Con la entrada en vigor del RDLOPD el pasado mes de abril, se realizaron una serie de “reformas” en el RMS con el fin de mejorar y “aclarar” ciertos aspectos que el RMS no contemplaba, o bien, dejaba muy abiertos a múltiples interpretaciones. Tratándose de un Real Decreto, no es comprensible que muchas ocasiones un mismo artículo pudiera significar tantas cosas, dependiendo de para donde sople el viento.
El caso es que el RDLOPD, creo que sin mala intención sino más bien todo lo contrario, nos ha aclarado ciertas cosas, pero otras se han vuelto a quedar en el tintero e, incluso, han surgido nuevas dudas debido a modificaciones efectuadas respecto al RMS. Un ejemplo es la intención de considerar la aplicación de medidas de seguridad de nivel básico en ciertos ficheros con datos de salud. Me refiero al fichero habitualmente llamado “PERSONAL”, “GESTIÓN DE NÓMINAS”, “RRHH” o como queramos llamarle. Es decir, aquel que contiene datos de trabajadores para realizar la gestión de personal y cálculo de las nóminas.
Con el RDLOPD, este fichero que suele contener el grado de minusvalía pasaría a un nivel básico de protección, lo que se puede interpretar como una medida que ayude a las PYME a adaptarse a la LOPD de una manera más sencilla (ya que implica menos medidas de seguridad a implantar) y les genere un menor coste económico y funcional. Pero, teniendo en cuenta la resolución que les enlazo, ¿qué pasa con la aptitud de un trabajador a efectos de prevención de riesgos laborales o las obligaciones impuestas al empresario para indicar el motivo de una incapacidad laboral, datos incluidos en el mismo fichero? ¿Nivel alto o nivel básico? ¿Hoy básico, mañana alto y pasado ya veremos?
De momento, estos “bugs” están siendo solventados por la AEPD a base de dictámenes jurídicos, conferencias, etc., pero creo que la mejor opción hubiera sido incluirlo de manera clara y definitiva en el lugar donde debería figurar: el RDLOPD.