El Informe 0091/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación del Real Decreto 1720/2007, de 21 de diciembre, que desarrolla la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Este informe se centra en las medidas de seguridad que deben aplicarse a los ficheros de nóminas y a los ficheros de la Tesorería General de la Seguridad Social.
En primer lugar, el informe destaca que el Real Decreto 1720/2007 no entrará en vigor hasta tres meses después de su publicación en el Boletín Oficial del Estado, lo cual ocurrió el 19 de enero de 2008. A pesar de esto, se procede a analizar las cuestiones planteadas en la consulta.
Respecto a las medidas de seguridad para los ficheros de nóminas, el artículo 81.6 del Real Decreto 1720/2007 permite la implantación de medidas de seguridad de nivel básico en los ficheros que contengan datos relativos a la salud, específicamente aquellos que se refieren al grado de discapacidad o a la declaración de la condición de discapacidad o invalidez del afectado, siempre que estos datos se utilicen para el cumplimiento de deberes públicos. Esto es relevante en el contexto de las nóminas, donde se puede incluir un porcentaje de minusvalía para calcular el nivel de retención aplicable, conforme al artículo 103.1 del Real Decreto Legislativo 3/2004.
Sin embargo, si los datos de minusvalía se tratan para fines que no constituyan el cumplimiento de deberes públicos, se deberán aplicar medidas de seguridad de nivel alto. Esto subraya la importancia de diferenciar el uso de los datos y la necesidad de adaptar las medidas de seguridad en consecuencia.
En cuanto a los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social, el artículo 81.2 del Real Decreto 1720/2007 establece que, además de las medidas de seguridad de nivel básico, deben implantarse medidas de nivel medio en los ficheros que sean responsabilidad de estas entidades y que se relacionen con el ejercicio de sus competencias. Esto incluye los ficheros gestionados por las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
Además, si estos ficheros contienen datos especialmente protegidos, como aquellos que se refieren a ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, datos recabados para fines policiales sin consentimiento, o datos derivados de actos de violencia de género, se deberán implantar medidas de seguridad de nivel alto. Esto asegura un mayor nivel de protección para datos sensibles y vulnerables.
En resumen, el informe subraya la necesidad de adaptar las medidas de seguridad según el tipo de datos tratados y el contexto en el que se utilizan. Los ficheros de nóminas pueden utilizar medidas de seguridad de nivel básico para datos de discapacidad relacionados con deberes públicos, pero requieren medidas de nivel alto para otros usos. Los ficheros de la Seguridad Social deben implementar medidas de nivel medio, y de nivel alto si contienen datos especialmente protegidos. Esto refleja el compromiso de la AEPD con la protección de datos personales y la adaptación de las medidas de seguridad a las circunstancias específicas de cada caso.