El Informe Jurídico 0158/2008 de la Agencia Española de Protección de Datos (AEPD) aborda diversas cuestiones relacionadas con la aplicación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007. Este informe se centra principalmente en la interpretación y aplicación de los artículos 2.2 y 2.3 del mencionado Reglamento, así como en la implantación de medidas de seguridad en bases de datos que contienen ciertos tipos de información sensible.
### Aplicación de los Artículos 2.2 y 2.3 del Reglamento
El artículo 2.3 del Reglamento establece que los datos relativos a empresarios individuales, cuando se refieren a ellos en su calidad de comerciantes, industriales o navieros, están excluidos del régimen de protección de datos de carácter personal. Esto se basa en la interpretación de la AEPD, que ha mantenido que la protección conferida por la Ley Orgánica 15/1999 no es aplicable a las personas jurídicas, sino únicamente a las personas físicas. Sin embargo, en el caso de empresarios individuales, la situación es más compleja. Si la información se refiere a profesionales o comerciantes individuales que no han organizado su actividad bajo la forma de persona jurídica, la protección de datos sí es aplicable.
El artículo 2.2 del Reglamento, por su parte, establece que este no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que prestan sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. Esto significa que, en estos casos, los datos de las personas físicas se consideran meramente accidentales y no están sujetos a la protección de datos.
### Medidas de Seguridad en Bases de Datos
El informe también aborda la cuestión de la implantación de medidas de seguridad de nivel alto en bases de datos que contienen información sensible. Según el artículo 81.3 a) del Reglamento, las medidas de nivel alto se aplican a los ficheros que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Sin embargo, existen excepciones. Por ejemplo, si los datos se utilizan únicamente para realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros, o si se trata de ficheros no automatizados en los que los datos sensibles se contienen de forma incidental o accesoria, bastará con la implantación de medidas de seguridad de nivel básico.
### Datos de Salud y Asignación a la Iglesia Católica
En cuanto a los datos de salud, el informe concluye que los datos relativos a accidentes de trabajo, lesiones y secuelas producidas deben ser considerados datos de carácter especialmente protegidos y, por tanto, sometidos a las medidas de seguridad de nivel alto. Sin embargo, los datos relativos al grado de minusvalía o la opción por la asignación a la Iglesia Católica no requieren medidas de seguridad de nivel alto, siempre y cuando se utilicen exclusivamente para el cumplimiento de deberes públicos o no revelen necesariamente las creencias del afectado.
### Conclusiones
En resumen, el Informe Jurídico 0158/2008 de la AEPD establece que la protección de datos de carácter personal no es aplicable a las personas jurídicas ni a los datos de empresarios individuales cuando se refieren exclusivamente a su actividad comercial. Además, especifica las circunstancias bajo las cuales se requieren medidas de seguridad de nivel alto en bases de datos que contienen información sensible, como datos de salud, ideología o religión, y establece excepciones para ciertos tipos de datos que no revelan necesariamente las creencias o la salud del afectado.