L’obbligo di adozione delle misure minime di sicurezza, previste dal disciplinare tecnico contenuto nell'allegato B del D.Lgs. 196/03 ed esteso a tutte le realtà aziendali e professionali, ha scadenza 31 marzo 2006.

Tali misure minime, confluenti nel D.P.S., devono comprendere, se il trattamento dei dati avviene con l’ausilio di strumenti elettronici (art. 34):

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Se il trattamento dei dati avviene senza l’ausilio di strumenti elettronici (art. 35):

a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

Da una lettura complessiva del Decreto appare chiaro che il Legislatore abbia voluto garantire una maggiore tutela per i dati sensibili e giudiziari rispetto ai dati personali, infatti il disciplinare tecnico contenuto nell’allegato B del decreto prevede (punto 19) solo per coloro che trattano dati sensibili o giudiziari l’obbligo di redigere il DPS. Ma sul punto c’è una parte della dottrina, a cui noi aderiamo, che sottolinea come una simile interpretazione sarebbe incongruente con lo spirito generale del d.lgs 196/03, in primo luogo perché si verificherebbe un contrasto tra obbligo generale al DPS (sancito dall’art. 34 dove si parla di «dati personali») e obbligo specifico sancito dall’Allegato B (c.d. Disciplinare tecnico) all’art. 19 (in cui si parla di «dati sensibili» e «giudiziari»).

Allineandoci alla dottrina sopra indicata, ci troviamo favorevoli ad un’interpretazione estensiva della normativa che ben si concilia anche con gli aspetti operativi del Codice. Il DPS, infatti, non è altro che una “fotografia” degli adempimenti eseguiti dal soggetto e quindi, in caso di un controllo da parte delle Autorità competenti, risulta essere un importante strumento di tutela dalle sanzioni penali e dalle richieste di risarcimento danni per violazione della privacy. Anche dal punto di vista pratico, quindi, sembra ragionevole sostenere che il Legislatore abbia voluto stabilire un obbligo generale di adozione del DPS riservando però un’attenzione particolare al trattamento dei dati sensibili e giudiziari.