El Informe 0623/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda varias cuestiones relacionadas con las medidas de seguridad que deben adoptarse en distintos ficheros para cumplir con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, el Real Decreto 1720/2007.
El informe se centra en tres tipos de ficheros: nóminas, currículums y resultados radiológicos. Para el fichero de nóminas, el artículo 81.6 del Real Decreto 1720/2007 permite la aplicación de medidas de seguridad de nivel básico en aquellos ficheros que contengan datos relativos a la salud, como el grado de discapacidad o la condición de invalidez, siempre que estos datos se utilicen para cumplir con deberes públicos. Sin embargo, si el fichero incluye información más detallada sobre la salud de los empleados, como resultados de acciones de vigilancia de la salud o datos específicos sobre enfermedades o accidentes, se deben implantar medidas de seguridad de nivel alto.
En cuanto a los ficheros que contienen currículums y copias de las titulaciones de los empleados, el informe señala que deben adoptarse medidas de seguridad de nivel medio. Esto se debe a que estos ficheros contienen datos que permiten evaluar aspectos de la personalidad o el comportamiento de los individuos, como hábitos, preferencias y actividades, lo cual se enmarca en el artículo 81.2 f) del Reglamento.
Por último, respecto a los ficheros que contienen resultados radiológicos de los trabajadores, el informe establece que deben adoptarse medidas de seguridad de nivel alto. Esto se debe a que estos datos están directamente relacionados con la salud de las personas, y el artículo 81.3 del Reglamento exige medidas de nivel alto para datos de salud.
El informe también aborda la información que debe constar en el documento de seguridad, según el artículo 88 del Reglamento. Este documento debe ser detallado y específico, incluyendo el ámbito de aplicación, la estructura de los ficheros y la descripción de los sistemas de información que los tratan. Además, debe concretarse el tipo de datos que componen los ficheros.
En resumen, el Informe 0623/2009 de la AEPD proporciona una guía clara sobre las medidas de seguridad que deben adoptarse en diferentes tipos de ficheros para cumplir con la legislación de protección de datos en España, destacando la importancia de adaptar las medidas de seguridad al nivel de sensibilidad de los datos tratados.