El Informe 0136/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre el nivel de medidas de seguridad que deben aplicarse a ficheros o tratamientos que contengan información relacionada con la discapacidad, de acuerdo con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento, aprobado por el Real Decreto 1720/2007.
La consulta se refiere a un Sistema de Información de Ayuda a la Configuración del Puesto Accesible para Personas con Discapacidad (T-ORIENTA), que recopila información mediante pruebas para determinar las capacidades de los usuarios y generar recomendaciones de configuración. Estas configuraciones se asocian a un identificador de usuario, lo que permite inferir el tipo o grado de discapacidad del mismo.
El informe determina que, si el fichero contiene información referida a una persona discapacitada identificada o identificable, se trata de un fichero con datos de salud, considerados datos sensibles y especialmente protegidos. La LOPD define datos de carácter personal como cualquier información concerniente a personas físicas identificadas o identificables, y el Reglamento especifica que se consideran datos de salud las informaciones concernientes a la salud pasada, presente y futura de un individuo.
El Reglamento también define a una persona identificable como aquella cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. La Directiva 95/46/CE y la jurisprudencia han establecido que una persona es identificable si razonablemente y sin grandes esfuerzos se puede asociar los datos proporcionados a una determinada persona.
La finalidad del sistema T-ORIENTA es permitir a los usuarios de los Centros Guadalinfo adecuar el funcionamiento del equipo informático a sus necesidades específicas, especialmente a usuarios con alguna discapacidad. Cada configuración automática del fichero queda asociada a la cuenta o identificador de un usuario, y aunque dicha configuración no tiene datos referidos a una persona física, contiene parámetros e instrucciones que permitirían conocer el grado o tipo de discapacidad de un usuario. Por tanto, el fichero contiene datos de salud que pueden hacer identificable a una persona física con determinada discapacidad, aplicándose las medidas de seguridad del artículo 9 de la LOPD y el Título VIII del Reglamento.
El informe concluye que las medidas de seguridad exigibles al fichero descrito serán de nivel alto, según el artículo 81.3 del Reglamento, que establece que las medidas de nivel alto se aplican a los ficheros o tratamientos de datos de carácter personal que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Por lo tanto, si la consultante dispone o trata datos de salud, deberá adoptar medidas de seguridad de nivel alto, además de las de nivel medio y básico reguladas en los artículos 89 a 103 del Reglamento.