El Informe 0651/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre el nivel de seguridad aplicable a un fichero que contiene datos personales de víctimas del terrorismo y sus familiares, incluyendo grabaciones de testimonios en formato vídeo y transcritos en papel. Este informe se enmarca en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007.
La Ley Orgánica 15/1999 define los datos de carácter personal como cualquier información concerniente a personas físicas identificadas o identificables. El Reglamento de desarrollo precisa que esto incluye información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo. Por lo tanto, las imágenes y voces recogidas en las grabaciones se consideran datos de carácter personal si permiten la identificación de las personas.
El informe destaca que el Reglamento no se aplica a los datos de personas fallecidas, pero sí se protegen los derechos al honor y a la intimidad de las personas fallecidas según la Ley Orgánica 1/1982. Para determinar las medidas de seguridad aplicables, se deben considerar las previsiones del Reglamento de desarrollo de la Ley Orgánica 15/1999, que clasifica las medidas de seguridad en tres niveles: básico, medio y alto.
El nivel básico es obligatorio para todos los ficheros o tratamientos de datos de carácter personal. El nivel medio se aplica a ficheros que contienen datos relativos a infracciones administrativas o penales, datos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, datos de Administraciones tributarias, entidades financieras, Entidades Gestoras y Servicios Comunes de la Seguridad Social, y datos que permitan evaluar aspectos de la personalidad o el comportamiento de los ciudadanos.
El nivel alto se aplica a ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, datos recabados para fines policiales sin consentimiento, y datos derivados de actos de violencia de género.
En el caso específico del fichero consultado, se debe analizar el contenido de las grabaciones para determinar si contienen datos que requieran medidas de seguridad de nivel medio o alto. Si es así, se aplicará el nivel correspondiente, aunque la finalidad del fichero no sea el tratamiento de esos datos. Para evitar extender medidas de seguridad de nivel medio o alto a todo el fichero, se puede segregar la información que requiera un nivel diferente, siempre que se puedan delimitar los datos afectados y los usuarios con acceso a los mismos.
Finalmente, el informe indica que el hecho de que el fichero tenga carácter mixto (almacenamiento en soportes automatizados y no automatizados) no influye en la determinación del nivel de medidas de seguridad, aunque sí en las concretas medidas aplicables a cada tipo de soporte.