El Informe 0590/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre el nivel de medidas de seguridad aplicable a un fichero de datos que contiene currículums, pruebas psicotécnicas y de razonamiento para la selección de candidatos a puestos vacantes en una empresa. Este informe se basa en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en el Real Decreto 1720/2007, que aprueba el Reglamento de dicha Ley.
El Reglamento establece tres niveles de seguridad para los ficheros de datos: básico, medio y alto. Según el artículo 81 del Reglamento, todos los ficheros deben adoptar al menos las medidas de seguridad de nivel básico. Las medidas de nivel medio se aplican a ficheros que contienen datos sensibles o que permiten evaluar aspectos de la personalidad o el comportamiento de los individuos. Finalmente, las medidas de nivel alto se aplican a ficheros que contienen datos de ideología, afiliación sindical, religión, salud, vida sexual, o datos recabados para fines policiales sin consentimiento.
En el caso específico del fichero consultado, que contiene datos curriculares detallados, se considera que estos datos permiten deducir un perfil de estudios o de trabajador, lo que lo sitúa en el nivel medio de seguridad. Además, si el fichero incluye resultados de pruebas psicotécnicas o psicológicas que revelen el perfil psicológico de los afectados, especialmente si se refieren a anomalías o especialidades de la personalidad, se considera que contiene datos relacionados con la salud. En este caso, se aplicaría el nivel alto de seguridad, además de los niveles básico y medio.
El informe concluye que el fichero en cuestión debe adoptar al menos las medidas de seguridad de nivel medio, y si incluye datos de salud, también las de nivel alto. Esto se debe a la necesidad de garantizar la confidencialidad y la integridad de la información tratada, independientemente de la finalidad del tratamiento de los datos personales.