Una de las claves fundamentales, sino la más importante puesto que de ella dependen muchas otras decisiones, a la hora de adaptar una empresa a la Ley Orgánica de Protección de Datos (LOPD) es la identificación del nivel de seguridad exigido a los ficheros de la entidad en cuestión.
El problema puede surgir cuando la empresa no mantiene un control absoluto sobre la información que recopila, y recibe de forma externa datos sin control, como pueden ser los que envíe un candidato a un empleo en su curriculum.
En el artículo 81.2 f) del reglamento de desarrollo de la LOPD se indica que han de aplicarse, entre otros tipos de datos, medidas de seguridad de nivel medio a:
Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
Ahí es dónde caerían informaciones como aficiones, gustos personales, etc, que no son raras en los curriculums. Esta tesis se reafirma en el Informe 2010/008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD), que en su párrafo final indica:
No obstante, si los datos curriculares que se incorporan al fichero contienen información muy detallada sobre el sujeto, por ejemplo, sus aficiones o un perfil de estudios muy concreto, el nivel de medidas de seguridad a implementar sería el medio.
En el caso de encontrarnos, como es el caso de muchas, ante una empresa cuyos ficheros son todos de nivel bajo, el mero hecho de captar curriculums sin control sobre la información que contengan le podría obligar a tener que implantar medidas de seguridad de nivel medio, incluyendo la auditoría cada dos años, con el consiguiente sobre costo innecesario.
La mejor solución: implanta un formulario para candidatos, es decir, tomar el control sobre cuál es exactamente la información que se recopila y sobre la que se aplica el tratamiento, seleccionando aquellos datos que realmente son de nuestro interés y manteniendo la precaución de que ninguno nos obligue a subir el nivel de seguridad de nuestros ficheros.