Directrices 1/2026 CEPD: Investigación científica y RGPD — análisis completo

La investigación científica bajo el prisma de las Directrices 1/2026 del CEPD: Hacia una arquitectura de garantías en el ecosistema digital europeo.

---

Resumen ejecutivo: Las Directrices 1/2026 del Comité Europeo de Protección de Datos (CEPD) constituyen el intento más completo hasta la fecha de sistematizar el régimen del RGPD para el tratamiento de datos personales con fines de investigación científica. Este artículo analiza críticamente dichas Directrices a la luz de la fragmentación normativa existente y del nuevo ecosistema digital europeo (Reglamento de IA, EHDS, DGA). Se examinan el test de los seis factores indicativos para calificar la investigación, la presunción de compatibilidad de propósitos, las bases jurídicas de licitud (con especial atención al consentimiento amplio y dinámico), el tratamiento de categorías especiales de datos, la atribución de responsabilidad en arquitecturas complejas y las salvaguardas adecuadas del artículo 89(1) RGPD. Se concluye que, pese a sus indudables avances interpretativos, las Directrices no resuelven la tensión estructural entre armonización y margen nacional, siendo necesarias reformas legislativas coordinadas para garantizar un verdadero Espacio Europeo de Investigación.

Palabras clave: investigación científica, RGPD, artículo 89, consentimiento amplio, presunción de compatibilidad, Reglamento IA, salvaguardas adecuadas, CEPD.

Puedes descargar el texto íntegro de las Directrices 1/2026 del CEPD en PDF aquí.

---

1. Introducción: La investigación científica como tensión estructural del RGPD

La investigación científica constituye un pilar estratégico de la Unión Europea, consagrado en sus tratados fundacionales con el objetivo de fortalecer sus bases científicas y tecnológicas mediante la creación de un espacio europeo de investigación en el que los investigadores y el conocimiento circulen libremente (Directrices 1/2026, párrafo 1). No obstante, este avance científico depende intrínsecamente del tratamiento de datos personales, lo que genera una tensión estructural entre la libertad de la ciencia y el derecho fundamental a la protección de datos (Directrices 1/2026, párrafo 56). Las Directrices 1/2026 del Comité Europeo de Protección de Datos (CEPD) surgen como la respuesta institucional a una "demanda largamente postergada" para sistematizar el régimen especial que el Reglamento (UE) 2016/679 (RGPD) articula en esta materia.

1.1. Contexto y necesidad de sistematización frente a la incertidumbre jurídica

Hasta la fecha, el marco normativo del RGPD aplicable a la investigación se encontraba disperso en una multitud de recitales y preceptos, lo que ha generado una notable incertidumbre jurídica tanto para los responsables del tratamiento como para las autoridades de control. El RGPD no es una norma de obstaculización, sino un "estándar de legitimidad" que busca equilibrar el derecho a la protección de datos (Art. 8 de la Carta de los Derechos Fundamentales de la UE) con la libertad de las artes y las ciencias (Art. 13 de la Carta).

Las Directrices 1/2026 declaran explícitamente su compromiso de facilitar el cumplimiento normativo, en línea con la Declaración de Helsinki del CEPD, clarificando cuestiones que han resultado históricamente complejas para la comunidad investigadora (Directrices 1/2026, párrafo 2). Este esfuerzo de sistematización tiene un triple objeto: delimitar el concepto autónomo de "investigación científica", clarificar la presunción de compatibilidad de propósitos y establecer las salvaguardas exigibles bajo el artículo 89(1). Es fundamental reconocer que la investigación científica en el RGPD no debe entenderse como una excepción a las reglas generales, sino como un "principio de acomodación" que exige una aplicación rigurosa del principio de proporcionalidad.

1.2. El nuevo ecosistema normativo: RGPD, RIA, EHDS y DGA

La publicación de estas Directrices no ocurre en un vacío legal, sino en un momento de transformación estructural del panorama regulatorio europeo. El RGPD actúa ahora como una norma transversal que interactúa con un complejo ecosistema de normas sectoriales recientes, entre las que destacan: el Reglamento de Inteligencia Artificial (RIA), que introduce reglas específicas sobre el uso de datos para el entrenamiento de modelos, excluyendo en ciertos casos las fases de investigación y desarrollo puro, pero vinculando el despliegue de sistemas de alto riesgo; el Espacio Europeo de Datos Sanitarios (EHDS), que busca facilitar el uso secundario de datos de salud para investigación, aportando habilitaciones legales específicas bajo el artículo 9(2) del RGPD (Directrices 1/2026, párrafo 75); la Ley de Gobernanza de Datos (DGA), que regula las infraestructuras de datos y los servicios de intermediación; y la propuesta del Digital Omnibus, que busca simplificar el marco normativo digital y clarificar la presunción de compatibilidad para la investigación.

A pesar de la ambición del CEPD, subsiste una fragmentación persistente derivada del margen de apreciación que el RGPD otorga a los Estados miembros, especialmente en lo relativo al tratamiento de categorías especiales de datos. Por tanto, las Directrices 1/2026 deben interpretarse no como una solución definitiva, sino como un marco de referencia esencial para navegar en un entorno de "complejidad sistémica" donde la coordinación entre el RGPD y las normas sectoriales será el mayor reto operativo de los próximos años.

---

2. La delimitación del concepto de "investigación científica" en el RGPD

La correcta aplicación del régimen especial del RGPD depende de una delimitación precisa de lo que constituye, en términos jurídicos, el tratamiento de datos con fines de investigación científica. A pesar de que el Reglamento no ofrece una definición cerrada, las Directrices establecen que este concepto debe recibir una "interpretación autónoma y uniforme en el Derecho de la Unión" (Directrices 1/2026, párrafo 6, nota 8). Este enfoque busca evitar disparidades interpretativas entre los Estados miembros que pudieran fragmentar el Espacio Europeo de Investigación.

2.1. Hacia una interpretación autónoma y uniforme en el Derecho de la Unión

El Recital 159 del RGPD preconiza que el concepto de investigación científica debe interpretarse en un sentido amplio, incluyendo el desarrollo tecnológico, la investigación fundamental y la aplicada, así como la financiada por fondos privados (Directrices 1/2026, párrafo 7). Sin embargo, el CEPD advierte que esta amplitud "no puede extenderse más allá de su significado común" (Directrices 1/2026, párrafo 9). En este sentido, la investigación científica se define funcionalmente como un proyecto configurado de acuerdo con las normas metodológicas y éticas sectoriales pertinentes y en conformidad con las buenas prácticas (Directrices 1/2026, párrafo 9). Por tanto, solo las actividades que sean "genuinamente científicas" pueden beneficiarse de las reglas específicas del RGPD (Directrices 1/2026, párrafo 9).

2.2. El test de calificación del CEPD: Los seis factores indicativos

Para dotar de seguridad jurídica a esta delimitación, el CEPD propone un "test de calificación" basado en seis factores indicativos cuya concurrencia permite presumir que la actividad es investigación científica (Directrices 1/2026, párrafo 11):

1. Enfoque metódico y sistemático: Las actividades deben seguir un plan de investigación exhaustivo que incluya la formulación y verificación de hipótesis o de objetivos declarados.
2. Adhesión a estándares éticos: El respeto a la autonomía humana, la transparencia y la supervisión independiente son esenciales para evitar daños a los participantes.
3. Verificabilidad y transparencia: Los métodos y conclusiones deben estar abiertos a la crítica y compartirse mediante publicaciones o revisiones por pares.
4. Autonomía e independencia: Los investigadores deben poder definir sus preguntas y métodos sin presiones externas indebidas, contando con cualificaciones académicas (como un doctorado) o científicas reconocidas.
5. Objetivos de la investigación: La actividad debe aspirar a contribuir al conocimiento general y al bienestar social, lo cual no excluye la presencia de intereses comerciales.
6. Potencial de contribución: El proyecto debe tener el mérito científico de aportar conocimiento nuevo o aplicar el existente de forma novedosa, a menudo evaluado por expertos independientes.

Si una actividad no cumple los seis factores, el responsable debe "justificar y ser capaz de demostrar por qué las actividades deben considerarse, no obstante, investigación científica" (Directrices 1/2026, párrafo 12).

2.3. Aplicación práctica: Delimitación frente a actividades comerciales y operativas

La utilidad de este test se manifiesta al deslindar la investigación científica de meros análisis comerciales o procesos operativos, como se ilustra en el Ejemplo 3 de las Directrices:

Ejemplo 3: Tratamiento de datos personales no considerado como motivado para fines de investigación científica. Una empresa minorista analiza los datos de ventas de sus clientes en línea para conocer las diferentes categorías de clientes (grupos objetivo), qué compras realizan, su frecuencia de visitas al sitio web y cuántos clientes regresan a su página web en más de una ocasión. La empresa tiene la intención de utilizar el análisis para informar su estrategia de marketing. La investigación no pretende lograr resultados verificables y los resultados no se comparten con ninguna otra parte. Los resultados del análisis no tienen ningún potencial aparente para contribuir al conocimiento científico existente ni para aplicar dicho conocimiento de formas novedosas. Tampoco la llevan a cabo investigadores independientes y autónomos, sino expertos en marketing de la empresa. El objetivo de la investigación se refiere únicamente a promover los intereses comerciales de la empresa y no se lleva a cabo con el fin de contribuir al crecimiento del conocimiento colectivo y el bienestar de la sociedad. La investigación tampoco está sujeta a revisión independiente. Teniendo en cuenta que la investigación no activa los factores clave indicativos, no califica como investigación científica en el sentido del RGPD (Directrices 1/2026, párrafo 11, Ejemplo 3).

Por el contrario, el CEPD reconoce que las infraestructuras de datos de investigación (como biobancos o repositorios) y las operaciones auxiliares (como la extracción, filtrado o seudonimización previa de datos) también pueden estar motivadas por fines científicos si cumplen con los factores del test (Directrices 1/2026, párrafos 13-15).

---

3. Tratamiento ulterior y presunción de compatibilidad de propósitos

El régimen especial del tratamiento de datos para la investigación científica en el RGPD se fundamenta, en gran medida, en la flexibilidad otorgada al principio de limitación de la finalidad. El artículo 5, apartado 1, letra b), establece un "principio de acomodación" esencial: el tratamiento ulterior con fines de investigación científica no se considera incompatible con los fines iniciales, siempre que se cumplan las garantías del artículo 89, apartado 1 (Directrices 1/2026, párrafo 19). Esta presunción constituye uno de los instrumentos más relevantes del ecosistema investigador, aunque su aplicación exige un deslinde técnico riguroso entre la compatibilidad de propósitos y la licitud del tratamiento.

3.1. El alcance del artículo 5(1)(b) y la exención del juicio de compatibilidad

La consecuencia jurídica primordial de esta presunción es que el responsable del tratamiento queda eximido de realizar el juicio de compatibilidad previsto en el artículo 6, apartado 4, del RGPD (Directrices 1/2026, párrafo 19). Según las Directrices, "al realizar un tratamiento ulterior de datos personales con fines de investigación científica, no es necesario llevar a cabo la prueba de compatibilidad" (Directrices 1/2026, párrafo 19). Esta regla se aplica tanto si los datos se recolectaron originalmente para un fin no científico como si se destinan a un proyecto de investigación científica distinto del original (Directrices 1/2026, párrafo 17).

No obstante, el CEPD advierte que esta presunción "no debe confundirse con el principio de licitud" (Directrices 1/2026, párrafo 21). El hecho de que el nuevo fin sea compatible no otorga automáticamente una base legal para el tratamiento; el responsable debe identificar siempre una base jurídica válida conforme al artículo 6, apartado 1, para esta nueva fase (Directrices 1/2026, párrafo 21). En muchos casos, será posible apoyarse en la misma base jurídica inicial (especialmente en casos de interés público o legítimo), pero existen limitaciones críticas: "esto se aplica en particular si la base jurídica inicial para el tratamiento primario es el consentimiento o una obligación legal", ya que un cambio de propósito podría contradecir la especificidad del consentimiento original (Directrices 1/2026, párrafo 22).

3.2. La distinción crítica entre compatibilidad de propósitos y licitud

El CEPD y el SEPD han declarado conjuntamente que "la cuestión de la compatibilidad de los fines no debe confundirse con el principio de licitud" (Opinión Conjunta CEPD-SEPD 2/2026, párrafo 32). Esta distinción, aparentemente técnica, tiene importantes consecuencias prácticas: la presunción de compatibilidad no elimina la necesidad de verificar que el tratamiento ulterior cuenta con una base jurídica válida, ni exime al responsable de cumplir el resto de principios del artículo 5 RGPD.

3.3. Principio de limitación de la conservación y almacenamiento para proyectos futuros

El artículo 5, apartado 1, letra e), permite que los datos personales se conserven durante períodos más largos siempre que se traten exclusivamente con fines de investigación científica (Directrices 1/2026, párrafo 27). Las Directrices clarifican que esta conservación es lícita incluso si los fines originales ya se han cumplido, permitiendo el almacenamiento para "proyectos de investigación futuros que requieran un tratamiento adicional" (Directrices 1/2026, párrafo 28).

Sin embargo, la invocación genérica de la investigación no es un "cheque en blanco". Para cumplir con el principio de limitación de la finalidad, el responsable debe ser capaz de especificar el área de investigación (por ejemplo, "investigación médica en el campo de la oncología"), ya que el almacenamiento para "fines de investigación científica genéricos sin ninguna especificación del propósito no puede justificarse" (Directrices 1/2026, párrafo 29). Además, las actividades futuras deben ser "razonablemente previsibles" y el responsable debe revisar periódicamente la necesidad de seguir conservando los datos, evaluando si es posible la anonimización o seudonimización definitiva de los mismos (Directrices 1/2026, párrafos 30-31).

A modo de ilustración, el Ejemplo 6 de las Directrices muestra cómo opera esta presunción en el contexto del interés legítimo (Directrices 1/2026, párrafo 23, Ejemplo 6):

Ejemplo 6: Tratamiento ulterior de datos personales con fines de investigación científica. Un instituto de investigación privado recopila datos personales de acceso público de las redes sociales y los utiliza en un proyecto de investigación científica para analizar el uso de un dialecto particular en el lenguaje escrito. Tras un análisis de riesgos y tras haber implementado las salvaguardas adecuadas, el instituto de investigación determina que puede basarse en un interés legítimo, de conformidad con el artículo 6(1)(f) del RGPD, para recopilar los datos. Una vez concluido el proyecto de investigación, el instituto de investigación desea utilizar los datos recopilados para desarrollar una aplicación que se utilizará en otro proyecto de investigación. El propósito de la aplicación es ayudar a las personas que hablan el dialecto a mejorar su ortografía al escribir en dicho dialecto, y luego que el instituto de investigación utilice esos datos para realizar investigaciones sobre la mejora de las habilidades de escritura a lo largo del tiempo. El instituto de investigación no tiene que llevar a cabo la prueba de compatibilidad, de conformidad con el artículo 6(4) del RGPD, ya que se presume que el tratamiento ulterior de los datos personales recopilados en el primer proyecto de investigación es compatible con los propósitos originales del tratamiento, en línea con el artículo 5(1)(b).

---

4. Bases jurídicas para el tratamiento de datos en la investigación

La identificación de una base jurídica válida bajo el artículo 6, apartado 1, del RGPD es un requisito ineludible e independiente de la presunción de compatibilidad de propósitos. Las Directrices subrayan que el responsable debe determinar la base adecuada antes de iniciar el tratamiento, teniendo en cuenta la naturaleza y el contexto de la investigación (Directrices 1/2026, párrafo 32). En este ámbito, el consentimiento, el interés público y el interés legítimo emergen como los pilares fundamentales, cada uno con exigencias operativas específicas.

4.1. El consentimiento: Retos y nuevas modalidades

El consentimiento (Art. 6.1.a) sigue siendo una base de referencia, pero su aplicación en la investigación científica exige una gestión cuidadosa del desequilibrio de poder. El CEPD advierte que, si el interesado se halla en una posición vulnerable (pacientes, reclusos o desempleados), el responsable debe evaluar si el consentimiento es realmente libre y, en caso de duda, abstenerse de utilizar esta base jurídica (Directrices 1/2026, párrafos 36-37).

Para abordar la incertidumbre inherente a los proyectos cuyos propósitos precisos no se conocen al inicio, las Directrices desarrollan dos modalidades críticas:

4.1.1. Consentimiento amplio (broad consent)

Permite recoger datos para un área determinada de investigación científica (por ejemplo, "investigación oncológica"). No es un cheque en blanco; requiere salvaguardas adicionales para compensar la falta de especificidad, como información detallada a medida que la investigación progresa y mecanismos de supervisión independiente (Directrices 1/2026, párrafos 40, 48-49). El CEPD exige que los responsables definan los fines de la investigación futura "con la mayor claridad posible" y que se aseguren de que los interesados comprendan las consecuencias de su elección (Directrices 1/2026, párrafos 44-46).

4.1.2. Consentimiento dinámico (dynamic consent)

Facilita una comunicación continua, permitiendo a los investigadores solicitar nuevos consentimientos para fases específicas o proyectos futuros a medida que sus objetivos se concretan (Directrices 1/2026, párrafos 41, 51). Esta modalidad es especialmente apropiada en investigaciones longitudinales o cuando existe una relación prolongada entre el investigador y el participante (Directrices 1/2026, párrafo 52).

4.1.3. Deslinde necesario entre el consentimiento del RGPD y el consentimiento ético-legal

Un punto doctrinal clave es la distinción entre el consentimiento del RGPD y el consentimiento ético o legal. Las Directrices aclaran que "el consentimiento para participar en la investigación científica [...] debe distinguirse del consentimiento para el tratamiento de datos personales como base jurídica conforme al RGPD" (Directrices 1/2026, párrafo 54). El cumplimiento de un estándar ético no garantiza automáticamente la validez de la base jurídica bajo el Reglamento.

Ejemplo 7: Consentimiento libremente prestado (Directrices 1/2026, párrafo 38, Ejemplo 7): Un instituto de investigación privado está llevando a cabo un estudio sobre cómo las personas con una enfermedad neurológica particular son tratadas en su contacto con las autoridades y entidades públicas. No existe ninguna disposición legal en el Derecho de la Unión o de los Estados miembros en la que el instituto pueda basar el tratamiento de datos personales para su investigación y, por lo tanto, explora si sería posible basarse en el consentimiento explícito de los interesados involucrados en el estudio, de conformidad con el artículo 9(2)(a) del RGPD. Para garantizar que los interesados con la enfermedad neurológica particular estén en condiciones de dar su consentimiento, el instituto consulta con una organización sin fines de lucro que representa a los pacientes y sus familiares. La organización sin fines de lucro aconseja que la mayoría de los posibles sujetos de investigación deberían estar en condiciones de dar su consentimiento, pero que algunos, dada la gravedad de su enfermedad, no podrán hacerlo. Sobre la base de este asesoramiento, el instituto que realiza el estudio decide proceder sobre la base del consentimiento, pero excluirá a los interesados que determine que no están en condiciones de dar un consentimiento libre.

4.2. El interés público y el ejercicio de poderes públicos (Art. 6.1.e)

El interés público es una base de "particular importancia" cuando la investigación es reconocida como un bien social que contribuye al bienestar colectivo (Directrices 1/2026, párrafo 56). Esta base requiere una habilitación en el Derecho de la Unión o de los Estados miembros que sea "clara y precisa" (Directrices 1/2026, párrafo 57). Significativamente, el CEPD aclara que confiar en esta base "no se limita a las entidades públicas"; las entidades privadas también pueden invocarla si el acto jurídico que regula su actividad cubre dichas tareas de interés público (Directrices 1/2026, párrafo 58).

4.3. El interés legítimo (Art. 6.1.f): El peso del interés científico

El interés legítimo es aplicable tanto a investigaciones con fines lucrativos como no lucrativos (Directrices 1/2026, párrafo 61). Al realizar el juicio de ponderación, el responsable puede "atribuir un peso significativo al tratamiento de datos personales para fines de investigación científica", dado que se considera una actividad beneficiosa para toda la sociedad (Directrices 1/2026, párrafo 61). No obstante, esta prevalencia no es absoluta. El responsable debe considerar las expectativas razonables de los interesados y adoptar salvaguardas que vayan más allá de las medidas obligatorias del RGPD para mitigar cualquier impacto negativo (Directrices 1/2026, párrafos 62-63). Si el riesgo remanente tras las salvaguardas sigue superando el interés del responsable, el tratamiento no podrá basarse en el artículo 6, apartado 1, letra f) (Directrices 1/2026, párrafo 63).

---

5. Tratamiento de categorías especiales e interacción con el Reglamento de IA

El tratamiento de categorías especiales de datos personales (Art. 9.1 del RGPD) constituye uno de los mayores retos para la investigación científica, dado que estos datos no solo comprenden información sensible directa, sino también aquella que permite deducir o inferir estados de salud, creencias o rasgos genéticos. Las Directrices y la jurisprudencia del TJUE (asuntos ND v. DR y OT v. Vyriausioji) subrayan que estas categorías exigen una protección reforzada debido a los riesgos significativos que su tratamiento supone para los derechos fundamentales (Directrices 1/2026, párrafo 64).

5.1. Derogaciones del artículo 9(2) y habilitaciones legales

Para tratar legalmente estos datos, el responsable debe identificar una derogación específica bajo el artículo 9(2). Las bases de mayor relevancia son el consentimiento explícito (Art. 9.2.a) y las habilitaciones previstas en el Derecho de la Unión o de los Estados miembros (Art. 9.2.g, i, j). Estas últimas deben ser "claras y previsibles" y prever medidas de salvaguarda específicas que protejan la esencia del derecho fundamental a la protección de datos (Directrices 1/2026, párrafo 73). Un ejemplo destacado de habilitación en el Derecho de la Unión es el artículo 57(1)(a)(i) del Reglamento del Espacio Europeo de Datos Sanitarios (EHDS), que autoriza el tratamiento de datos de salud para investigación científica (Directrices 1/2026, párrafo 75).

5.2. Datos genéticos y biométricos: Singularidad del riesgo y cautelas reforzadas

Los datos genéticos y biométricos poseen una naturaleza única: son inalterables, identifican de forma unívoca al individuo y pueden revelar información sobre sus parientes. El CEPD advierte que los perfiles genéticos se consideran datos personales "por defecto" y solo en circunstancias excepcionales pueden considerarse anónimos (Directrices 1/2026, párrafos 165-166). Por ello, las Directrices exigen cautelas reforzadas, tales como el almacenamiento federado, el acceso mediante entornos de procesamiento seguros y controles de acceso estrictos basados en roles (Directrices 1/2026, párrafo 168).

5.3. La excepción de datos "manifiestamente hechos públicos"

El artículo 9(2)(e) permite el tratamiento si el interesado ha hecho los datos manifiestamente públicos. No obstante, el umbral es elevado: requiere una "acción afirmativa clara" con conciencia de la publicidad general. La mera configuración de un perfil de red social como "público" no basta si es un ajuste por defecto; el responsable debe verificar que fue una elección activa del usuario, según se desprende de la sentencia Schrems v. Meta (Directrices 1/2026, párrafos 68-70).

Ejemplo 9: Datos personales manifiestamente hechos públicos por el interesado (Directrices 1/2026, párrafo 72, Ejemplo 9): Un instituto privado de psicología realiza un estudio sobre el impacto de las redes sociales en jóvenes. El equipo investiga perfiles públicos en una red social basándose en el interés legítimo (Art. 6.1.f) y la derogación del Art. 9(2)(e). Tras revisar la política de privacidad, determinan que los datos no son públicos por defecto, sino tras una elección activa del usuario. Los investigadores seudonimizan los datos antes de integrarlos en el conjunto de datos e informan a los interesados dándoles la oportunidad de oponerse.

Ejemplo 10: Datos personales manifiestamente hechos públicos por el interesado (Directrices 1/2026, párrafo 72, Ejemplo 10): Investigadores de una universidad pública en ciencia política tratan opiniones políticas publicadas en medios y redes sociales por políticos. Dado que las orientaciones políticas han sido manifiestamente hechas públicas por el interesado a través de canales accesibles al público general, la derogación del artículo 9(2)(e) es aplicable.

5.4. Intersección con el Reglamento de IA (RIA) y el EHDS

La investigación científica se sitúa hoy en un complejo ecosistema normativo. El Reglamento de IA (RIA) establece una distinción crítica: excluye de su ámbito los sistemas de IA desarrollados exclusivamente para fines de investigación y desarrollo (Art. 2.6), pero incluye aquellos sistemas de alto riesgo que sean "puestos en servicio o en uso" para fines investigadores (Art. 2.8). Esta dualidad genera una zona de incertidumbre en el tránsito del laboratorio al despliegue piloto.

Asimismo, el EHDS y la Ley de Gobernanza de Datos (DGA) complementan el RGPD al regular el uso secundario de datos y los servicios de intermediación. Sin embargo, persiste una tensión estructural: el CEPD reconoce que la fragmentación en las legislaciones nacionales sobre datos sanitarios y genéticos dificulta la creación de un verdadero Espacio Europeo de Investigación. La futura propuesta del Digital Omnibus busca mitigar esto codificando la presunción de compatibilidad para facilitar la reutilización de datos a escala europea.

---

6. Atribución de responsabilidad en arquitecturas de investigación complejas

La determinación de los roles de responsable, encargado y corresponsable constituye "la cuestión más difícil que deben afrontar los actores del ecosistema investigador". Las Directrices subrayan que esta determinación es funcional y busca asignar responsabilidades de acuerdo con el papel real de las entidades para garantizar la rendición de cuentas y el ejercicio efectivo de los derechos de los interesados (Directrices 1/2026, párrafo 130).

6.1. Definición funcional de responsable y encargado

El responsable es la entidad que decide sobre el propósito y los elementos esenciales de los medios del tratamiento (Directrices 1/2026, párrafo 132). Un punto doctrinal clave es que "no es necesario para la atribución de responsabilidad a una entidad o individuo que realmente procese datos personales" (Directrices 1/2026, párrafo 135). Así, una entidad puede ser responsable incluso si solo trata datos seudonimizados o si el tratamiento lo ejecuta un tercero, siempre que determine los fines y medios esenciales (Directrices 1/2026, párrafos 135-136).

Por el contrario, el encargado es una entidad separada que trata datos "por cuenta del responsable". Aunque el encargado tiene cierto margen de maniobra para elegir medios técnicos no esenciales, no puede rebasar las instrucciones del responsable (Directrices 1/2026, párrafo 138). Las Directrices ilustran esta relación en el ámbito de las Organizaciones de Investigación por Contrato (CRO) en el Ejemplo 23 (Directrices 1/2026, párrafo 139, Ejemplo 23).

6.2. Corresponsabilidad en consorcios y protocolos comunes

La corresponsabilidad surge cuando dos o más entidades participan conjuntamente en la determinación de los fines y medios esenciales. Un criterio fundamental es que el tratamiento no sería posible sin la "participación concurrente" de las entidades, siendo sus decisiones inextricablemente vinculadas (Directrices 1/2026, párrafo 140). En investigación, esto ocurre frecuentemente cuando varias partes participan activamente en la redacción de un protocolo de investigación.

El régimen de corresponsabilidad exige un acuerdo bajo el artículo 26 del RGPD que distribuya las responsabilidades de cumplimiento y que debe estar a disposición de los interesados (Directrices 1/2026, párrafo 144). Las Directrices presentan un escenario de alta complejidad en el Ejemplo 25, donde un consorcio (empresa farmacéutica, hospitales universitarios e instituto de investigación) opera una base de datos federada bajo un protocolo común (Directrices 1/2026, párrafo 145, Ejemplo 25).

6.3. El papel de las infraestructuras de datos y los terceros de confianza

Las infraestructuras de datos de investigación (repositorios, biobancos) pueden operar como responsables independientes cuando determinan qué datos recoger y en qué condiciones cederlos a terceros investigadores (Directrices 1/2026, párrafo 13, Ejemplo 4). El CEPD también menciona la figura del "custodio de datos de confianza" (trusted data holder) como una salvaguarda organizativa que puede procesar datos por cuenta de uno o varios responsables (Directrices 1/2026, párrafo 136).

Finalmente, es vital distinguir la responsabilidad del mero apoyo o financiación. Las Directrices aclaran que "el hecho de que una organización proporcione financiación para la investigación o sea consultada en el proceso de redacción de un protocolo de investigación (por ejemplo, como consultor independiente, experto, comité ético, etc.) no es en sí mismo suficiente para atribuir la condición de responsable".

---

7. Salvaguardas adecuadas conforme al artículo 89(1) del RGPD

El artículo 89, apartado 1, del RGPD establece que el tratamiento de datos personales con fines de investigación científica debe estar sujeto a salvaguardas adecuadas para proteger los derechos y libertades de los interesados. Estas salvaguardas no son una mera recomendación técnica, sino un requisito estructural que busca equilibrar el derecho a la protección de datos con la libertad de ciencia. Las Directrices enfatizan que estas medidas deben garantizar, primordialmente, la aplicación del principio de minimización, asegurando que solo se traten los datos estrictamente necesarios para alcanzar los objetivos científicos (Directrices 1/2026, párrafos 146, 154).

7.1. El principio de minimización: Prioridad de la anonimización frente a la seudonimización

La arquitectura de salvaguardas del CEPD establece una jerarquía clara: el tratamiento de datos para investigación debe realizarse, siempre que sea posible, utilizando datos anonimizados. Según el principio de minimización, si los fines de la investigación pueden cumplirse mediante un tratamiento que no permita la identificación de los interesados, dichos fines deben cumplirse de esa manera (Directrices 1/2026, párrafo 155). La anonimización sitúa los datos fuera del ámbito de aplicación del RGPD, aunque el proceso técnico de anonimización en sí mismo constituye una operación de tratamiento que debe cumplir con los principios de licitud y minimización (Directrices 1/2026, párrafo 156).

En aquellos supuestos donde la anonimización no sea compatible con los objetivos de la investigación —por ejemplo, en estudios longitudinales que exigen seguir el rastro de un individuo a lo largo del tiempo—, se debe optar por la seudonimización. Es crucial distinguir que la seudonimización no equivale a la anonimización; los datos seudonimizados siguen siendo datos personales respecto de aquel que dispone de la "información adicional" necesaria para la reidentificación (Directrices 1/2026, párrafo 157). El CEPD aclara que "la base jurídica para el tratamiento de los datos personales se extiende a todas las operaciones de tratamiento necesarias para aplicar la transformación seudonimizadora" (Directrices 1/2026, párrafo 158).

7.2. Tecnologías de Mejora de la Privacidad (PETs) y entornos de procesamiento seguros

El catálogo de salvaguardas es abierto y debe adaptarse al "estado de la técnica" y a los riesgos específicos de cada investigación. Entre las medidas técnicas destacan las Tecnologías de Mejora de la Privacidad (PETs) como herramientas avanzadas para mitigar riesgos. Estas incluyen: el cifrado homomórfico, que permite procesar datos sin necesidad de descifrarlos; los datos sintéticos, que crean conjuntos de datos artificiales que replican las propiedades estadísticas de los originales sin incluir información personal; y los entornos de procesamiento seguros, infraestructuras dedicadas donde los investigadores acceden a los datos sin posibilidad de almacenamiento local o descarga (Directrices 1/2026, párrafo 170).

La relevancia de estos entornos se ilustra en el Ejemplo 4 de las Directrices, relativo a una base de datos educativa (Directrices 1/2026, párrafo 13, Ejemplo 4):

"Para proteger a los interesados, el personal que trabaja para los proyectos de investigación aprobados debe comprometerse a acuerdos de confidencialidad y solo puede acceder a los datos de forma remota, a través de un entorno de procesamiento seguro sin posibilidad de descargar datos personales de ese entorno."

7.3. Salvaguardas para datos genéticos y medidas organizativas

Debido a su naturaleza inalterable y al elevado riesgo de reidentificación, los datos genéticos y biométricos exigen salvaguardas reforzadas. Las Directrices recomiendan una combinación de "seudonimización, aprobación ética, limitaciones de propósito especialmente restrictivas, almacenamiento federado con acceso mediante entornos de procesamiento seguros y controles de acceso estrictos basados en roles" (Directrices 1/2026, párrafo 168).

Más allá de las medidas técnicas, las salvaguardas organizativas y de gobernanza son esenciales: supervisión independiente mediante comités de revisión (internos o externos) que pueden incluir representantes de los interesados; transparencia reforzada mediante plataformas en línea o boletines sobre el progreso y resultados de los proyectos; restricciones contractuales que prohíban intentos de reidentificación o transmisiones no autorizadas a terceros; y la designación de un delegado de protección de datos (DPO) cuando sea necesario (Directrices 1/2026, párrafo 170).

Finalmente, la efectividad de estas salvaguardas requiere un proceso de verificación continua y el empleo de métodos que reflejen el estado de la técnica, especialmente cuando se combinan conjuntos de datos que incrementan el riesgo de reidentificación involuntaria (Directrices 1/2026, párrafo 161).

---

8. Conclusiones: Armonización frente a fragmentación en la era de la IA

Las Directrices 1/2026 del CEPD representan el instrumento interpretativo más ambicioso adoptado hasta la fecha en materia de investigación científica y protección de datos, constituyendo una "arquitectura de garantías" que busca mitigar la incertidumbre jurídica acumulada desde la entrada en vigor del RGPD. A través de una visión sistémica, estas directrices no solo clarifican preceptos aislados, sino que sitúan al RGPD como un estándar transversal de legitimidad en un ecosistema digital crecientemente complejo.

8.1. Avances doctrinales de las Directrices 1/2026

El principal logro de este documento es la superación de la ambigüedad conceptual mediante el test de los seis factores indicativos. Al establecer una interpretación autónoma y uniforme del concepto de "investigación científica" en el Derecho de la Unión, el CEPD dota a los investigadores de un umbral de acceso claro al régimen especial del Reglamento, asegurando que solo la investigación "genuinamente científica" se beneficie de sus flexibilidades.

Asimismo, la clarificación de la secuencia lógica entre la compatibilidad de propósitos (Art. 5.1.b) y la licitud (Art. 6.1) supone un avance operativo de primer orden. El CEPD resuelve la confusión técnica al establecer que la presunción de compatibilidad no es un "privilegio absoluto", sino una exención del juicio de compatibilidad que exige, en todo caso, la identificación de una base jurídica válida para el tratamiento ulterior. Por último, el reconocimiento formal del consentimiento amplio y dinámico permite conciliar la especificidad exigida por el RGPD con la naturaleza exploratoria e imprevisible de la ciencia moderna.

8.2. Limitaciones persistentes y la necesidad de reformas legislativas coordinadas

A pesar de estos avances, las Directrices no pueden disolver por sí solas la tensión estructural entre la armonización europea y el margen de apreciación nacional. La fragmentación regulatoria persiste, especialmente en lo relativo a las derogaciones del artículo 9, apartado 2, letra j), donde la falta de uniformidad en las legislaciones de los Estados miembros sobre datos genéticos, biométricos y de salud sigue distorsionando la libre circulación de datos en el Espacio Europeo de Investigación.

La coexistencia del RGPD con normas sectoriales como el Reglamento de IA (RIA), el EHDS y la DGA configura un ecosistema donde las "fricciones y vacancias normativas" son inevitables. Particularmente crítica es la zona de incertidumbre que genera el RIA entre la fase de investigación y desarrollo (excluida del reglamento) y el despliegue de sistemas de alto riesgo. En este sentido, la soft law supervisora del CEPD es necesaria pero insuficiente; se requiere una coordinación legislativa profunda, que podría encontrar un cauce en propuestas como el Digital Omnibus, para codificar estas presunciones y facilitar la reutilización de datos a escala continental.

En conclusión, la investigación científica no opera en el RGPD como una excepción, sino como un "principio de acomodación" que debe aplicarse bajo un estricto juicio de proporcionalidad. El RGPD no actúa como una norma de obstaculización, sino como un garante de que la innovación científica se realice respetando la dignidad y la autodeterminación informativa de los ciudadanos. Las Directrices 1/2026 son un paso decisivo hacia la seguridad jurídica, pero el camino hacia una gobernanza del dato plenamente coherente en Europa sigue exigiendo reformas que trasciendan la interpretación administrativa.

---

9. Bibliografía y Referencias normativas y jurisprudenciales

Bibliografía

• ALLEA (All European Academies). The European Code of Conduct for Research Integrity (ECCRI). Revised Edition, 2023.
• Comisión Europea. Ethics and Data Protection. 05.07.2021.
• Comisión Europea. Ethics in Social Science and Humanities. 05.07.2021.
• Consejo de la Unión Europea. Recomendación del Consejo de 18 de diciembre de 2023 sobre un marco europeo para atraer y retener talentos en investigación, innovación y emprendimiento en Europa.
• EDPS (Supervisor Europeo de Protección de Datos). A Preliminary Opinion on data protection and scientific research. 06.01.2020.
• EDPS (Supervisor Europeo de Protección de Datos). Guidance for co-legislators on key elements of legislative Proposals. 07.05.2025.
• ENISA. Pseudonymisation techniques and best practices - Recommendations on shaping technology according to data protection and privacy provisions. Noviembre de 2019.
• NIST (National Institute of Standards and Technology). AI Risk Management Framework.
• OCDE. Manual de Frascati 2015: Guía para la recogida y notificación de datos sobre investigación y desarrollo experimental.
• Relator Especial de las Naciones Unidas sobre el derecho a la privacidad. Recommendation on the protection and use of health-related data. 05.12.2019.
• WMA (Asociación Médica Mundial). Declaración de Helsinki: Principios éticos para las investigaciones médicas en seres humanos.

Referencias normativas y jurisprudenciales

Normativa de la Unión Europea

• Carta de los Derechos Fundamentales de la Unión Europea (CFREU).
• Reglamento (UE) 2016/679 (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• Reglamento (UE) 2024/1689 (Reglamento de Inteligencia Artificial - RIA), por el que se establecen normas armonizadas en materia de inteligencia artificial.
• Reglamento (UE) 2022/868 (Ley de Gobernanza de Datos - DGA).
• Reglamento (UE) 2025/327 (Espacio Europeo de Datos Sanitarios - EHDS).
• Reglamento (UE) 536/2014 (Clinical Trials Regulation - CTR), sobre los ensayos clínicos de medicamentos de uso humano.
• Reglamento (UE) 2021/695, por el que se establece el Programa Marco de Investigación e Innovación "Horizonte Europa".
• Propuesta de Reglamento (UE) (Digital Omnibus), COM(2025) 837 final, relativa a la simplificación del marco legislativo digital.

Directrices y Opiniones del CEPD (EDPB)

• Directrices 1/2026 sobre el tratamiento de datos personales con fines de investigación científica.
• Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento 2016/679.
• Directrices 7/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD.
• Directrices 1/2024 sobre el interés legítimo basado en el artículo 6, apartado 1, letra f), del RGPD.
• Directrices 01/2022 sobre los derechos de los interesados – Derecho de acceso.
• Opinión Conjunta CEPD-SEPD 2/2026 sobre la propuesta de "Digital Omnibus".
• Opinión 28/2024 sobre ciertos aspectos de la protección de datos relacionados con el tratamiento de datos personales en el contexto de modelos de IA.
• Opinión 3/2019 sobre las preguntas y respuestas relativas a la interacción entre el Reglamento de Ensayos Clínicos (CTR) y el RGPD.
• Declaración de Helsinki del CEPD sobre la facilitación del cumplimiento del RGPD.

Jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE)

• Asunto C-21/23, ND v. DR.
• Asunto C-184/20, OT v. Vyriausioji tarnybinės etikos komisija.
• Asunto C-446/21, Schrems v. Meta Platforms Ireland Limited.
• Asunto C-77/21, Digi Távközlési és Szolgáltató.
• Asunto C-252/21, Meta Platforms Inc v. Bundeskartellamt.
• Asunto C-245/00, SENA v. NOS.
• Asunto C-169/23, Nemzeti Adatvédelmi és Információszabadság Hatóság v. UC.
• Asunto C-17/22 y C-18/22, HTB Neunte Immobilien.

Otros Instrumentos Internacionales

• Convenio Marco del Consejo de Europa sobre IA (CETS 225).
• Protocolo de enmienda al Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (CETS 223).
• Convenio sobre los Derechos Humanos y la Biomedicina (Convenio de Oviedo, ETS 164).