Dal 1 Gennaio 2004 è in vigore, in Italia, il “Codice in materia di protezione dei dati personali” (Decreto legislativo n. 196 del 30/6/2003) che riforma interamente la disciplina sulla privacy. Il Codice abroga e sostituisce tutte le precedenti leggi, decreti e regolamenti in materia, riunendo in un unico organico contesto l’intera normativa sulla privacy.
Si tratta di un vero e proprio “Testo Unico” (T.U.), ovverosia un provvedimento di legge che raccoglie in un solo testo tutte le disposizioni di legge emanate, in tempi diversi, sulla medesima materia, armonizzandole fra loro e semplificando l’opera di ricostruzione del dettato normativo, opera spesso non agevole, anche a causa della “stratificazione” nel tempo di una pluralità di leggi intervenute a regolare diversi aspetti di una stessa materia. Il T.U. in oggetto, sostituisce ed abroga, in particolare, la “famosa” legge n. 675 del 1996, oltre a numerosi altri provvedimenti, e contiene anche alcune novità.
In totale il testo è costituito da ben 186 articoli più gli allegati, e si compone di tre parti: Disposizioni generali, Disposizioni relative a specifici settori (giudiziario, sanitario, difesa dello Stato, istruzione, lavoro e previdenza sociale, sistema bancario ecc.), Tutela dell’interessato e sanzioni.
Il Codice richiede l’adozione di diverse misure di sicurezza per garantire che i dati trattati siano custoditi e controllati nel rispetto degli standard minimi di garanzia: a titolo di esempio possiamo citare il fatto che ogni persona che accede alla banca dati (dall’anagrafica dei clienti ad archivi contenenti dati sensibili) deve essere preventivamente incaricata e riconosciuta dal sistema attraverso un identificativo associato ad una password che deve essere lunga almeno otto caratteri, modificata all’atto del primo collegamento e non deve essere agevolmente riconducibile al proprietario.
Altre misure minime prevedono l’aggiornamento costante del software con le ultime “patch” rilasciate dal produttore e il backup settimanale dei dati.
Oltre alle misure minime il Codice prevede, comunque, altre misure di sicurezza più ampie “idonee” a garantire ulteriormente la protezione dei dati e dei sistemi. Più in generale, il Codice prescrive di fatto la realizzazione di un vero e proprio sistema di sicurezza che protegga i dati custoditi all’interno dell’azienda.
Le misure di sicurezza adottate devono essere riportate in un Documento Programmatico annuale sulla Sicurezza (DPS). Il DPS deve essere redatto entro il 31 Marzo di ogni anno; tuttavia, per l’anno in corso, è stata concessa una proroga fino al 30 giugno 2004 al fine di garantire l’attivazione di tutte le misure di sicurezza richieste.
La mancata adozione delle misure minime di sicurezza rende penalmente perseguibili gli inadempienti (ovvero chiunque essendovi tenuto omette di adottarle), salvo l’adozione di un ravvedimento operoso. La mancata adozione delle misure minime o di quelle idonee può portare il soggetto cui si riferiscono i dati e che è stato danneggiato a chiedere un risarcimento dei danni.