I dati personali sono suddivisibili sostanzialmente in quattro macrocategorie:

·        dati sensibili;

·        dati semisensibili;

·        dati comuni;

·        dati giudiziari.

I dati sensibili sono dati idonei a rivelare l’origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale di una persona.

I dati semisensibili non sono ancora stati definiti con precisione dal Garante della Privacy, organo preposto a questo compito.

I dati comuni sono tutte quelle informazioni che consentono di individuare una persona fisica o giuridica, sia essa anche un ente od associazione (esempio: nome, cognome, partita iva, codice fiscale, indirizzo, numeri di telefono, numero patente ecc…).

I dati giudiziari sono quelle informazioni idonee a rivelare provvedimenti in materia di casellario giudiziale, anagrafe delle sanzioni amministrative dipendenti da reati o carichi pendenti ecc. 

Particolarmente importante, nel nuovo testo, è l’estensione dell’obbligatorietà delle misure minime di sicurezza non solo alle aziende che per la propria attività devono trattare dati sensibili o semisensibili ma a tutte quelle realtà nelle quali viene effettuata l’archiviazione informatica di dati personali di fornitori, clienti dipendenti e quant’altro.
Lo scopo delle misure minime di sicurezza è quello di proteggere il più possibile da accessi non consentiti i dati personali dei cittadini in possesso di aziende od enti. A tal fine, nell’allegato tecnico B, il legislatore ha espressamente indicati quali sono i requisiti minimi di sicurezza che dovranno essere implementati da chiunque effettui il trattamento di dati per mezzo di elaboratori informatici. Rispetto alla precedente normativa è stata rimossa la distinzione fra elaboratori connessi ad una rete informatica ed elaboratori isolati dalla rete. Non ha quindi alcuna importanza che i computer utilizzati per il trattamento dei dati siano connessi ad Internet o ad una rete interna aziendale.
Gli interventi da attuare per mettersi in regola rispetto alla nuova normativa variano da soggetto a soggetto anche se possono riassumersi nella nomina di un responsabile per la gestione della protezione dei dati, la chiara identificazione da parte di questo di tutti gli incaricati del trattamento, la messa in sicurezza degli elaboratori utilizzati per il trattamento dei dati contro ogni possibile violazione o inficiamento del funzionamento, nella trascrizione delle procedure interne da seguire e nella redazione di un DPSS (Documento Programmatico sulla Sicurezza) redatto con data certa entro il 31 marzo del 2004 e successivamente aggiornato con cadenza annuale. Il DPSS costituisce l’unico elemento di prova dell’adeguamento aziendale alla nuova normativa.

Nel Decreto Legge sono definite le misure minime di sicurezza da adottare per il trattamento dei dati personali effettuato con strumenti elettronici (art. 34) e nello specifico riguardano:

Da un lato tecnico queste misure minime di sicurezza, pur complicando in parte le normali operazioni quotidiane dei piccoli uffici, garantiscono di fatto una maggior sicurezza informatica dell’intera struttura e, al di là degli obblighi di legge, proteggono l’ufficio da possibili furti elettronici di dati. Questa rappresenta una prassi sempre più diffusa nel mondo degli hacker e spesso, viste le scarse misure di sicurezza dei normali PC, questi furti avvengono senza che l’interessato ne venga a conoscenza.
L’obbligatorietà dei back up periodici di tutti i dati più importanti dell’azienda/ufficio rappresenta poi un’ulteriore garanzia contro perdite di dati dovute a guasti macchina o altri malfunzionamenti che possono spesso portare a serie perdite economiche e di produttività.
Il Decreto Legge prevede infine l’obbligatorietà della formazione al personale incaricato del trattamento dei dati e la sua pianificazione fin dal momento dell’assunzione di nuovi elementi nello staff. Anche questo aspetto è di particolare importanza per garantire il corretto rispetto della normativa nonché prevenire spiacevoli inconvenienti quotidiani che possono derivare da un incorretto uso delle apparecchiature informatiche da parte di personale non specializzato.

Il Decreto Legge inoltre disciplina in capitoli i principali settori di riferimento e quelli che presentano problematiche particolari tipo: trattamento dei dati in ambito sanitario, nell’istruzione, nel lavoro e nella previdenza sociale, nei sistemi bancari finanziari ed assicurativi ecc.
Le differenze in questione riguardano principalmente le modalità di gestione dei dati, le modalità per ottenere il consenso al trattamento da parte del soggetto interessato, l’eventuale obbligo da parte dell’azienda o dell’ente di richiedere al Garante l’espresso consenso per il trattamento dei dati. Da un lato tecnico restano comunque sempre valide le norme minime di sicurezza appena indicate seppur con qualche inasprimento per i soggetti che trattano dati sensibili.
Queste misure devono essere adottate entro il 30 giugno 2004.

Le responsabilità in cui si rischia di incorrere in caso di mancato adeguamento sono di tipo civile e penale.
Per quanto riguarda le sanzioni civili si va da multe di 3.000 a 60.000 euro.
Per quanto riguarda le sanzioni penali si va dai 6 mesi di reclusione ai 3 anni.
E’ per altro da sottolineare come le pene pecuniarie possano subire sensibili modifiche in casi particolari. Qualora infatti il garante dovesse ritenere il massimo della multa previsto dalla legge inefficace in ragione delle condizioni economiche del contravvenente, la penale potrà essere aumentata sino al triplo. Sono altresì previste riduzioni della pena qualora il soggetto si impegni ad adeguarsi alla normativa in tempi ragionevolmente brevi e coerenti con la quantità di lavori da compiere per l’adeguamento.
Altro elemento estremamente rischioso per le aziende che dovessero risultare non in regola con la nuova normativa è la sospensione dell’attività. In caso infatti di infrazione alla normativa, il Garante per la Privacy può ordinare all’azienda la sospensione di ogni attività di trattamento dei dati personali fino alla risoluzione dei problemi emersi.

La redazione del DPSS, come precedentemente scritto, e’ l’unico documento in grado di attestare l’adeguamento della struttura alla normativa entrante.
Il DPSS e’ un manuale di pianificazione della sicurezza dei dati in azienda. Oltre ad un’analisi della situazione vigente in azienda (valutazione dei rischi, divisione dei compiti, definizione delle responsabilità ecc…), contiene anche le direttive che l’azienda deve implementare per un adeguamento al Decreto Legge. Il Decreto Legge stabilisce la data del 31 marzo di ogni anno per l’aggiornamento.