BAQUIA

Los productos de software bajo el nuevo reglamento de la LOPD

El Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (en adelante RLOPD) incluye como novedad, no contemplada anteriormente ni en la LOPD ni el derogado RMS, una referencia a las obligaciones que deben cumplir los productos de software.

Concretamente, la Disposición adicional única del RLOPD establece que “Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento.”

Por tanto, todas aquellas aplicaciones utilizadas para el tratamiento de datos de carácter personal deberán cumplir las medidas de seguridad contenidas en el Reglamento en función del tipo de datos que en ellas se traten.

Los encargados de desarrollar estas herramientas deberán identificar el tipo de datos que van a almacenar en ellas, con el objeto de poder establecer y determinar las medidas de seguridad que será necesario aplicar (de nivel básico, medio y/o alto). Para ello es recomendable contar con el asesoramiento de especialistas en la materia que puedan indicarles cuáles son las medidas de seguridad legalmente establecidas que deben aplicar en cada caso.

Una vez identificado el tipo de datos, la aplicación en si misma deberá cumplir con las medidas establecidas para ese determinado nivel. Por ejemplo, si una aplicación almacena datos de salud, violencia de género, etc., deberá cumplir con las obligaciones previstas para ese nivel, que es el nivel alto, y así deberá hacerse en cada caso con cada uno de los niveles establecidos por la normativa, recordando que éstos se aplican de forma acumulativa.

Es importante que las entidades responsables de esos datos comprueben a la hora de adquirir un determinado software que éste cumple con el nivel de seguridad exigible en concordancia con los datos que se van a almacenar en él.

Una entidad que maneja únicamente datos considerados de nivel básico (como puede ser un nombre, un DNI, una dirección, un teléfono, etc.) no necesita que su software esté dotado de medidas correspondientes a niveles superiores. Para facilitar esta identificación, los desarrolladores del software tienen que añadir a la descripción técnica del mismo cual es el nivel de seguridad que ese producto ofrece.


Compartir en :


Noticias relacionadas




Comentarios