El Informe 0008/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda las medidas de seguridad que debe implementar una entidad responsable de un fichero de «Empleados», que incluye datos como el número de Seguridad Social, conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, el Real Decreto 1720/2007.
La LOPD establece en su artículo 9 que el responsable del fichero debe adoptar medidas técnicas y organizativas para garantizar la seguridad de los datos personales, evitando su alteración, pérdida, tratamiento o acceso no autorizado. El Reglamento desarrolla estas medidas en su Título VIII, especificando que deben ser adecuadas al tipo de datos y a la finalidad del fichero.
El artículo 80 del Reglamento clasifica las medidas de seguridad en tres niveles: básico, medio y alto. Según el artículo 81, todos los ficheros deben adoptar al menos las medidas de nivel básico. En el caso del fichero de empleados, que contiene datos como nombre, apellidos, DNI, dirección, datos bancarios, fecha de nacimiento, estado civil, nacionalidad y número de afiliación a la Seguridad Social, se considera suficiente la implantación del nivel de seguridad básico, siempre que no incluya datos especialmente protegidos (ideología, religión, salud, etc.) o datos recabados para fines policiales sin consentimiento.
El informe aclara que el hecho de incluir el número de afiliación a la Seguridad Social no implica la necesidad de medidas de nivel medio, ya que este dato no se considera especialmente protegido. Sin embargo, si el fichero contiene datos de salud o afiliación sindical, se deben aplicar medidas de nivel alto, salvo en casos específicos como el descuento de cuotas sindicales en nómina o la declaración de discapacidad para cumplir deberes públicos.
Además, el informe analiza si los datos curriculares (formación y experiencia profesional) requieren medidas de nivel medio. Aunque la consulta no proporciona detalles específicos, se sugiere que si los datos curriculares son muy detallados y permiten evaluar aspectos de la personalidad, podrían requerir medidas de nivel medio.
En resumen, el informe concluye que para un fichero de empleados que contiene datos básicos laborales y no incluye información especialmente protegida, es suficiente la implementación de medidas de seguridad de nivel básico. Sin embargo, la entidad debe revisar cuidadosamente el contenido del fichero para asegurarse de que no se incluyen datos que requieran un nivel de seguridad más alto.