El Informe 0382/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta de una Asociación sin ánimo de lucro, seleccionada como «grupo de acción local» para gestionar ayudas del programa LEADER, sobre la naturaleza de un fichero que contiene datos de los perceptores de subvenciones y el nivel de medidas de seguridad aplicable.
### Naturaleza del Fichero
El informe distingue entre ficheros de titularidad pública y privada. Según el Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, los ficheros de titularidad pública son aquellos gestionados por órganos constitucionales, administraciones públicas y entidades vinculadas a ellas. En contraste, los ficheros de titularidad privada son aquellos gestionados por personas, empresas o entidades de derecho privado, salvo que estén vinculados al ejercicio de potestades de derecho público.
En este caso, la asociación consultante es una entidad privada regida por el derecho civil, por lo que sus ficheros se consideran de titularidad privada.
### Medidas de Seguridad
El Reglamento clasifica las medidas de seguridad en tres niveles: básico, medio y alto. El nivel aplicable depende de la naturaleza de los datos tratados. Las medidas de seguridad son acumulativas, es decir, las de un nivel superior incluyen las del nivel inferior.
– **Nivel básico**: Aplicable a todos los ficheros de datos personales.
– **Nivel medio**: Aplicable a ficheros que contienen datos sobre infracciones administrativas o penales, datos financieros, y aquellos que permiten evaluar aspectos de la personalidad o comportamiento de los individuos.
– **Nivel alto**: Aplicable a ficheros que contienen datos especialmente protegidos, como ideología, religión, salud, vida sexual, y datos policiales sin consentimiento.
### Aplicación al Caso Concreto
La asociación recoge datos de minusvalía para delimitar el importe de las subvenciones. Según el Reglamento, estos datos se consideran especialmente protegidos y, por lo general, requieren medidas de seguridad de nivel alto. Sin embargo, el artículo 81.6 del Reglamento permite la aplicación de medidas de nivel básico si los datos se refieren exclusivamente al grado de discapacidad o a la declaración de la condición de discapacidad, en cumplimiento de deberes públicos.
El informe concluye que, si la normativa comunitaria o la Ley General de Subvenciones impone el deber de comprobar el cumplimiento de las condiciones para el otorgamiento de las subvenciones, se pueden aplicar medidas de nivel básico al fichero que contenga el dato relativo al grado de minusvalía.
### Consideraciones Adicionales
El informe también menciona que la asociación recogerá datos personales y económicos para verificar el cumplimiento de los requisitos del programa LEADER. Esto podría implicar la aplicación de medidas de seguridad de nivel medio, según la letra f del artículo 81.2 del Reglamento. Sin embargo, la falta de concreción en la consulta sobre los datos específicos a tratar impide una determinación clara del nivel de medidas de seguridad aplicable.
En resumen, el informe subraya la importancia de clasificar correctamente los ficheros y aplicar las medidas de seguridad adecuadas según la naturaleza de los datos tratados, destacando la necesidad de cumplir con la normativa vigente en materia de protección de datos.