Tras la publicación del nuevo reglamento de desarrollo de la Ley Orgánica de Protección de datos de Carácter Personal, Real Decreto 1720/2007 de 21 de diciembre, han sido muchas las voces que ha dicho que los llamados ficheros nomina, es decir aquellos en los que se tratan los datos de los trabajadores, que hasta ahora en muchos casos se le venía aplicando medidas de seguridad de nivel alto, pues suelen contener datos de afiliación sindical, minusvalías y partes de baja y alta con datos de salud, deben aplicárseles ahora el nivel bajo, y ello porque a pesar de que el artículo 81.3 del citado Reglamento, establece que se debe aplicar el nivel alto a los datos de afiliación sindical y salud, este mismo artículo 81 en su puntos 5 y 6 dispone que bastará la implantación de las medidas de seguridad de nivel básico, cuando esos datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, o se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

Y así mismo también podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Sin embargo, hay que actuar con cautela porque en estos ficheros se suelen incluir los partes de alta y bajas.

A este respecto la Agencia Española de Protección de Datos ha emitido un reciente informe jurídico en el que establece que se requieren dos requisitos para aplicarla. Por un lado que se refiera a los datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, y por otro que la finalidad que justifica el tratamiento debe venir impuesta por la exigencia al responsable del cumplimiento de un deber público.

De esta forma, tras el análisis de estos dos requisitos en cada caso, concluye el informe que será de aplicación las medidas de seguridad de nivel básico a aquellos ficheros que contenga uno o varios de los siguientes datos:

-La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.

- La indicación del dato "apto" o "no apto" de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.

- Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

Fuera de estos supuestos, si el fichero en cuestión contiene cualquier otro dato relacionado con los resultados de las acciones de vigilancia de la salud, distinto del meramente referido a la aptitud del trabajador, o bien incorpora los datos relacionados con la concreta enfermedad o accidente padecido por el trabajador, deberán implantarse entonces las medidas de seguridad de nivel alto.

En este último punto es donde esta el escollo, pues la realidad es que en muchos partes de baja se expresa al enfermedad concreta que tiene el trabajador, o en otros casos se hace referencia a un número o código, que pudiera identificarse si tuviéramos acceso al significado de éstos, por lo tanto no siempre será posible aplicar medidas de seguridad de nivel básico a los ficheros de nómina.