Preguntas frecuentes tratamientos

“Dato personal” se define como cualquier información sobre una persona física identificada o identificable. Para determinar si una persona es identificable se debe considerar la evolución previsible de la tecnología y el posible cruce de datos con otras fuentes por parte del investigador o investigadora o de terceros. Son datos personales tanto los datos identificativos (nombre y apellidos, dirección, etc.) como cualquier otro dato que, solo o combinado con otros, pueda identificar a las personas (la imagen; la voz; datos fisiológicos, económicos, culturales, demográficos, sociales, etc.).

Cuando el trabajo académico o proyecto de investigación recoja información relativa a una persona física:

- Identificada: se solicitan datos personales como el nombre y apellidos de los participantes, DNI o NIE, su correo electrónico, grabación de imagen o voz, su teléfono, firma, número de la Seguridad Social, nombre de usuario etc.

-Identificable: cuando no se utilizan datos personales que identifiquen directamente a la persona pero que, por el conjunto de información tratada, sí podría llegar a ser identificada.

Generalmente habrá mayor riesgo de re-identificación cuando se trata de pequeños colectivos o el ámbito de aplicación es reducido.

Ejemplo: Cuestionario en el que se solicita el sexo, edad, nacionalidad y lugar de  residencia en un grupo de 15 personas.

Se recomienda evitar pedir la fecha exacta de nacimiento si no es estrictamente necesario y, optar en su lugar, por el año de nacimiento o edad

Aunque no se recojan nombres o información de contacto de los participantes, si se van a recoger datos que, solos o en combinación con otros datos, pueden permitir que se identifique a los participantes, se están tratando datos personales.

La realización de encuestas, cuestionarios, vídeos y grabaciones de sonido de las personas (independientemente de si estas revelan alguna información personal o no) en un estudio, trabajo o investigación supone el tratamiento de datos sobre esas personas y, por ende, a dicho tratamiento se han de aplicar las disposiciones correspondientes en materia de protección de datos.

Algunos investigadores tienen la creencia errónea de que, en el marco de sus investigaciones, no tratan datos personales porque no se solicitan datos identificativos o de contacto de los interesados, como pueden ser su nombre y apellidos, DNI, correo electrónico o teléfono. Sin embargo, en tanto en cuanto con la información recogida en el estudio permita identificar de alguna manera a una persona determinada, será considerada un dato personal, resultando de aplicación la normativa de protección de datos.

Tal y como dispone el considerando 26 del RGPD, “los principios de protección de datos no deben aplicarse a la información anónima”, por lo que no resultaría de aplicación a este tipo de información la normativa vigente en materia de protección de datos y, por tanto, no es necesario presentar la solicitud de autorización del tratamiento en la Unidad de Protección de Datos.

En virtud del principio de minimización de datos personales (art. 5 RGPD), únicamente deberéis recoger la información que sea estrictamente necesaria para realizar el estudio de investigación (TFG, TFM, Tesis o proyecto de investigación).
A modo de ejemplo, si para vuestro trabajo o proyecto de investigación es irrelevante solicitar el sexo y edad, no lo solicitéis solo porque “siempre se ha hecho así” o “por si acaso”.

Durante el tiempo que sea estrictamente necesario para realizar vuestro TFG o TFM. 
Recuerda que no puedes utilizar dichos datos personales para otras finalidades distintas e incompatibles (principio de limitación de la finalidad, art. 5 RGPD).
Si queréis utilizar dichos datos personales para otras finalidades deberéis recabar el consentimiento previo de los participantes.

Se debe solicitar la autorización del tratamiento de datos personales antes de que se inicien las operaciones de acceso, recogida, consulta… de datos personales. Si la intervención ya ha sido realizada, no se puede autorizar el tratamiento. Tampoco podrá ser revisado por un Comité de ética.

Obtener el consentimiento informado de los participantes es un principio básico de la ética de la investigación. Por norma general, siempre se debe solicitar y documentar el consentimiento de las personas que participarán en un estudio. Solo se puede prescindir del consentimiento en casos excepcionales.

El modelo de consentimiento que tienes que utilizar y aportar junto a la solicitud de autorización del tratamiento lo encontrarás aquí:

Consentimiento para trabajos académicos

Consentimiento para proyectos de investigación

Sí y, en aplicación del artículo 7 del RGPD, es necesario guardar evidencia de dicho consentimiento para poder demostrar que fue otorgado correctamente. Igualmente, es necesario que el interesado tenga la posibilidad de retirar su consentimiento para la participación en el estudio en cuestión en cualquier momento, y que sea tan fácil retirarlo como darlo.
Además, será necesario contar con el consentimiento explícito del interesado cuando se lleve a cabo el tratamiento de datos que tengan la consideración de especialmente protegidos, es decir, aquellos que revelen su origen étnico o racial, sus opiniones políticas, sus convicciones religiosas o filosóficas, su afiliación sindical, sus datos genéticos, biométricos, de salud, o datos relativos a su vida sexual u orientación sexual.

Los datos de redes sociales plantean dilemas éticos. A pesar de que puedan parecer públicos, los datos de redes sociales han sido creados por, y pertenecen a, personas que pueden sufrir daños por el hecho de ser incluidas en un estudio sin saberlo. Además, que algunas personas decidan configurar sus cuentas en redes sociales como públicas no significa que los investigadores puedan usar sus datos de cualquier manera. Las expectativas razonables de intimidad de los usuarios deberían tenerse en cuenta. También se deben consultar los términos y condiciones de la plataforma para asegurarse de que los planes de investigación no los violan.

La anonimización es un proceso que elimina completamente la posibilidad de identificar a los participantes. Después de anonimizar los datos, es imposible determinar a quién se refieren. En cambio, la pseudonimización es un proceso reversible. Normalmente, se asigna un código numérico o alfanumérico a cada participante, y la tabla de correspondencia que vincula los códigos a los datos identificativos de los participantes se almacena a parte. El conjunto de datos pseudonimizado no puede contener datos identificativos, pero la identidad de los participantes se puede recuperar muy fácilmente si se combinan los datos con la tabla de correspondencia, que se deberá guardar con medidas de seguridad más estrictas para reducir los riesgos asociados al tratamiento del conjunto de datos pseudonimizado.
Más información:

  Pseudonymous data: processing personal data while mitigating risks
   10 malentendidos relacionados con la anonimización

El responsable del tratamiento es la persona física o jurídica, pública o privada, que decide sobre la finalidad, contenido y uso del mismo. Tiene que estar siempre identificada como tal en toda investigación.

La Universidad de Zaragoza es la responsable de la mayor parte de los tratamientos de datos que realiza y cada tratamiento tiene, además, un responsable interno.

En los tratamientos bajo la responsabilidad de grupos de investigación la responsabilidad interna corresponde al investigador principal (IP).
En los trabajos dirigidos de índole académica (TFG, TFM o Tesis doctoral) la responsabilidad interna corresponde al Director/Tutor.

En los tratamientos bajo la responsabilidad de grupos de investigación, el encargado será uno o varios miembros del grupo.

En los trabajos de índole académica, será encargado interno el alumno autor de dicho trabajo..