martes, 26 de enero de 2010

El reglamento de la LOPD marca nuevos requisitos de Seguridad para las aplicaciones

El Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (en adelante RLOPD) incluye como novedad, no contemplada anteriormente ni en la LOPD ni el derogado RMS, una referencia a las obligaciones que deben cumplir los productos de software.

Concretamente, la Disposición adicional única del RLOPD establece que “Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento.”

Por tanto, todas aquellas aplicaciones utilizadas para el tratamiento de datos de carácter personal deberán cumplir las medidas de seguridad contenidas en el Reglamento en función del tipo de datos que en ellas se traten.

Los encargados de desarrollar estas herramientas deberán identificar el tipo de datos que van a almacenar en ellas, con el objeto de poder establecer y determinar las medidas de seguridad que será necesario aplicar (de nivel básico, medio y/o alto). Para ello es recomendable contar con el asesoramiento de especialistas en la materia que puedan indicarles cuáles son las medidas de seguridad legalmente establecidas que deben aplicar en cada caso.

Una vez identificado el tipo de datos, la aplicación en si misma deberá cumplir con las medidas establecidas para ese determinado nivel. Por ejemplo, si una aplicación almacena datos de salud, deberá cumplir con las obligaciones previstas para ese nivel, que es el nivel alto, y así deberá hacerse en cada caso con cada uno de los niveles establecidos por la normativa, recordando que éstos se aplican de forma acumulativa.

Es importante que las entidades responsables de esos datos comprueben a la hora de adquirir un determinado software que éste cumple con el nivel de seguridad exigible en concordancia con los datos que se van a almacenar en él.

Una entidad que maneja únicamente datos considerados de nivel básico (como puede ser un nombre, un DNI, una dirección, un teléfono, etc.) no necesita que su software esté dotado de medidas correspondientes a niveles superiores. Para facilitar esta identificación, los desarrolladores del software tienen que añadir a la descripción técnica del mismo cual es el nivel de seguridad que ese producto ofrece.

En este aspecto, J2M Consultores viene a ofrecer desde la entrada en vigor del Reglamento, un servicio de asesoramiento a las empresas desarrolladoras de software que les permiten conocer la medidas técnicas a implantar según el nivel de seguridad a alcanzar, y cumplir asi con esta nueva obligación marcada por la Ley. Así mismo, se realiza una auditoría de cumplimiento de la aplicación respecto a las medidas técnicas marcadas por el Reglamento, que puede utilizarse por parte del cliente como documentación de marketing y/o manual de seguridad para los administradores de sistemas encargados de implantar la aplicación.

Hay que recalcar que las empresas (que utilizan aplicaciones informáticas, que son casi todas), nunca podrán cumplir con la LOPD y su Reglamento, si el producto de software que utilizan no cubren las medidas técnicas requeridas por la Ley. Así pues, es uno de los requisitos mas importantes que debe tenerse en cuenta a la hora de adquirir cualquier tipo de aplicación, tanto si son estándares como desarrolladas a medida, y que permitan tratar datos de carácter personal.

Tus Noticias de Seguridad

una-al-dia Hispasec

Feed de Genbeta

Kriptópolis