Hola,

Bueno, la ley española de datos personales es la LOPD, y es aplicable siempre que tengas un fichero (llistado, base de datos, ...) de datos personales, aunque no la cuelges en internet.

Aunque lo mejor es consultar los temas legales con un profesional de las leyes (abogado, asesor, ...).

Y otro ejemplo de sitios que te piden la contraseña estando ya validados son los sistemas de usuarios que te permiten cambiar la contraseña y/o el email. Por si alguien accede a la sesion sin saber la contraseña, para que no cambie la contraseña (bloqueando al usuario original) o cambie la direccion de email donde se envia el recordatorio de contraseña.

Tambien tienes que tener una "politica de contraseñas", exigiendo que las contraseñas cumplan ciertas caracteristicas que dificulten los ataques. Por ejemplo, un tamaño minimo de 8 caracteres, y que contenga caracteres en mayusculas y minusculas (incluso numeros). Asi dificultas los ataques de "diccionario" (probar con un conjunto definido de palabras como contraseñas).

Doy por supuesto que el servidor es seguro a ataques a su SO y/o red, y que almacenas las contraseñas encriptadas. Por muy segura que sea tu aplicacion, si meten un rootkit en tu proveedor de servidor y obtiene acceso directo a las bases de datos y ficheros, pues no ha servido para nada. Aunque ese tema ya es problema del administrador del servidor.

Saludos.