La expansión de la Open Science en Europa ha reconfigurado la manera en que se comparten, analizan y reutilizan los datos de investigación. En este contexto, la gestión de datos sensibles se ha convertido en un elemento central para quienes trabajan con información personal, clínica, socioeconómica o empresarial. La necesidad de equilibrar apertura, reproducibilidad y protección de derechos fundamentales se ha intensificado con el avance del Reglamento General de Protección de Datos (RGPD) y los requisitos de programas como Horizon Europe. Este marco obliga a diseñar proyectos que garanticen transparencia y reutilización, sin comprometer la privacidad ni la seguridad jurídica.
Los datos sensibles en el marco de la ciencia abierta
En Open Science, se consideran sensibles los datos personales (especialmente los de salud, genómicos o relacionados con colectivos vulnerables) y aquellos cuyo uso indebido podría causar discriminación, daño reputacional o perjuicios económicos. También se incluyen datos confidenciales de empresas y administraciones públicas, así como información estratégica sometida a acuerdos de confidencialidad.
El paradigma europeo actual no defiende una apertura sin restricciones. La orientación dominante, adoptada por Horizon Europe y múltiples agencias de financiación, es “as open as possible, as closed as necessary”. Esto implica publicar metadatos abiertos siempre que sea viable, ofrecer información derivada o agregada y, cuando el riesgo lo exige, habilitar acceso controlado mediante comités de revisión o acuerdos específicos. Así, incluso cuando los datos no pueden hacerse públicos, pueden seguir siendo FAIR si están adecuadamente descritos y accesibles bajo condiciones claras.
Marco normativo y principios FAIR
El RGPD establece los requisitos legales para el tratamiento de datos personales, incluyendo bases legítimas de tratamiento, minimización, seudonimización, anonimización y evaluaciones de impacto en protección de datos cuando existe riesgo significativo. Las legislaciones nacionales y las directrices institucionales complementan estas obligaciones con requisitos éticos adicionales.
Los principios FAIR —que exigen que los datos sean localizables, accesibles, interoperables y reutilizables— no obligan a la apertura total. Permiten que conjuntos de datos sensibles estén disponibles mediante procedimientos de solicitud, repositorios con control de acceso o entornos seguros. Esto facilita que la comunidad investigadora cumpla con los mandatos de transparencia sin contravenir el marco jurídico.
Retos actuales para la comunidad investigadora
Uno de los principales desafíos es el riesgo de re-identificación. Aunque se eliminen identificadores directos, la combinación de variables puede permitir inferir la identidad de las personas participantes, especialmente en muestras pequeñas o en investigaciones con colectivos específicos.
La tensión entre reproducibilidad y confidencialidad también genera dilemas prácticos. Las revistas científicas y financiadores demandan acceso a datos y código, mientras que las oficinas de protección de datos y los comités éticos piden restricciones más estrictas. Esta dualidad puede llevar a decisiones precipitadas: desde publicar datos insuficientemente anonimizados hasta cerrar por completo el acceso, limitando el valor científico del trabajo.
A ello se suman la falta de formación especializada, la complejidad derivada de redactar consentimientos informados que contemplen la reutilización futura y la fragmentación de infraestructuras seguras entre países e instituciones.
Planificación desde el diseño del proyecto
La gestión de datos sensibles debe planificarse desde el inicio. Los Data Management Plans (DMP), exigidos por Horizon Europe, permiten identificar qué datos se generarán, qué nivel de sensibilidad tendrán y qué condiciones se aplicarán para su acceso, almacenamiento y reutilización.
Los DMP más robustos reflejan:
- Clasificación anticipada de datos según sensibilidad y nivel de apertura previsto.
- Estrategias de consentimiento informado que expliquen la posible reutilización y condiciones de acceso.
- Medidas técnicas y organizativas: control de acceso, encriptación, almacenamiento seguro y auditoría de accesos.
- Estrategias para publicar metadatos abiertos, incluso cuando los datos no puedan abrirse.
Anonimización y seudonimización
Las técnicas de anonimización avanzadas incluyen la agregación de variables, la generalización de categorías o la perturbación estadística. En proyectos con datos especialmente delicados pueden incorporarse métodos como la privacidad diferencial, aunque su uso requiere experiencia técnica.
La seudonimización —sustituir identificadores por códigos— sigue estando bajo el RGPD, ya que permite revertir el proceso si existe una clave. Por este motivo, suele emplearse para análisis internos o entornos de acceso restringido. En el marco de open science, es habitual combinar conjuntos de datos anonimizados de forma robusta para compartir de forma abierta, dejando la versión seudonimizada en repositorios con acceso controlado.
Entornos de confianza y el papel creciente de EOSC
Una de las avances más relevantes en Europa es la consolidación de los Trusted Research Environments (TRE), integrados progresivamente en la European Open Science Cloud (EOSC). Estos entornos permiten analizar datos sensibles sin necesidad de transferirlos, aplicando un modelo de “llevar el algoritmo al dato”. Su uso se está extendiendo en proyectos europeos orientados a datos biomédicos, observación de la Tierra o ciencias sociales.
Iniciativas como EOSC ENTRUST buscan armonizar estos entornos a nivel europeo mediante un marco común de interoperabilidad técnica y legal. A su vez, proyectos como SIESTA trabajan en herramientas para anonimización, control de acceso y análisis reproducible en la nube, lo que facilita que instituciones de menor tamaño accedan a infraestructuras de alta seguridad.
Herramientas disponibles para investigadores
Además de los repositorios institucionales con opciones de acceso restringido, plataformas como el Open Science Framework permiten gestionar salidas derivadas de datos sensibles siguiendo principios FAIR. Algunas instituciones ofrecen catálogos de servicios de anonimización y asesoría especializada en protección de datos, así como plantillas de DMP adaptadas específicamente a contextos de datos sensibles.
La combinación de estos recursos ayuda a cumplir tres objetivos esenciales: protección legal, apertura razonada y un uso más amplio de los resultados de investigación.
¿Necesitas conocer más sobre la gestión de datos sensibles en Open Science? Ponte en contacto con nosotros, y te asesoramos con todo detalle.