El Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD (en adelante RLOPD), incluye como novedad, no contemplada anteriormente ni en la LOPD ni el derogado RMS, una referencia a las obligaciones que deben cumplir los productos de software.
Concretamente, la Disposición adicional única del RLOPD establece que: “Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento.”
Por tanto, todas aquellas aplicaciones utilizadas para el tratamiento de datos de carácter personal, deberán cumplir las medidas de seguridad contenidas en el Reglamento en función del tipo de datos que en ellas se traten.
Los encargados de desarrollar estas herramientas deberán identificar el tipo de datos que en ellas se van a almacenar con el objeto de poder establecer y determinar las medidas de seguridad que será necesario aplicar (de nivel básico, medio y/o alto). Para ello es recomendable contar con el asesoramiento de especialistas en la materia que puedan indicarles cuales las medidas de seguridad legalmente establecidas que deben aplicar en cada caso. Una vez identificado el tipo de datos, la aplicación en si misma deberá cumplir con las medidas establecidas para ese determinado nivel. (Ej: Si una aplicación almacena datos de salud, violencia de género, etc, ésta deberá cumplir con las obligaciones previstas para ese nivel, que es el nivel alto, y así deberá hacerse en cada caso con cada uno de los niveles establecidos por la normativa, recordando que éstos se aplican de forma acumulativa.)
Es importante que las entidades responsables de esos datos comprueben a la hora de adquirir un determinado software, que éste tiene el nivel de seguridad exigible en concordancia con los datos que se van a almacenar en él. Una entidad que maneja únicamente datos considerados de nivel básico como puede ser un nombre, un dni, una dirección, un teléfono, etc no necesita que su software esté dotado de una medidas correspondientes a unos niveles superiores. Para facilitar esta identificación los desarrolladores del software tiene que añadir a la descripción técnica del mismo cual es el nivel de seguridad que ese producto ofrece.
Departamento de Comunicación
Áudea Seguridad de la Información
www.audea.com