Las misteriosas (y socorridas) previsiones del art.81 del Reglamento de la LOPD. (PARTE 2)

Hola de nuevo!

Tras unos días de vacaciones por la Bretaña Francesa (zona que recomiendo encarecidamente visitar por su belleza y la amabilidad extrema de su gente), retomo el blog con la segunda parte de las previsiones en materia de niveles de seguridad que recoge el art.81 del Reglamento de la LOPD. En el post anterior hablábamos del salvavidas que contiene el citado artículo en relación a datos muy sensibles que, aunque a priori tod@s pensaríamos que son de Nivel Alto, el propio Reglamento acepta aplicar las de Nivel Básico. Pues bien, vista la previsión del apartado 5 del artículo, vamos a ver la que contiene el punto 6, la cual alude a datos de salud muy específicos que, aunque parezca que no, son tratados con más frecuencia de la que pensamos.

El art.81.6 del Reglamento establece lo siguiente:

6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Así, el propio artículo da una clarísima pauta para aplicar las medidas de Nivel Básico cuando tratemos datos de este tipo: que el motivo sea cumplir con un deber público. Este pequeño matiz hace que queden fuera del salvavidas las situaciones en las que se efectúen tratamientos sobre este tipo de datos sin que haya ningún deber público por medio (por ejemplo, si alguna entidad hiciera un listado de personas con discapacidad y tipo para ofrecerles algún tipo de servicio). Además, también nos dice de forma taxativa el propio apartado 6 los tipos de datos a los que incluye en esta previsión: los "referentes exclusivamente al grado de discapacidad o simple declaración de la condición de discapacidad o invalidez del afectado"; por lo que todo dato referente a la salud que no encaje específicamente ahí, se queda sin salvavidas y deberá serle aplicado el Nivel Alto sin excusas.

Un ejemplo de aplicación del Nivel Básico de las medidas de seguridad acogiéndonos a la previsión de este art.81.6 sería el que pueda hacer una gestoría sobre el porcentaje de discapacidad de una persona para calcular las retenciones aplicables para el IRPF. En este caso, la propia AEPD contempla que la gestoría se agarre al salvavidas del que estamos hablando. Si la gestoría además del propio porcentaje de discapacidad recoge más datos sobre la misma (por ejemplo, si especifica el tipo de discapacidad), quedaría fuera del salvavidas y debería aplicar las medidas de Nivel Alto. En el Informe Jurídico (0179/2008) podéis encontrar una clarísima explicación junto con otros ejemplos de aplicación realmente interesantes.

Pero no sólo tenemos este Informe para verlo más claro; dentro de la web de la AEPD tenemos muchos más para terminar de entender los alcances de estas previsiones de las que hemos hablado en estos dos posts:

- Informe 0175/2010, que habla sobre el caso de una empresa que imparte cursos de formación a trabajadores de otras empresas. Otro informe de este tipo sería el 0602/2008.

- Informe 0511/2009, que toca varios palos: desde la asesoría fiscal a clientes personas físicas hasta la gestión de los recursos humanos de otras empresas.  

- Informe 0475/2009, que habla de las medidas de seguridad a aplicar sobre ficheros con datos de discapacidad en el caso de la impartición de cursos de formación cofinanciados por el Fondo Social Europeo. Este es especialmente interesante para ONGs.

Como véis, hay muchos recursos disponibles para resolver las dudas que puedan surgirnos en torno a esta previsión escondida. Siempre es una buena idea bucear en la web de la AEPD.

Y hasta aquí llega el post de hoy; un saludo y hasta la próxima!