El Informe 0410/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda el nivel de seguridad que debe aplicarse a un fichero que contiene los ejemplares de las tarjetas de implantación de productos sanitarios, conforme al artículo 33 del Real Decreto 1591/2009. Este informe se basa en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por el Real Decreto 1720/2007.
El Reglamento clasifica las medidas de seguridad en tres niveles: básico, medio y alto, dependiendo de la naturaleza de los datos tratados. El artículo 81 del Reglamento establece que todos los ficheros deben adoptar medidas de seguridad de nivel básico. Además, se deben implementar medidas de nivel medio en ficheros que contengan datos sensibles, como los relativos a infracciones administrativas o penales, datos tributarios, financieros, de seguridad social, y aquellos que permitan evaluar aspectos de la personalidad o el comportamiento de los individuos.
Las medidas de nivel alto se aplican a ficheros que contengan datos de ideología, afiliación sindical, religión, origen racial, salud, vida sexual, datos policiales sin consentimiento, y datos derivados de actos de violencia de género. Según la Memoria Explicativa del Convenio 108 del Consejo de Europa y la Recomendación nº R (97) 5, los datos de salud incluyen informaciones sobre la salud pasada, presente y futura, física o mental, así como datos genéticos y relacionados con el abuso de sustancias.
El artículo 33 del Real Decreto 1591/2009 establece que las tarjetas de implantación deben incluir datos como el nombre y modelo del producto, número de lote o serie, nombre y dirección del fabricante, nombre del centro sanitario, fecha de la implantación, y la identificación del paciente. Uno de los ejemplares de la tarjeta se archiva en la historia clínica del paciente, otro se facilita al paciente, y el tercero se remite a la empresa suministradora y, en su caso, al registro nacional de implantes.
Dado que el fichero contiene datos relacionados con la salud de las personas, identificadas mediante su DNI o pasaporte, se considera que estos datos están sujetos a medidas de seguridad de nivel alto, conforme al artículo 81.3 del Reglamento. Las medidas de seguridad tienen un carácter acumulativo, lo que significa que las establecidas para cada nivel incluyen las previstas para los niveles inferiores.