Pregunta: ¿Qué es la LOPD y que cuestiones se deben considerar a la hora de diseñar una aplicación informática con datos de carácter personal?

Respuesta: La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

El ámbito de aplicación de la LOPD es cualquier dato de carácter personal registrado en soporte físico, y rige en todo el estado español.

A continuación listo medidas recomendadas en el diseño de una aplicación informática que maneje datos de carácter personal y deba cumplir con la LOPD:

• Sólo se permitirá el acceso a usuarios registrados. Cada uno de estos usuarios se corresponderá de forma única con una persona física.

• El acceso se debe realizar mediante la introducción de un código de usuario y una contraseña. Esta última debe tener una longitud mínima de 10 caracteres y debe ser de obligado carácter alfanumérico (es decir, al menos debe combinar una letra con varios dígitos, o un dígito con varias letras). A poder ser, se deberían combinar mayúsculas con minúsculas.

• Las contraseñas se deben almacenar en la base de datos de manera encriptada, con algoritmos tipo MD5 o equivalentes. Esto significa que dichas contraseñas no se podrán desencriptar bajo ningún concepto, sino que la autorización al acceso a la aplicación se basará en la encriptación de la contraseña introducida por el usuario y en la comparación con la primera.

• Los usuarios deben tener la posibilidad de modificar su contraseña en todo momento.

• Las contraseñas deben tener un periodo de caducidad de tres meses. En los quince días anteriores a la fecha de caducidad se informará al usuario de dicha circunstancia. Después de este periodo, si el usuario no ha modificado su contraseña se le obligará a ello en el próximo acceso a la aplicación.

• Se debe almacenar un repositorio de las doce últimas contraseñas empleadas por el usuario. No se permitirá la sustitución de la contraseña actual del usuario por una contenida en este repositorio.

• Se deben registrar todos los accesos de los usuarios al sistema, incluyendo la fecha y la hora del mismo.

• Se deben registrar todas las consultas a datos de carácter personal efectuadas por los usuarios del sistema, incluyendo fecha y hora.

• Se deben registrar todas las incidencias de acceso de los usuarios debidas a una introducción errónea del código de usuario o de la contraseña.

• En caso de que se detecten intentos fallidos de acceso consecutivos de un usuario registrado en un intervalo de tiempo corto, se debe bloquear la cuenta del usuario, y sólo debe poder ser reactivada por otro usuario con los permisos necesarios para ello.

• Siempre que sea posible, todas las comunicaciones telemáticas deben realizarse de forma cifrada, empleando algoritmos basados en protocolos de seguridad estándar tipo SSL o equivalente.