo general ya no son datos personales vale si se usan datos médicos de pacientes con los que no se puede contactar para el acceso de los datos ha habido ha debido aceptar un data user agreement y esos datos son alenimos cada paciente se identifica con un aire no relacionado con un documento a alguno del paciente tengo el consentimiento de los pacientes para usar sus datos en una investigación y para escribir un artículo científico si resulta imposible contactar con ellos la pregunta la verdad es de cara a la subsección de ética del estudio y similares al artículo bueno esto parece que son datos personales que son seudonomizados no sononomizados porque realmente alguien todavía puede identificar a estos individuos no tienes el consentimiento es que ellos no pueden darse consentimiento es así de simple pero por lo que vemos el consentimiento no es la única base jurídica podrías utilizar intereses legítimos de responsable y ver que eso puede ser usado para tal y cual modo pero no tendrías el consentimiento tendrías otra base jurídica obviamente también sería aquí el asunto de la finalidad y los estás reusando para investigaciones por cual podrías usarlos sin tener que pedir más consentimiento ya que estos fueron recopilados al comienzo tal vez no por investigaciones pero por razones de intereses vitales del individuo vale, pregunta Fernanda Peset cuál es la ley que menciona lo de las tres copias yo no sé si es la no sé si es la respuesta de la OCDE la de investigación biomédica del real decreto de viovancos o si es alguna otra la verdad si, eso no sé ley de investigaciones de un biomédica es una ley española yo imagino si, no sé si la O es la que nos puede ayudar en esto si, la ley de investigación si, la respuesta de la OCDE de la ley de investigación biomédica vale y el real decreto de viovancos hay una cuestión es que estamos ya en la hora es un tema tan interesante y que genera tantas tantas dudas también por que además tendríamos 37 preguntas o 36 preguntas del formulario de Google anterior pero que no nos va a dar tiempo a responder yo no sé si podemos hacer una especie de si puedo por ejemplo a leer alguna de ellas o si nos da tiempo o si lo podemos dejar de una forma posterior e intentar hacer como una especie de pregunta y respuesta por el escrito ya, puede hacer vale digo porque nos ha dicho la organizadora, osea la enficion a Gwen que deberíamos ir muy a la, osea que deberíamos ajustarnos al tiempo si alguien tiene alguna yo creo que hemos respondido todas las preguntas si alguien tiene alguna alguna pregunta a ver hay una de Mónica entiendo que si se queda una encuesta anónima a través de Google Forms es necesario requerir el consentimiento de los participantes pero como se puede compatibilizar el querer hacer una encuesta anónima con la exigencia del consentimiento de la ley de investigación biomédica en la que los participantes van a dejar de ser anónimos ahora, algo que noto bastante es decir anónimo mientras pseudónimo, si estás recogiendo datos personales por más que no sean directamente identificados es su DOMIN es solo pseudonomizado pero imagínate que has recogido estos datos personales pero tú mismo ya no puedes identificar a estos individuos por la manera en la que has hecho entonces están pseudonizados aún tan fuertemente que tú ya no sabes quién es quién no tienes que mantener ciertos datos simplemente para reidentificarlos para poder cumplir sus derechos entonces es algo que tienes que tener bien en cuenta si has hecho tantos esfuerzos y después otras medidas de seguridad y de privacidad que ya tú mismo no puedes identificar a estos individuos no es necesario mantener ciertos datos simplemente para poder reidentificarlos dado a su derecho entonces ahí si no puedes simplemente le dices que no vas a poder dar los accesos a ciertos derechos simplemente porque has tomado las medidas de privacidad la cual no te permite hacerlo y esto está bien, esto es algo que es lo que quieres que hagas que realmente reduzcas la posibilidad de reidentificación entonces no tienes que mantener esos datos vale pues no sé ya, creo que llega el momento de despedirnos muchísimas gracias ya por todo por la presentación y por todas las respuestas a tantas preguntas y bueno pues no se nos lo apuntamos quizás lo que hay que hacer es una segunda fase para para poder profudizar en estos temas he visto que está alguien preguntando en el chat por el tema del certificado a ver, tenemos prácticamente 700 inscritos de acuerdo entonces si alguien por una razón concreta necesitar un certificado pues escribir lo que pueda hacer pero creo que sinceramente no voy a poder hacer certificados a 700 personas también porque además habría que cotejar los que realmente han participado los que luego lo van a ver en youtube etcétera pero bueno si alguien necesita algo concreto pues respecto a la gestión de datos de investigación estamos trabajando en el tema ¿sabéis qué opinión proporciona ayuda en la medida de lo posible y de nuestras de tiempo que disponemos pero podéis escribirnos y eso ya que estamos a vuestra exposición Wen tiene que irse ya que es la anfitriona de la sesión así que me despido de todos y eso muchas gracias Jax gracias, gracias a todos hasta luego