El Informe 0487/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre el nivel de medidas de seguridad que debe implementar una entidad para los tratamientos y ficheros que incorporan datos de usuarios que navegan por sus páginas web. Estos datos se utilizan para obtener perfiles de consumidores o compradores con fines publicitarios y comerciales, en conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007.
El Reglamento de desarrollo de la LOPD clasifica las medidas de seguridad en tres niveles: básico, medio y alto. Estas medidas son acumulativas, lo que significa que las medidas de un nivel superior incluyen las del nivel inferior. El artículo 81 del Reglamento especifica cuándo se deben aplicar cada uno de estos niveles:
1. **Nivel Básico**: Aplicable a todos los ficheros o tratamientos de datos de carácter personal.
2. **Nivel Medio**: Además de las medidas básicas, se aplican a ficheros relacionados con:
– Administraciones tributarias y sus potestades.
– Infracciones administrativas o penales.
– Servicios financieros.
– Entidades gestoras de la Seguridad Social.
– Ficheros que permitan evaluar aspectos de la personalidad o comportamiento de los ciudadanos, como perfiles de consumo, aficiones, hábitos de compra, etc.
3. **Nivel Alto**: Además de las medidas básicas y medias, se aplican a ficheros que contengan datos sensibles como ideología, afiliación sindical, religión, salud, vida sexual, datos policiales, y datos derivados de actos de violencia.
En el caso específico de la consulta, la AEPD determina que los ficheros que contienen datos sobre gustos y aficiones de los usuarios, permitiendo deducir un perfil de los mismos, deben adoptar medidas de seguridad de nivel medio, además de las básicas. Esto se debe a que estos ficheros permiten obtener información adicional sobre los afectados, como su situación económica, familiar, aficiones y hábitos de compra.
Sin embargo, si los ficheros contuvieran datos referentes al perfil psicológico de los afectados o hicieran referencia a anomalías o especialidades de la personalidad, se considerarían datos relacionados con la salud, y en ese caso, se deberían aplicar medidas de seguridad de nivel alto, además de las básicas y medias.
En resumen, la AEPD establece que para los tratamientos de datos que permiten crear perfiles de consumidores basados en gustos y aficiones, se deben implementar medidas de seguridad de nivel medio, acumulativas a las de nivel básico. Si los datos incluyen información sensible sobre la salud o el perfil psicológico, se deben aplicar medidas de nivel alto, además de las básicas y medias.