El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 0179/2008 aborda la interpretación del artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007. Este artículo establece una excepción para la aplicación de medidas de seguridad de nivel alto en ficheros que contengan datos relativos a la salud, específicamente aquellos referentes al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, siempre que el tratamiento de estos datos esté justificado por el cumplimiento de deberes públicos.
El informe analiza tres tipos de datos relacionados con la salud que pueden estar incluidos en los ficheros de personal de una empresa:
1. **Datos de discapacidad para el cálculo de retenciones en el IRPF**: La AEPD concluye que estos datos pueden ser tratados con medidas de seguridad de nivel básico, ya que su tratamiento está justificado por la obligación legal de calcular las retenciones en el Impuesto sobre la Renta de las Personas Físicas (IRPF).
2. **Datos de aptitud para el desempeño de un puesto de trabajo**: Según la Ley de Prevención de Riesgos Laborales, el empresario debe garantizar la vigilancia periódica del estado de salud de los trabajadores. La AEPD considera que estos datos también pueden ser tratados con medidas de seguridad de nivel básico, siempre que se respeten las condiciones de confidencialidad y consentimiento del trabajador.
3. **Datos de bajas laborales**: La AEPD analiza la legislación de Seguridad Social y concluye que los datos relativos a la existencia o inexistencia de enfermedad común, enfermedad profesional o accidente laboral pueden ser tratados con medidas de seguridad de nivel básico, ya que su tratamiento es necesario para cumplir con las obligaciones legales en materia de Seguridad Social.
El informe también aborda la externalización de la gestión de recursos humanos o nóminas a terceras empresas, indicando que estas deben ser consideradas encargadas del tratamiento y estar sujetas al régimen de medidas de seguridad establecido en la Ley Orgánica 15/1999 y su Reglamento de desarrollo. En estos casos, la excepción del artículo 81.6 también sería aplicable si se cumplen los requisitos establecidos.
En resumen, el informe concluye que los ficheros que contengan únicamente datos de discapacidad para el cálculo de retenciones en el IRPF, datos de aptitud para el desempeño de un puesto de trabajo y datos de bajas laborales pueden ser tratados con medidas de seguridad de nivel básico, siempre que el tratamiento esté justificado por el cumplimiento de deberes públicos. Sin embargo, si los ficheros contienen otros datos de salud, como resultados de acciones de vigilancia de la salud, deberán implantarse medidas de seguridad de nivel alto.