El reglamento de desarrollo de la LOPD fija tres niveles de seguridad atendiendo a la naturaleza de la información, dependiendo de la necesidad de garantizar la confidencialidad,integridad y sensibilidad de los datos personales. Esto es independiente de la finalidad del tratamiento de los datos personales.
Los niveles de seguridad son acumulativos de modo que un fichero de nivel alto deberá aplicar también las medidas previstas en los niveles básico y medio.
NIVEL ALTO: Ficheros o tratamientos que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
Que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
Que contengan datos derivados de actos de violencia de género.
NIVEL MEDIO: Ficheros o tratamientos relativos a la comisión de infracciones administrativas o penales.
Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.
Aquellos de los que sean responsables las Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias.
Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias, y aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
Aquellos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los de localización. Estos ficheros aplicarán además lo previsto en el artículo 103 RDLOPD respecto del registro de accesos.
Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
NIVEL BÁSICO: Para todos los ficheros que contengan datos de carácter personal.
En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual será suficiente la implantación de las medidas de seguridad de nivel básico cuando:
Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.
Se trate de ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
¿Debe mi empresa cumplir con la ley de protección de datos?
[…] Niveles de seguridad para proteger datos personales […]