El informe jurídico 0318/2005 de la Agencia Española de Protección de Datos (AEPD) aborda la implantación de medidas de seguridad en un fichero destinado a tratar estadísticamente datos relativos a la siniestralidad laboral de una empresa. La consulta plantea dudas sobre la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) a este tipo de ficheros, especialmente cuando no se incluye el nombre del trabajador accidentado.
La LOPD es aplicable a los datos de carácter personal registrados en soporte físico y a cualquier modalidad de uso posterior de estos datos. Según la ley, los datos de carácter personal son cualquier información concerniente a personas físicas identificadas o identificables. Sin embargo, la ley no se aplica a los tratamientos sometidos a un procedimiento de disociación, es decir, cuando los datos se tratan de manera que no puedan asociarse a una persona identificada o identificable.
Para que un procedimiento de disociación sea considerado suficiente, debe resultar imposible identificar un determinado dato con su sujeto. Las disposiciones internacionales consideran que el afectado no será determinable si su identificación exige un esfuerzo desproporcionado que disuada a quien accede al dato de identificar a la persona.
En el caso del fichero de siniestralidad laboral, si los datos no se vinculan a los datos personales que identifican al trabajador accidentado, no se aplican las normas de protección de datos. Sin embargo, si los datos permiten la identificación del trabajador, por ejemplo, a través de un número de referencia o código, se aplicarán tanto la LOPD como el Reglamento de Medidas de Seguridad de los Ficheros Automatizados.
En particular, si el fichero contiene datos relacionados con la salud de los trabajadores accidentados, se deberán aplicar las medidas de seguridad de nivel alto, según el artículo 4.3 del Reglamento de Medidas de Seguridad. Esto implica que la empresa debe implementar medidas adicionales para proteger la información sensible, garantizando así la confidencialidad, integridad y disponibilidad de los datos.
En resumen, el informe concluye que la aplicación de la LOPD y las medidas de seguridad dependerá de si los datos en el fichero permiten la identificación de los trabajadores accidentados. Si es así, se deben adoptar medidas de seguridad de nivel alto para proteger la información sensible relacionada con la salud de los trabajadores.