Il 1° Gennaio 2004 è entrato in vigore il nuovo “Codice in materia di protezione dei dati personali” (D.Lgs. 196/2003).
Gli obblighi imposti dalla normativa si intendono differenziati a seconda della tipologia dei dati trattati, delle modalità di trattamento e dall’esistenza di una struttura informatica, ma generalizzati in quanto estesi a tutte le aziende e a tutti i professionisti che, nello svolgimento della loro attività, operino il trattamento di dati personali (siano essi appartenenti a clienti, fornitori, dipendenti etc.).

Fra gli obblighi disposti dalla normativa figurano:

► l’obbligo di informativa, ossia l’obbligo di rendere preventivamente edotto l’interessato sugli elementi essenziali del trattamento dei dati (finalità e modalità del trattamento, natura obbligatoria o facoltativa del conferimento, conseguenze di un eventuale rifiuto al conferimento, soggetti ai quali i dati possono essere comunicati, diritti di cui all’art. 7);

► l’obbligo al raccoglimento del consenso, ovvero la necessità di raccogliere l’assenso, da parte dell’interessato, al trattamento di dati personali (qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale), dati sensibili (dati idonei a rivelare l’origine razziale o etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, organizzazioni a carattere religioso, filosofico, politico-sindacale nonché i dati idonei a rivelare lo stato di salute e la vita sessuale), dati giudiziari (i dati idonei a rilevare provvedimenti di cui all’art. 3 c.1 lett. a-o, r-u del D.P.R. 14/11/2002 n. 313, in materia di casellario giudiziario, di anagrafe delle sanzioni amministrative dipendenti da reato e dai relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articolo 60 e 61 del c.p.p.);

► l’obbligo di notifica al Garante, ovvero la comunicazione che l’azienda o il professionista o la pubblica amministrazione rientranti nell’elenco di cui al 1° comma dell’art. 37 devono inoltrare al Garante al fine di segnalare le tipologie e le modalità di trattamento dei dati;

► l’obbligo di adozione delle misure minime di sicurezza, ovvero, secondo il principio generale stabilito dall’art. 31 del Codice, la disposizione del complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo idoneo a contenere nella misura più ampia possibile il rischio che i dati risultino distrutti, dispersi anche accidentalmente, conoscibili fuori dai casi consentiti o altrimenti trattati in modo illecito.

Entro Dicembre 2005 era obbligatorio adottare le misure minime di sicurezza previste dal disciplinare tecnico contenuto nell'allegato B del D.Lgs. 196/03, ma la suddetta data è stata prorogata (in data 30 dicembre 2005) al 31 marzo 2006. Tra gli obblighi che le aziende devono adottare Vi segnaliamo la redazione del Documento Programmatico sulla Sicurezza (DPS).