El Comité Europeo de Protección de Datos publica sus Directrices 1/2026, estableciendo criterios jurídicos clave para el tratamiento de datos personales en investigación científica y reforzando el equilibrio entre innovación y derechos fundamentales.
Se trata de un documento de referencia que clarifica la aplicación del Reglamento General de Protección de Datos (RGPD) en uno de los ámbitos más complejos del ecosistema digital.
Estas directrices responden a la creciente necesidad de dotar de seguridad jurídica a investigadores, empresas y administraciones públicas ante el uso intensivo de datos -especialmente en contextos como la IA, la investigación médica o el análisis de grandes volúmenes de información-.
Uno de los elementos centrales del documento es la delimitación del concepto de “investigación científica”. El EDPB establece que no cualquier actividad analítica puede beneficiarse del régimen jurídico reforzado del RGPD, sino únicamente aquella que cumpla criterios como el rigor metodológico, la finalidad de interés general, la independencia científica y la contribución al conocimiento.
Desde el punto de vista normativo, el documento introduce importantes precisiones sobre los principios del tratamiento. En particular, confirma que el uso ulterior de datos personales con fines de investigación científica se presume compatible con la finalidad inicial de recogida, lo que facilita la reutilización de datos en proyectos futuros. Asimismo, permite la conservación prolongada de datos cuando sea necesario para investigación.
En materia de bases jurídicas, el EDPB refuerza la flexibilidad del RGPD al reconocer múltiples opciones: consentimiento, interés público o interés legítimo. Destaca especialmente el desarrollo del denominado “consentimiento amplio” (broad consent), que permite recabar autorización para áreas de investigación no completamente definidas en el momento inicial, siempre que se adopten garantías adicionales.
No obstante, el documento también subraya los límites. El tratamiento de categorías especiales de datos -como los datos de salud o biométricos- exige una base jurídica reforzada y medidas específicas de protección. Además, los derechos de los interesados, como el derecho de supresión o de oposición, pueden verse limitados cuando su ejercicio comprometa gravemente la investigación.
Por último, las directrices inciden en la necesidad de implementar garantías técnicas y organizativas robustas, como la anonimización, la seudonimización, las evaluaciones de impacto y los entornos seguros de tratamiento, consolidando el principio de “protección de datos desde el diseño”.
En definitiva, el EDPB configura un marco que pretende facilitar la investigación sin sacrificar los derechos fundamentales, en un contexto marcado por la digitalización y el auge de la inteligencia artificial.
Análisis experto
Las Directrices 1/2026 suponen un avance relevante en la consolidación de un derecho europeo de la investigación basada en datos, con tres implicaciones jurídicas clave:
1. Refuerzo del enfoque funcional del RGPD
El EDPB abandona interpretaciones rígidas y consolida una lectura finalista del RGPD, donde la investigación científica actúa como interés social cualificado, legitimando tratamientos más flexibles.
2. Expansión del concepto de compatibilidad de finalidades
La presunción de compatibilidad del tratamiento ulterior introduce un cambio práctico de gran impacto:
– Facilita modelos de reutilización de datos (data sharing, IA, big data),
– Reduce cargas jurídicas en proyectos longitudinales o reutilización de datasets.
3. Consolidación de un modelo de “compliance científico”
Se configura un estándar específico de cumplimiento basado en ética de la investigación, gobernanza de datos, responsabilidad proactiva y garantías técnicas avanzadas.
4. Riesgos y zonas grises
No obstante, persisten incertidumbres relevantes respecto de la delimitación práctica del “interés legítimo científico”, límites reales del consentimiento amplio y divergencias entre Estados miembros.
