El Informe 0519/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de medidas de seguridad de nivel básico a un tratamiento de datos de discapacidad de alumnos que participan en cursos de formación cofinanciados por el Fondo Social Europeo. Este informe se enmarca en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007.
El Reglamento establece dos consideraciones específicas sobre los datos relacionados con el porcentaje de minusvalía. En primer lugar, estos datos se consideran datos de salud, según la definición del artículo 5.1 g) del Reglamento. En segundo lugar, el artículo 81.6 del Reglamento permite la implantación de medidas de seguridad de nivel básico en ficheros que contengan datos de salud referentes exclusivamente al grado de discapacidad o a la simple declaración de la condición de discapacidad, siempre que sea con motivo del cumplimiento de deberes públicos.
El informe analiza un caso específico en el que una entidad realiza asesoramiento fiscal y trata datos de discapacidad de los afectados para que estos cumplan con sus obligaciones legales, como la declaración en el impuesto sobre la renta de las personas físicas. Aunque la entidad no recoge los datos para cumplir una obligación legal propia, sí lo hace con ocasión del cumplimiento por parte del afectado de dicha obligación. Por lo tanto, se considera que la excepción del artículo 81.6 es aplicable, permitiendo la implantación de medidas de seguridad de nivel básico.
En respuesta concreta al caso planteado, el informe se refiere a la Resolución de 7 de noviembre de 2008 del Servicio Público de Empleo Estatal, que regula la participación en planes de formación y establece prioridades para ciertos colectivos, incluyendo a personas con discapacidad. Las entidades que imparten estos cursos deben seleccionar a los participantes atendiendo a estos criterios de prioridad, lo que implica que el tratamiento del dato de discapacidad se realiza en cumplimiento de obligaciones legales.
Por lo tanto, el informe concluye que, siempre que el fichero contenga únicamente datos relacionados con el porcentaje de minusvalía y la finalidad del tratamiento sea el cumplimiento de un deber público, será posible la implantación de medidas de seguridad de nivel básico. Esta conclusión se basa en la interpretación del artículo 81.6 del Real Decreto 1720/2007, que permite esta excepción en casos específicos de cumplimiento de deberes públicos.