⏱ 10 min de lectura
Por el Dr. Ángel Luis Rodríguez Santisteban · Médico de Familia · Investigación en Atención Primaria · tudoctordeconfianza.es
Cuando montas un proyecto de investigación en la consulta, la pregunta que más tarde llega —y la que más quebraderos de cabeza da— es la protección de datos. He visto residentes brillantes con una hipótesis impecable bloqueados durante semanas porque su base de datos era una hoja de cálculo con nombres y números de historia clínica circulando por correo. REDCap, bien configurado, resuelve buena parte de ese problema, pero no es magia: la herramienta acompaña, no sustituye, a una buena arquitectura de datos. En este artículo repaso cómo plantear un proyecto REDCap conforme al RGPD en investigación y a la LOPDGDD, desde la base jurídica hasta la retención, con foco en la seudonimización.
Antes de seguir, una advertencia honesta: lo que cuento aquí es orientativo. Cada proyecto tiene su contexto, y quien manda de verdad es el dictamen de tu Comité de Ética de la Investigación con medicamentos (CEIm) y las políticas de tu institución. Úsalo como mapa, no como sentencia.
La base jurídica: antes de tocar un solo dato
El primer error es ponerse a recoger datos sin haber definido la base de legitimación. Los datos de salud son una categoría especial (artículo 9 del RGPD), así que necesitas algo más que «la gente ha dicho que sí». En investigación clínica, las bases más habituales son el consentimiento explícito del participante y, en determinados supuestos, el interés público en el ámbito de la salud o la investigación científica, siempre con las garantías de la disposición adicional decimoséptima de la LOPDGDD.
En la práctica, esto significa que el dictamen favorable del CEIm y el documento de consentimiento informado son la columna vertebral del proyecto. No basta con tener buena intención: hay que documentar qué datos recoges, para qué, durante cuánto tiempo y quién accede. Si tu estudio reutiliza datos ya existentes (por ejemplo, una explotación poblacional de la historia clínica para estimar la prevalencia de una patología), la conversación con el delegado de protección de datos (DPD) de tu centro es obligada antes de empezar.
Minimización: recoge solo lo que vas a analizar
El principio de minimización es de los más maltratados. La tentación de «ya que estamos, recojamos también esto por si acaso» es enorme, y es exactamente lo que el RGPD prohíbe. Cada variable de tu diccionario de datos debe responder a una pregunta de tu protocolo. Si no sabes qué análisis vas a hacer con un campo, ese campo no debería estar en tu formulario.
Esto, además de ser una exigencia legal, mejora la calidad del estudio: menos campos vacíos, menos datos perdidos, menos ruido. Diseñar el formulario pensando en el plan de análisis es una de las cosas que trabajamos a fondo en el curso de Investigación en Atención Primaria, porque un buen diccionario de datos ahorra meses de sufrimiento posterior.
Seudonimización: el corazón del asunto
Aquí está la pieza clave. Seudonimizar significa tratar los datos de forma que ya no puedan atribuirse a una persona concreta sin recurrir a información adicional, que se guarda por separado y bajo medidas de seguridad. No es lo mismo que anonimizar: un dato anonimizado es irreversible y queda fuera del RGPD; un dato seudonimizado sigue siendo dato personal y, por tanto, sigue protegido. En investigación clínica con seguimiento, casi siempre trabajamos con seudonimización, porque necesitamos poder volver al participante.
La regla de oro es separar los identificadores directos del dataset de análisis. En tu base REDCap, el participante no se llama «María García» ni lleva su número de historia clínica (NHC): lleva un código del tipo PAC-001, PAC-002, etc. La correspondencia entre ese código y la identidad real vive en un documento aparte —la lista de claves o key file—, custodiado por el investigador responsable, idealmente en un equipo institucional cifrado y con acceso restringido.
Qué identificadores directos hay que sacar del dataset
- Nombre y apellidos.
- Número de historia clínica (NHC), CIP o tarjeta sanitaria.
- DNI/NIE y número de la Seguridad Social.
- Teléfono, correo electrónico y dirección postal completa.
- Fechas exactas cuando no son imprescindibles (a veces basta con la edad o el año).
Conviene recordar que la seudonimización no se agota en quitar el nombre. La combinación de variables aparentemente inocuas —código postal raro, fecha de nacimiento, una enfermedad poco frecuente— puede reidentificar a alguien. Por eso el diseño del dataset debe valorar también las cuasi-identificadores, sobre todo en muestras pequeñas o en patologías de baja prevalencia.
Control de accesos y derechos de usuario en REDCap
REDCap permite definir permisos por usuario y por instrumento, y esa granularidad es una de sus grandes ventajas frente a soluciones improvisadas. El principio que debe guiarte es el de mínimo privilegio: cada miembro del equipo accede solo a lo que necesita para su tarea. El residente que introduce datos no tiene por qué poder exportar el dataset completo; el estadístico que analiza no necesita ver la lista de claves.
- User rights por rol: define perfiles (entrada de datos, monitorización, análisis) y asigna permisos en lugar de dar acceso total a todo el mundo.
- Data Access Groups: si participan varios centros, aísla los datos de cada uno para que un equipo no vea los registros de otro.
- Doble factor y contraseñas robustas: según lo configurado por el administrador de tu instancia institucional.
- Revisión periódica: retira accesos cuando alguien deja el proyecto. Las cuentas huérfanas son un riesgo clásico.
Esta diferencia de control es justo uno de los argumentos de fondo cuando comparo herramientas en el post de REDCap frente a Excel y Google Forms: una hoja compartida no distingue quién puede ver qué, y ese matiz lo cambia todo en un proyecto con datos de salud.
Logging y auditoría: saber quién hizo qué
Una de las funciones más infravaloradas de REDCap es el registro de actividad (logging). Cada acceso, cada modificación, cada exportación queda trazada con usuario y marca de tiempo. Esto cumple dos funciones: por un lado, es una garantía de integridad del dato (fundamental para la trazabilidad que exige la buena práctica clínica); por otro, es tu red de seguridad ante una eventual brecha o ante una auditoría del CEIm o del DPD. Si alguna vez tienes que demostrar que solo personas autorizadas accedieron a los datos, ese registro es tu mejor aliado. No lo desactives ni lo ignores.
La regla que más se incumple: no exportar identificadores
Llega el momento del análisis y, con las prisas, alguien exporta «todo» a un CSV que acaba en una carpeta de descargas, en un USB o en un correo. Ahí se desmorona toda la arquitectura de seudonimización que tanto cuidaste. La norma es clara: el dataset que sale de REDCap para análisis no debe contener identificadores directos. REDCap incluso ofrece la opción de exportar excluyendo los campos marcados como identificadores; márcalos correctamente al diseñar el formulario y úsala.
El archivo de análisis debe viajar siempre con el código PAC-001, nunca con el NHC. Y ese archivo, aunque seudonimizado, sigue siendo dato personal: guárdalo cifrado, en almacenamiento institucional, no en servicios personales en la nube. Este cuidado es el mismo, por cierto, que aplica a las explotaciones de datos poblacionales que tan útiles resultan para detectar problemas infradiagnosticados, como comento en el análisis sobre enfermedad renal crónica en Atención Primaria y los criterios KDIGO 2024: trabajar con grandes volúmenes de datos clínicos exige el mismo rigor de seudonimización, aunque no se vea al participante de frente.
e-Consent: el consentimiento dentro de la propia plataforma
REDCap ofrece un módulo de e-Consent que permite presentar el documento de consentimiento informado, recoger la firma electrónica del participante y archivar un PDF con sello de tiempo. Es una solución elegante para estudios con captación a distancia, pero úsala con cabeza: el contenido del consentimiento (incluida la información sobre tratamiento de datos, base jurídica, plazos de conservación y derechos del participante) debe estar aprobado por el CEIm. La herramienta digitaliza el proceso, no exime de que el documento sea correcto y comprensible.
Retención de datos y RGPD investigación: cuánto tiempo guardarlos
Los datos no se guardan «para siempre por si acaso». El plazo de conservación debe estar definido en el protocolo y en la información al participante, y depende del tipo de estudio y de la normativa aplicable (los estudios con medicamentos tienen plazos específicos). Cumplido el plazo, toca anonimizar de forma irreversible o destruir, documentando el proceso. La lista de claves que une PAC-001 con la identidad real tiene su propio ciclo de vida y, a menudo, se destruye antes que el dataset de análisis. Define todo esto desde el principio: improvisar la retención al final es fuente segura de incidencias.
El papel del CEIm y del DPD
Termino donde empecé, porque es lo más importante. El CEIm evalúa la idoneidad ética y metodológica del proyecto, incluido el tratamiento de datos, y su dictamen es vinculante. El delegado de protección de datos de tu institución es tu interlocutor para las cuestiones específicas de privacidad: evaluación de impacto cuando proceda, registro de actividades de tratamiento y contratos con encargados. Habla con ambos pronto, no cuando ya tengas la base montada. Te ahorrarás rehacer trabajo y, sobre todo, protegerás a tus pacientes, que es de lo que va todo esto. Si quieres profundizar en cómo encaja la protección de datos dentro de un proyecto completo, lo desarrollo en mi formación sobre investigación en la consulta.
🗂️ Monta tu proyecto sin errores de novato
Descarga gratis la «Guía rápida de REDCap»: del diccionario de datos a la exportación, con buenas prácticas de RGPD y un checklist de puesta en marcha. Te la enviamos en PDF.
Preguntas frecuentes
¿Seudonimizar es lo mismo que anonimizar?
No. La seudonimización es reversible: sustituyes los identificadores por un código (PAC-001) y guardas la correspondencia por separado, de modo que el dato sigue siendo personal y protegido por el RGPD. La anonimización es irreversible y, hecha correctamente, saca el dato del ámbito del RGPD. En investigación con seguimiento casi siempre se usa seudonimización, porque necesitas poder volver al participante.
¿Necesito siempre el dictamen del CEIm para usar REDCap?
REDCap es una herramienta; lo que requiere aprobación es tu proyecto de investigación. Cualquier estudio que recoja o reutilice datos de salud de personas necesita el dictamen favorable del CEIm correspondiente y, según el caso, la valoración del delegado de protección de datos de tu institución. La herramienta no sustituye ese paso.
¿Puedo exportar la base con los nombres para revisar los datos?
No es buena práctica. El dataset de análisis debe salir seudonimizado, sin identificadores directos. Marca los campos identificadores al diseñar el formulario y usa la opción de exportación que los excluye. Si necesitas comprobar la identidad de un registro concreto, hazlo dentro de la plataforma y mediante la lista de claves custodiada, no exportando todo a un CSV.
¿Quién debe custodiar la lista que une PAC-001 con el paciente real?
El investigador responsable del proyecto, en un equipo institucional cifrado y con acceso restringido al personal autorizado, separado del dataset de análisis. Esa lista de claves tiene su propio plazo de destrucción, definido en el protocolo, y a menudo se elimina antes que el resto de los datos del estudio.
Para saber más
- Agencia Española de Protección de Datos (AEPD). Guías y orientaciones sobre tratamiento de datos personales en investigación en salud. Disponible en aepd.es.
- Reglamento (UE) 2016/679 (RGPD) y Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), en especial la disposición adicional decimoséptima.
- REDCap (Research Electronic Data Capture), proyecto Vanderbilt University. Documentación oficial del consorcio en project-redcap.org.
