El nivel de seguridad viene impuesto por la clase de datos personales que está tratando en el fichero y puede ser básico, medio o alto. El reglamento de desarrollo de la LOPD fija tres niveles de seguridad atendiendo a la naturaleza de la información.

NIVEL ALTO: Ficheros o tratamientos que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

Que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

Que contengan datos derivados de acto de violencia de género.

NIVEL MEDIO: Ficheros o tratamientos relativos a la comisión de infracciones administrativas o penales.

Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.

Aquellos de los que sean responsables las Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias.

Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias y aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

Aquellos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los de localización. Estos ficheros aplicarán además lo previsto en el artículo 103 RDLOPD respecto del registro de accesos.

Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

NIVEL BÁSICO: para todos los ficheros que contengan datos de carácter personal.

En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual será suficiente la implantación de las medidas de seguridad de nivel básico cuando:

Los datos se utilicen como única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

Se trate de ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

En la web de la Agencia se puede encontrar un cuadro resumen completo de las medidas reglamentarias y una guía al documento de seguridad.