El Título VIII del Reglamento que desarrolla las medidas de seguridad en el tratamiento de datos de carácter personal, tiene por objeto establecer las medidas de índole técnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal.
Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales se clasifican en tres niveles: BÁSICO, MEDIO y ALTO.
BÁSICO
Todos los ficheros o tratamiento de datos de carácter personal deberán aplicar las medidas de nivel básico, se estable que un Fichero es de nivel Básico de seguridad, cuando los datos que incorpora son identificativos, de circunstancias sociales y profesionales, detalles de empleo.
MEDIO
Ficheros o tratamientos con datos:
Relativos a la comisión de infracciones administrativas o penales; que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias; de Entidades Financieras para las finalidades relacionadas con la prestación de servicios financieros; de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias; de Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social; que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización.
ALTO
Ficheros o tratamientos con datos:
De ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y de prevención de blanqueo de capitales, respecto de los que no se prevea la posibilidad de adoptar el nivel básico; recabados con fines policiales sin consentimiento de las personas afectadas; y derivados de actos de violencia de género.
Se considerarán nivel alto, aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:
los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros; se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero, y en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.