El informe jurídico 0111/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de dos ficheros con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. A continuación, se presenta un resumen de los puntos clave del informe.
### Primer Fichero: Profesionales que Obtienen Tests Psicológicos
El primer fichero descrito en la consulta corresponde a un registro de profesionales que voluntariamente deciden obtener tests psicológicos proporcionados por el responsable del fichero. Este fichero se considera de carácter voluntario, por lo que los profesionales deben dar su consentimiento para el tratamiento de sus datos personales. Según el artículo 6.1 de la Ley Orgánica 15/1999, el tratamiento de datos personales requiere el consentimiento inequívoco del afectado.
Además, en el momento de la recogida de datos, se debe cumplir con el deber de información establecido en el artículo 5.1 de la Ley Orgánica. Esto implica informar a los interesados sobre la existencia del fichero, la finalidad de la recogida de datos, el carácter obligatorio o facultativo de su respuesta, las consecuencias de la obtención o negativa de los datos, y la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. También se debe proporcionar la identidad y dirección del responsable del tratamiento.
### Medidas de Seguridad
Respecto a las medidas de seguridad, el informe indica que, dado que los datos contenidos en el fichero no implican la adopción de medidas de seguridad de nivel medio o alto, se aplicarán medidas de seguridad de nivel básico. Esto se deduce de los artículos 79, 80 y 81 del Real Decreto 1720/2007, que desarrolla la Ley Orgánica 15/1999. El artículo 80 clasifica las medidas de seguridad en tres niveles: básico, medio y alto, y el artículo 81 establece que todos los ficheros deben adoptar al menos las medidas de seguridad de nivel básico.
### Segundo Fichero: Código Asignado por el Profesional
El segundo fichero plantea dudas en cuanto a la protección de datos, específicamente en relación con el «Código asignado por el profesional en cada caso». Este código parece estar diseñado para disociar o anonimizar los datos de carácter personal, lo cual es definido en el artículo 3 f) de la Ley Orgánica como un tratamiento de datos personales de modo que la información obtenida no pueda asociarse a una persona identificada o identificable.
Si la disociación se realiza correctamente y no permite identificar a las personas evaluadas, no se consideraría una cesión de datos. Sin embargo, si no se disocian los datos, se produciría una divulgación de datos de carácter personal, constituyendo una cesión o comunicación de datos, lo cual está regulado por el artículo 11.1 de la Ley Orgánica. Para que la cesión sea conforme a derecho, se requiere el consentimiento previo del interesado, salvo que se efectúe un procedimiento de disociación.
### Inscripción en el Registro General de Protección de Datos
Para proceder a la inscripción de los ficheros en el Registro General de Protección de Datos, se debe cumplimentar el modelo establecido en la Resolución de 12 de julio de 2006 de la AEPD. El formulario electrónico de Notificaciones Telemáticas a la AEPD (NOTA) permite la presentación de notificaciones a través de Internet, soporte informático o papel. Este formulario interactivo en formato PDF está disponible en la página web de la Agencia (www.agpd.es).
En resumen, el informe jurídico 0111/2008 de la AEPD establece que los ficheros descritos deben cumplir con los requisitos de información y consentimiento establecidos en la Ley Orgánica 15/1999, así como con las medidas de seguridad de nivel básico. Además, se deben seguir los procedimientos adecuados para la inscripción de los ficheros en el Registro General de Protección de Datos.