La Unión Europea acaba de dar un paso clave que cambiará la forma en que científicos y empresas pueden usar tu información privada, como historiales médicos o datos de navegación. Tras seis años de debate, el Comité Europeo de Protección de Datos (EDPB) ha publicado unas directrices que buscan equilibrar dos cosas: el avance de la ciencia y la protección de tu privacidad. Te lo explicamos fácil y con ejemplos.

¿DE QUÉ ESTAMOS HABLANDO?

Imagina que donas sangre para un análisis de rutina. Con las nuevas directrices, esos mismos datos podrían usarse años después para investigar una enfermedad rara, sin necesidad de recabar un nuevo consentimiento en todos los casos, siempre que exista otra base legal válida y se apliquen garantías adecuadas. Pero no es un “vale todo”, hay condiciones muy claras para que no se vulneren tus derechos.

Hasta ahora, muchos investigadores se topaban con un problema, la ley europea de protección de datos es muy estricta, lo cual es bueno para tu privacidad, pero a veces frenaba estudios médicos o proyectos de inteligencia artificial porque pedir consentimiento uno por uno era inviable.

LAS 3 NOVEDADES QUE MÁS TE AFECTAN

1. El “consentimiento amplio”, sí para lo que aún no se sabe

Ejemplo: Un banco de tumores guarda muestras de pacientes con cáncer. Hoy no se sabe qué tratamientos existirán en 2030. Con el “consentimiento amplio”, un paciente puede aceptar que sus datos se usen para cualquier investigación futura sobre cáncer, siempre que se sigan estándares éticos y exista un comité de ética u órgano independiente vigilando el uso de esos datos.

¿Y si no quieres? También podrás retirar tu consentimiento en cualquier momento, aunque en algunos casos la eliminación de datos podría limitar o hacer imposible seguir con ciertas líneas de investigación.

2. El “consentimiento dinámico”, tú decides proyecto a proyecto

Ejemplo: Participas en un estudio sobre sueño. Dos años después, un equipo de psicología quiere usar tus datos para investigar depresión. Recibirás un mensaje (app, email) preguntándote, “¿Permites este nuevo uso? Sí/No”. Tú decides caso por caso.

Este enfoque digital permite que puedas autorizar, limitar o retirar tu consentimiento de forma continua, y que quedé registrado quién consintió qué, cuándo y para qué. Es especialmente útil para investigaciones muy sensibles o cuando los fines cambian mucho respecto al original.

3. Se presume que reutilizar datos para ciencia es “compatible”

Antes, si unos datos se recogían para un fin (por ejemplo, una encuesta de salud pública), usarlos para otro distinto (estudiar el Alzheimer) implicaba un papeleo enorme y mucha inseguridad sobre si el nuevo uso era compatible con el original. Ahora, las directrices indican que, en principio, se puede presumir que reutilizar datos personales para investigación científica es compatible con el fin inicial, lo que agiliza muchos proyectos.

Ojo: esta compatibilidad no es automática. Debe evaluarse caso por caso, teniendo en cuenta el contexto, las expectativas de la persona, el tipo de datos y las garantías aplicadas. Y si el nuevo uso es dañino o discriminatorio (por ejemplo, para negar seguros médicos), no se permite.

 ¿Y QUÉ PASA CON LA INTELIGENCIA ARTIFICIAL (IA)?

La IA necesita enormes cantidades de datos para aprender. Por ejemplo, para entrenar un modelo que detecte cáncer de piel en fotos, hacen falta miles de imágenes de lunares y diagnósticos reales. Las nuevas directrices aclaran que, en determinados casos, la normativa permite usar esos datos sin consentimiento individual, siempre que exista una base jurídica adecuada (como interés público, misión en el ámbito de la salud o interés legítimo) y se cumplan requisitos estrictos.

Entre esas condiciones están:

• Aplicar medidas técnicas como seudonimización o anonimización, cuando sea posible.
• Limitar el acceso y usar entornos de procesamiento seguros.
• Establecer auditorías, supervisión independiente y otras salvaguardas.
• Evitar que se pueda identificar directamente a las personas, o que se tomen decisiones dañinas individuales basadas solo en esos modelos.

Todo esto supone un impulso para la medicina de precisión y los algoritmos de diagnóstico, pero sin perder de vista el control y la rendición de cuentas.

 EL CASO DE ESPAÑA, MÁS FLEXIBLE, PERO CON CONTROL

La Agencia Española de Protección de Datos (AEPD) ha apoyado especialmente la idea de que los investigadores puedan basarse en el “interés legítimo” para tratar datos personales con fines de investigación, incluso en contextos comerciales, siempre que se haga una ponderación de intereses y no prevalezcan los derechos de las personas.

Ejemplo: Un hospital público que estudia por qué falla un tratamiento puede apoyarse en el interés legítimo o en el interés público en el ámbito de la salud para analizar datos de pacientes sin pedir permiso individual a cada uno, siempre que no haya un perjuicio real para ellos y se apliquen medidas como seudonimización y acceso restringido.

Ejemplo práctico en España: Imagina que la Seguridad Social quiere analizar historiales seudonimizados o disociados para ver si una vacuna funciona en mayores de 80 años. Con las nuevas directrices, podría hacerlo sin pedir un consentimiento expreso individual, porque el beneficio público es alto, la base jurídica puede ser el interés público en salud y el riesgo para la privacidad es bajo al no manejarse directamente nombres ni identificadores claros.

 ¿QUÉ PASA CON LOS ENSAYOS CLÍNICOS Y LA BIOTECNOLOGÍA?

España es uno de los países líderes en ensayos clínicos en Europa. Las nuevas directrices permiten que los datos de un ensayo sobre, por ejemplo, un fármaco contra la artritis, puedan reutilizarse para investigar otra enfermedad autoinmune, siempre que el nuevo uso sea genuinamente científico, se actualice la información a los participantes cuando proceda y se mantengan salvaguardas robustas.

Esto acelera descubrimientos, reduce la necesidad de reclutar pacientes repetidamente y facilita que los datos se aprovechen mejor a lo largo del tiempo. La Unión Europea está además preparando iniciativas en materia de biotecnología y espacios de datos sanitarios que van en esta misma línea: más datos compartidos entre países y sectores, pero con salvaguardas muy fuertes en seguridad, gobernanza y ética.

 ¿QUÉ DERECHOS SIGUES TENIENDO TÚ?

Aunque se flexibilice el uso de datos para investigación, mantienes (con algunos matices) los principales derechos del RGPD:

• Derecho de acceso, saber qué datos tuyos se usan en un proyecto.
• Derecho de rectificación, corregir datos inexactos.
• Derecho de supresión (borrado), pedir que se eliminen tus datos, salvo que hacerlo haga imposible o perjudique gravemente la investigación basada en una base jurídica sólida.
• Derecho de oposición, en ciertos casos puedes oponerte al uso de tus datos, especialmente si la base es el interés legítimo, siempre que no haya razones de interés público que prevalezcan.
• Derecho a retirar el consentimiento, cuando el tratamiento se basa en tu consentimiento, puedes retirarlo en cualquier momento para futuros usos.

Las directrices también explican cuándo una organización puede limitar alguno de estos derechos si ejercerlo haría inviable la investigación, siempre con justificación y documentación.

¿Y ESTO YA ES LEY?

Todavía no. Las directrices son un documento del Comité Europeo de Protección de Datos en consulta pública hasta el 25 de junio de 2026. Cualquier ciudadano, investigador o empresa puede enviar observaciones hasta esa fecha.

Después, se aprobarán definitivamente y los países (incluida España) deberán tenerlas muy en cuenta a la hora de interpretar y aplicar sus leyes y guías nacionales, aunque no son un reglamento nuevo, sino una interpretación autorizada del RGPD. Pero marcan el camino inequívoco, la ciencia podrá usar más datos personales, con más claridad jurídica, pero nunca sin control ético y técnico.

Isaac Díaz

Procade