El Informe 0572/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre el nivel de medidas de seguridad que deben aplicarse a un fichero que contiene diversos datos personales de alumnos, incluyendo información identificativa, edad, sexo, nacionalidad, titulaciones, historial académico, formación, seguimiento y calificaciones académicas, y evaluación del nivel académico.
El informe se basa en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. Este reglamento establece tres niveles de medidas de seguridad (básico, medio y alto) que deben aplicarse en función de la naturaleza de los datos tratados. Las medidas de seguridad son acumulativas, lo que significa que las establecidas para cada nivel incluyen las previstas para los niveles inferiores.
El artículo 81 del reglamento especifica las condiciones bajo las cuales se deben aplicar los diferentes niveles de seguridad:
1. **Nivel básico**: Se aplica a todos los ficheros o tratamientos de datos de carácter personal.
2. **Nivel medio**: Además del nivel básico, se aplica a ficheros que contienen datos sensibles como infracciones administrativas o penales, datos de Administraciones tributarias, entidades financieras, Entidades Gestoras y Servicios Comunes de la Seguridad Social, y aquellos que permitan evaluar aspectos de la personalidad o del comportamiento de los ciudadanos.
3. **Nivel alto**: Además de los niveles básico y medio, se aplica a ficheros que contienen datos de ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, datos policiales sin consentimiento, y datos derivados de actos de violencia de género.
En el caso consultado, el fichero contiene datos que permiten deducir un perfil académico y curricular de los alumnos, lo que se considera que permite evaluar determinados aspectos de la personalidad o del comportamiento. Por lo tanto, el nivel de medidas de seguridad aplicable es el medio, además de las medidas de nivel básico.
Sin embargo, si el fichero incluyera datos referentes al perfil psicológico de los afectados o a la existencia de anomalías o especialidades de la personalidad, se consideraría que contiene datos relacionados con la salud, y en ese caso, se deberían aplicar las medidas de seguridad de nivel alto, además de las de nivel básico y medio.
En resumen, el informe concluye que el fichero en cuestión debe adoptar las medidas de seguridad de nivel medio, además de las de nivel básico, debido a la naturaleza de los datos que contiene y la posibilidad de deducir perfiles académicos y curriculares de los alumnos.