¿Qué nivel de seguridad le damos al fichero de personal de la empresa?

¿Es posible que en el fichero de personal de nuestra empresa se recojan datos personales de salud?, y ¿por qué se pueden declarar aplicadas medidas de seguridad de nivel básico?

En el artículo 5.1. g. del Real Decreto 1720/2007 que desarrolla la Ley de Protección de Datos Personales, se recoge la definición de datos de salud:

“Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.”

De esta definición, entre otras conclusiones, se desprende que tener archivado o registrado en los sistemas de información un certificado  de minusvalía del empleado,  tiene la consideración de dato de carácter personal referente que recoge datos de salud. Al tratarse de un dato de salud, la regla general es que se debieran aplicar sobre esa información las medidas de nivel alto LOPD, pero amparándonos el artículo 81.6 del RD 1720/2007, que dispone:

“También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos”.

Por lo tanto, en interpretación de dicho artículo se aplicarán medidas de nivel básico en la mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas. Igualmente se aplicará esta interpretación en la indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales. Lo mismo ocurre con los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

En Maser Legal somos expertos en protección de datos para empresas. Si todavía tienes dudas acerca de este reglamento, no dudes en contactar con nosotros.

Otros artículos que pueden interesarte sobre LOPD para empresas

• Pequeña empresa y nuevo reglamento de protección de datos
• Organizar y preparar tu empresa para el nuevo reglamento LOPD
• ¿Están seguros tus datos personales? El 80% de los USB  de empresa no están cifrados
• Nuevo reglamento: las empresas españolas deben contratar a un especialista en protección de datos
• La seguridad digital de las empresas se somete a examen
• SMiD, la nueva empresa emergente para asegurar tus datos en la nube
• RGPD, una nueva ocasión para modernizar la empresa
• Dudas de empresas y negocios sobre RGPD
• La importancia de proteger la información de tu empresa en el teletrabajo