Los investigadores estamos obligados a cumplir los requisitos legales del país en el que operamos, pero cuando hablamos de la protección de datos en estudios internacionales, también debemos conocer y cumplir las leyes de cada país que forma parte del estudio.

Para ayudarnos con ello, ESOMAR ha publicado un documento, traducido al español por ANEIMO y AEDEMO  titulado «ESOMAR LISTA DE CONTROL DE PROTECCIÓN DE DATOS». Veamos qué nos aporta.

Tal como podemos leer en el apartado «Alcance» del propio documento El propósito de este documento es proporcionar al investigador, especialmente al que trabaja en pequeñas organizaciones que podrían no disponer de suficientes recursos o experiencia en los requisitos relativos a la protección de datos, una orientación general sobre sus responsabilidades dentro de un marco global de protección de datos para asegurar que los participantes en una investigación mantienen el control sobre su información personal.

El marco utilizado para desarrollar el documento fue el creado por la OCDE y que se basa en ocho principios:

• La limitación en la recogida
• La calidad de los datos
• La especificación de la finalidad
• La limitación del uso
• Las medidas de seguridad
• La transparencia
• La participación individual
• La responsabilidad

Este código de conducta nos invista a formularnos 20 preguntas:

1. Cuando se diseña un proyecto de investigación, ¿limita usted la recogida de datos personales sólo a aquellos que sean necesarios para los fines de la investigación y se asegura de que no se utilizan en cualquier forma incompatible con estos fines?
2. ¿Implementa usted procesos que garanticen que los participantes de la investigación no se vean perjudicados o afectados negativamente como resultado directo de su participación en un proyecto de investigación de mercado?
3. Si usted va a emplear subcontratistas u otros proveedores para prestar los servicios en su nombre, ¿les suministra la mínima cantidad de información personal que sea necesaria para que puedan llevar a cabo los servicios pactados? ¿Tiene usted establecidos contratos que garanticen un nivel similar de protección por parte de éstos?
4. ¿Obtiene usted el consentimiento de cada participante cuyos datos personales se recogen?
5. ¿Es usted transparente en relación a la finalidad o finalidades para las que se han recogido y mantenido los datos?
6. ¿Es usted transparente acerca de los datos específicos que se recogen?
7. ¿Deja usted claro cómo serán recogidos los datos, incluyendo cualquier recogida pasiva de datos de la que el participante puede no ser consciente?
8. ¿Cuenta con procedimientos para garantizar que todos los datos personales recogidos son exactos, completos y actualizados?
9. ¿Se asegura usted de que los datos personales no se mantienen por más tiempo que el necesario para la finalidad para la que se recogió o procesó la información? ¿Tiene usted procedimientos para almacenar por separado o eliminar los datos de identificación de los ficheros de datos una vez que ya no son necesarios?
10. ¿Cuenta usted con procedimientos establecidos para responder a las solicitudes de las personas relativas a los datos personales que se les hayan recogido? ¿Los procedimientos para tramitar las solicitudes de acceso de los individuos incluyen comprobar la identidad del solicitante y responder a sus solicitudes en un período de tiempo razonable, permitiéndoles corregir los datos inexactos o eliminar los datos por completo?
11. ¿Cuenta usted con protocolos de seguridad establecidos para cada fichero de datos de forma que se proteja contra riesgos tales como la pérdida o el acceso, destrucción, uso, modificación o  divulgación no autorizados?
12. ¿Cuenta usted con una declaración clara del plazo de retención los datos personales?
13. ¿Cuenta usted con normas y procedimientos definidos que determinen el uso y la divulgación de los datos personales?
14. ¿Las condiciones bajo las cuales los datos personales pueden ser revelados están claras y sin ambigüedades?
15. ¿Está su personal al tanto de esas reglas y está formado en la manera de aplicar los procedimientos?
16. Si los datos personales se transfieren de una jurisdicción a otra, ¿se hace de tal manera que se cumpla con los requisitos de protección de datos, tanto en la jurisdicción de origen y como la de destino?
17. ¿Cuenta usted con requisitos claros, incluyendo controles adecuados, para los encargados del tratamiento externos u otros subcontratistas?
18. ¿La información sobre su política de privacidad y normas de protección de datos personales está fácilmente disponible y en una forma que sea fácilmente comprensible para los participantes?
19. ¿Queda clara la identidad y la responsabilidad del responsable del tratamiento?

20. ¿Está claro que el responsable del tratamiento es el responsable de los datos personales bajo su control, independientemente de la ubicación de los datos?

Por último resaltar que una parte clave de la responsabilidad en la protección de datos por parte de los investigadores reside en entregar los datos anonimizados y disociados al cliente. Anonimizar implica suprimir o modificar los datos de identificación personal de forma que el cliente no pueda identificar a los respondientes. Este requisito es también aplicable en investigaciones B2B donde los datos recogidos refieren a una empresa.

¿Quieres saber más sobre este código de de investigación Mundial? Clica aquí para acceder al documento completo.