Leyendo el BOE http://www.boe.es/aeboe/consultas/bases_datos/doc.php?coleccion=iberlex&… el capítulo II del título VIII del reglamento establece tres niveles de seguridad: 1.- básico (DNI, teléfono, email...) 2.- medio (datos fiscales) 3.- avanzado (religión, afiliación política, orientación sexual...) Para cada nivel el reglamento incluye una descripción de lo que debe explicar el Documento de Seguridad: básicamente cuestiones de procedimientos operativos como designación de responsables, cadena de custodia, auditorías, etc. La disposición adicional sobre productos de software es lo más parco del mundo: "Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento". Dado que el reglamento no especifica absolutamente nada sobre requisitos técnicos ni funcionales del software, aunque las intenciones son buenas, yo creo que la disposición adicional sobre software no sirve en la práctica para nada, dado que puedes perfectamente coger Excel (o cualquier otra cosa) y ponerle una etiqueta que diga: ESTE SOFTWARE PERMITE ALCANZAR EL NIVEL AVANZADO DE SEGURIDAD RLOPD. Lo cual es cierto simplemente si grabas el Excel con la opción de password en un CD y lo guardas en un cajón cerrado con llave en tu escritorio.