El Informe Jurídico 0533/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda las medidas de seguridad que deben implantarse en los ficheros de una entidad, considerando las disposiciones del artículo 81 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007.
El informe se centra en dos aspectos principales:
1. **Medidas de seguridad para ficheros de empleados, clientes, candidatos e investigadores**: La consulta plantea si se aplican las medidas de seguridad de nivel medio, según el artículo 81.2 f) del Reglamento, a estos ficheros. Este artículo exige medidas de seguridad de nivel medio para ficheros que contengan datos que permitan evaluar aspectos de la personalidad o el comportamiento de los individuos. Dado que la consulta no especifica los datos contenidos en estos ficheros, se asume que contienen únicamente información necesaria para mantener relaciones laborales, comerciales o profesionales. Por lo tanto, en principio, estos ficheros no estarían sujetos a las medidas de seguridad de nivel medio.
2. **Medidas de seguridad para ficheros de ensayos clínicos**: La entidad consultante es encargada del tratamiento de ficheros relacionados con ensayos clínicos, que incluyen datos clínicos, patológicos o radiológicos de seguimiento de pacientes, aunque estos datos no están identificados de forma personal. El informe analiza si estos datos están sujetos a la normativa de protección de datos. Según la Ley Orgánica 15/1999, los datos de carácter personal incluyen cualquier información que permita identificar a una persona, directa o indirectamente. La Ley 14/2007 de Investigación Biomédica define diferentes tipos de muestras biológicas, distinguiendo entre muestras irreversiblemente anonimizadas, muestras no identificables y muestras codificadas o reversiblemente disociadas. Solo las muestras codificadas o reversiblemente disociadas estarían sujetas a la Ley Orgánica 15/1999, ya que permiten la identificación del sujeto a través de un código.
El informe concluye que, si los datos de seguimiento del ensayo están asociados a un código que permita la identificación del sujeto, el fichero está sujeto a la Ley Orgánica 15/1999 y debe implantar medidas de seguridad de nivel alto, ya que contiene datos relacionados con la salud de las personas. Estos datos, según el artículo 5.1 g) del Reglamento, incluyen información sobre la salud pasada, presente y futura, física o mental, de un individuo.
En resumen, el informe establece que los ficheros de empleados, clientes, candidatos e investigadores no necesariamente requieren medidas de seguridad de nivel medio, a menos que contengan datos que permitan evaluar aspectos de la personalidad o el comportamiento. Por otro lado, los ficheros de ensayos clínicos que contengan datos codificados o reversiblemente disociados deben implantar medidas de seguridad de nivel alto debido a la sensibilidad de los datos de salud.