El informe jurídico 0574-2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre el nivel de seguridad aplicable a un fichero de personal que contiene copias de comunicaciones realizadas a la Administración, específicamente en relación con accidentes de trabajo. Este fichero se rige por la Orden del Ministerio de Trabajo y Asuntos Sociales de 16 de diciembre de 1987, que establece un formulario para describir las lesiones sufridas por los trabajadores.
El artículo 81.3 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal establece que las medidas de seguridad de nivel alto deben aplicarse a ficheros que contengan datos sensibles, como los relativos a la salud. Sin embargo, el artículo 81.6 del mismo reglamento permite la aplicación de medidas de seguridad de nivel básico en ciertos casos específicos, como aquellos que contienen datos relativos al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez.
La AEPD ha analizado el alcance de esta excepción en un informe del 1 de julio de 2008, concluyendo que las medidas de seguridad de nivel básico son aplicables únicamente a ficheros que contengan datos específicos, como la mera indicación del grado de minusvalía, la aptitud del trabajador según la Ley de Prevención de Riesgos Laborales, o la existencia de enfermedad común, profesional o accidente laboral. Sin embargo, si el fichero incluye datos más detallados sobre la salud del trabajador, como la descripción de la lesión o la enfermedad concreta, se deben aplicar las medidas de seguridad de nivel alto.
La Orden del Ministerio de Trabajo y Seguridad Social de 16 de diciembre de 1987, modificada por la Orden Tas/2926/2002, establece el modelo para la notificación de accidentes de trabajo y especifica los datos asistenciales que deben incluirse, como la descripción de la lesión, el grado de la lesión, el tipo de asistencia sanitaria y la hospitalización. Según la AEPD, la inclusión de estos datos detallados sobre la salud del trabajador implica que el fichero debe cumplir con las medidas de seguridad de nivel alto, ya que no se limita a señalar simplemente la existencia de una enfermedad o accidente, sino que proporciona información más específica sobre la salud del afectado.
En resumen, el informe jurídico 0574-2008 concluye que, debido a la naturaleza detallada de los datos de salud incluidos en el fichero de personal, se deben aplicar las medidas de seguridad de nivel alto para garantizar la protección adecuada de los datos personales de los trabajadores.