El Título VIII del Real Decreto 1720/2007, de 21 de diciembre, regula las medidas de seguridad en el tratamiento de datos de carácter personal. El art. 79 dispone que "Los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en este Título, con independencia de cual sea su sistema de tratamiento". Además el art. 80 establece que "Las medidas de seguridad exigibles a los ficheros y tratamientos se clasificarn en tres niveles: básico, medio y alto".

El art. 81 regula la aplicación de los niveles de seguridad y distingue entre:

- Nivel alto: Ficheros o tratamientos de datos;

1) de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico.

2) recabados con fines policiales sin consentimiento de las personas afectadas.

3) derivados de actos de violencia de género.

- Nivel medio: Ficheros o tratamientos de datos;

1) relativos a la comisión de infracciones administrativas o penales.

2) que se rijan por el art. 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito).

3) de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias.

4) de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros.

5) de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias.

6) de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

7) que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas.

8) de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización.

- Nivel básico: Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:

1) los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros.

2) se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero.

3) ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.