El Informe 0475/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la posibilidad de aplicar medidas de seguridad de nivel básico a un tratamiento de datos de discapacidad de alumnos que participan en cursos de formación cofinanciados por el Fondo Social Europeo. Este análisis se realiza en el contexto de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007.
El informe destaca dos consideraciones específicas del Reglamento respecto a los datos relacionados con el porcentaje de minusvalía. En primer lugar, estos datos se consideran datos de salud, según la definición del artículo 5.1 g) del Reglamento. En segundo lugar, el artículo 81.6 del Reglamento establece una excepción a la exigencia general de implantar medidas de seguridad de nivel alto para ficheros que contengan datos de salud. Esta excepción permite la implantación de medidas de seguridad de nivel básico en ficheros que contengan datos relativos al grado de discapacidad o la simple declaración de la condición de discapacidad, siempre que sea con motivo del cumplimiento de deberes públicos.
El informe analiza un caso específico en el que una entidad recoge datos de discapacidad para el cumplimiento de obligaciones legales, como la participación en planes de formación subvencionados. En este contexto, se concluye que, aunque la entidad no recoge los datos para cumplir una obligación legal propia, sí lo hace con ocasión del cumplimiento por parte del afectado de su obligación de declarar. Por lo tanto, se considera que la excepción del artículo 81.6 del Reglamento es aplicable, permitiendo la implantación de medidas de seguridad de nivel básico.
Además, el informe hace referencia a la Resolución de 7 de noviembre de 2008 del Servicio Público de Empleo Estatal, que regula la participación en planes de formación y establece criterios de prioridad para la selección de trabajadores, entre los cuales se incluye la condición de discapacidad. Esto refuerza la idea de que el tratamiento de datos de discapacidad por parte de la entidad consultante se realiza en cumplimiento de obligaciones legales, justificando la aplicación de medidas de seguridad de nivel básico.
En resumen, el informe concluye que, siempre que el fichero contenga únicamente datos relacionados con el porcentaje de minusvalía y la finalidad del tratamiento sea el cumplimiento de un deber público, es posible implantar medidas de seguridad de nivel básico. Esta conclusión se basa en la interpretación del artículo 81.6 del Real Decreto 1720/2007 y en la normativa específica que regula la participación en planes de formación subvencionados.