El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 0060/2016 aborda las medidas de seguridad que deben adoptarse en los ficheros que contienen certificados negativos de delitos sexuales, requeridos por las empresas a sus empleados que trabajan con menores. El consultante cuestiona la necesidad de adoptar medidas de seguridad de nivel medio, argumentando que estos certificados son siempre negativos y se solicitan por imperativo legal.
El informe comienza recordando que los datos relativos a antecedentes penales son considerados datos sensibles, según el Convenio nº 108 del Consejo de Europa y la Directiva 95/46 CE. La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal también clasifica estos datos como especialmente protegidos, permitiendo su tratamiento solo bajo ciertas garantías y control público.
La AEPD subraya que solo los poderes públicos pueden ser titulares de ficheros que contengan datos sobre condenas penales, y que no es legalmente posible exigir a los candidatos a un puesto de trabajo un certificado de antecedentes penales, salvo en supuestos excepcionales autorizados por ley. Un ejemplo de esto es el artículo 13.5 de la Ley Orgánica 1/1996, que exige un certificado negativo del Registro Central de delincuentes sexuales para quienes trabajen con menores.
El Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, clasifica las medidas de seguridad en tres niveles: básico, medio y alto. Los ficheros que contienen datos sobre la comisión de infracciones administrativas o penales deben adoptar medidas de nivel medio, según el artículo 81.2.a) del Reglamento.
Sin embargo, la AEPD considera que, en el caso de certificados negativos específicos de delitos sexuales, no es necesario aplicar medidas de nivel medio, siempre que el fichero contenga únicamente estas certificaciones negativas. Esto se debe a que, aunque estos datos son especialmente protegidos, su carácter negativo no implica el mismo nivel de riesgo que otros datos relativos a la comisión de delitos.
El informe también menciona que, hasta la entrada en funcionamiento del Registro Central de delincuentes sexuales, los certificados emitidos por el Registro Central de Antecedentes Penales podían contener datos sobre cualquier delito, requiriendo medidas de seguridad de nivel medio. No obstante, con la entrada en vigor del nuevo registro, esta exigencia se limita a certificados negativos específicos, lo que permite una interpretación más flexible en cuanto a las medidas de seguridad.
En conclusión, la AEPD determina que, en el caso de ficheros que contengan únicamente certificados negativos de delitos sexuales, no es exigible aumentar el nivel de medidas de seguridad por este motivo. Sin embargo, si una ley habilitara al empleador a requerir un certificado de antecedentes penales más amplio, se deberían aplicar medidas de seguridad de nivel medio. Además, se puede utilizar la segregación de datos para aplicar diferentes niveles de seguridad dentro del mismo sistema de información, según lo establecido en el artículo 81.8 del Reglamento.