La tecnología de localización aplicada a la investigación científica: el cumplimiento normativo en torno a la protección de datos personales

Lorena Pérez Campillo

Ayuda

La tecnología de localización aplicada a la investigación científica: el cumplimiento normativo en torno a la protección de datos personales

Pérez Campillo, Lorena ^[1]
1. [1] Universidad Europea de Madrid
  
  Universidad Europea de Madrid
  
  Madrid, España
Localización: Revista de Derecho Político, ISSN 0211-979X, Nº 117, 2023, págs. 311-340
Idioma: español
Títulos paralelos:
- Location technology applied to scientific research: Regulatory compliance with regard to the protection of personal data
Enlaces
- Texto completo
Resumen
- español
  Al inicio de la pandemia surgieron múltiples aplicaciones móviles escalables con tecnología de rastreo promovidos por administraciones públicas y gobiernos con el objeto de gestionar y controlar la pandemia, generando datos personales e individuales como agregados. Los operadores de telecomunicaciones las pusieron en manos de las autoridades y organismos epidemiológicos y aunque no se compartía información personal se pudo comprobar que a través de los metadatos y la combinación de los mismos se podía obtener información personal y vulnerar los derechos fundamentales de las personas e incluso su propia seguridad. El noventa y cinco por ciento de las personas se pueden identificar fácilmente desde solo cuatro puntos de ubicación diferentes. Además, con las alianzas entre empresas tecnológicas y organizaciones farmacéuticas nace un cierto riesgo a la «mercantilización» de los datos con fines más espurios que no tendría porque coincidir con el principal interés público de la salud pública, y esto nos sitúa a la comunidad investigadora en el momento oportuno para reflexionar sobre la legitimidad del tratamiento de esos datos, los riesgos y su nivel de «anonimización» (y la más temida y advertida) «reidentificación», la cual no puede ser evitada por completo.Cuando se habla del consentimiento como base legitimadora no siempre tiene que ir «sola» sino acompañada de otras bases legitimadoras. Por ello, sería importante que se estableciera normativamente cuáles podrían componer una «base legítima doble», optando preferiblemente, por el interés público y el interés legítimo. En caso de elegir únicamente la base jurídica de interés público, debería estar formulada junto a la prueba de proporcionalidad rigurosa y garantías contra el uso indebido y acceso ilegal.En definitiva, se deberá percibir a la privacidad como un valor institucional (acorde a las políticas públicas) desde el inicio identificando el nivel de invasión recogiendo la menor cantidad de datos, evitando cualquier tipo «opacidad en la información» e implementando medidas técnicas como la anonimización y pseudonimización sin perjudicar el fin propio de la investigación.
- English
  At the beginning of the pandemic, multiple scalable mobile applications with tracking technology emerged, promoted by public administrations and governments with the aim of managing and controlling the pandemic, generating personal and individual data as aggregates. Telecommunications operators put them in the hands of epidemiological authorities and agencies, and although no personal information was shared, it became clear that through metadata and the combination of metadata it was possible to obtain personal information and violate people’s fundamental rights and even their own safety. Ninety-five percent of people can be easily identified from only four different locations). Moreover, with alliances between technology companies and pharmaceutical organisations comes a certain risk of ‘commoditisation’ of data for more spurious purposes that would not necessarily coincide with the overriding public interest of public health, and this places us in the research community at the right moment to reflect on the lawfullness of the processing of these data, the risks and the level of «anonymisation» (and the most feared and warned against) «re-identification», which cannot be completely avoided.When talking about consent as a legitimate basis, it does not always have to be «alone» but accompanied by others, so it would be important to establish normatively, which could make up the «double legitimate basis», opting for the public interest and the legitimate interest. In case only the public interest legal basis is chosen, for dominant companies to disclose data to researchers, it should be formulated together with the strict proportionality test and safeguards against misuse and illegal Access.In short, privacy should be perceived as an institutional value (in line with public policy) from the outset, identifying the level of invasiveness by collecting the least amount of data, avoiding any kind of ‘data opacity’ and implementing technical measures such as anonymisation and pseudonymisation without harming the purpose of the research itself.