Il Nuovo testo Unico della Privacy (D. Lgs. n. 196 del 30 Giugno 2003) mette ordine nella normativa italiana sulla riservatezza dei dati, migliorando la legge precedente (L. 675/96) e le direttive successivamente emanate dal Garante.

La nuova legge è stata emanata allo scopo di diffondere la cultura della privacy e della sicurezza. Tale scopo viene perseguito in varie direzioni:

• Imposizione di uno standard di sicurezza più elevato
• Inasprimento delle sanzioni pecuniarie e penali
• Snellimento delle procedure di notifica al garante

Le direttive emanate hanno sicuramente maggiore interesse per i soggetti dotati di un sistema informatico, anche un semplice personal computer, soprattutto se con un collegamento a Internet. Lungi dall'essere un mero adempimento a doveri burocratici, il nuovo concetto di sicurezza, anche informatica, comporta l'acquisizione di competenze avanzate. I controlli informatici, descritti nell'allegato tecnico (B), devono essere fatti da esperti, che sono tenuti (punto 25) a rilasciare una documentazione scritta degli interventi effettuati.
 

Il testo unico della privacy è entrato in vigore il 1° Gennaio 2004.
I soggetti che effettuano il trattamento di dati personali hanno tempo per adeguarsi alle nuove norme fino al 31 Dicembre 2004.

Un caso a parte è rappresentato da coloro che dimostrino di non poter adottare in modo semplice e immediato la nuova normativa: in pratica, chi possiede sistemi informatici obsoleti avrà tutto il 2004 per cambiare il proprio parco macchine o trovare altre soluzioni soddisfacenti.

Sotto la definizione di dati personali si raggruppano tutte le informazioni relative a persone (fisiche e giuridiche), enti o associazioni. All'interno dell'insieme dei dati personali, la legge fa poi distinzione tra dati identificativi, sensibili, semisensibili, giudiziari, ecc.

Per esempio, uno studio medico tratta sia dati genericamente personali (es: nome, residenza, età,ecc.) sia dati sensibili, in quanto possiede informazioni riservate sullo stato sanitario dei propri assistiti. Dovrà quindi dotarsi delle misure minime di sicurezza previste per il trattamento dei dati sensibili.

La nuova normativa deve essere comunque applicata al trattamenti di tutti i dati personali, indipendentemente dalla tipologia in cui rientrano.

Il D. Lgs. n. 196/2003 prende in considerazione la sicurezza dei dati personali sotto tutti gli aspetti.

• Sicurezza organizzativa: viene garantita attraverso l'individuazione di procedure standard, il cui rispetto è controllato dal responsabile per il trattamento dei dati
• Sicurezza fisica: è l'insieme delle misure di protezione dell'archivio che contiene i dati trattati: la protezione può avvenire attraverso barriere fisiche (porte blindate, ingressi controllati) e informatiche (sistemi di autenticazione)
• Sicurezza logica: si identifica con la garanzia di integrità, affidabilità e segretezza dei dati; le precauzioni adottate per evitare la manomissione dei dati possono essere sia hardware che software

Il Testo Unico della Privacy prevede che chiunque tratti dati sensibili (ad esempio un qualsiasi studio professionale) rediga un Documento Programmatico sulla Sicurezza (DPS).
In questo documento vengono descritte le modalità con cui sono attuate le misure minime di sicurezza. Esso deve essere aggiornato il 31 Marzo di ogni anno ed esibito in caso di controlli (allegato B, punto 19).
Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.

La nuova legge prevede punizioni severe per chiunque trasgredisca, non adottando misure idonee o addirittura minime di sicurezza.
La severità della pena è proporzionale all'infrazione commessa. Le sanzioni vanno dalla multa di notevole entità (per l'inosservanza delle misure idonee di sicurezza) alla reclusione (per il mancato rispetto delle misure minime). L'inosservanza delle misure descritte nel DPS comporta una sanzione, anche nel caso in cui non ci siano parti lese.

HALNET mette a disposizione degli interessati la sua esperienza in ambito di sicurezza informatica. La normativa presuppone uno studio dell'azienda su come vengono raccolti, conservati ed utilizzati i dati. A partire da ciò verranno individuati gli eventuali interventi correttivi per adeguare il sistema informatico alla normativa vigente. In presenza di dati sensibili e/o giudiziari sarà necessario predisporre il Documento Programmatico sulla Sicurezza.

Il servizio HALNET si articola nei seguenti passi:

Passo preliminare: appuntamento per valutazione di massima dell'azienda e preventivo gratuito.
1) Analisi e mappatura dei trattamenti di dati: mappatura delle banche dati, dei relativi flussi, degli strumenti utilizzati e dei locali in cui vengono effettuati i trattamenti
2) Consulenza per interventi di adeguamento: individuazione delle eventuali azioni da effettuare per l'adeguamento alla Norma sulla Privacy (misure di sicurezza sui locali, misure di sicurezza elettroniche e informatiche, predisposizione delle lettere di incarico, ecc.)
3) Realizzazione del Documento Programmatico sulla Sicurezza ed eventuale notifica al garante in caso di trattamento di dati sensibili e/o giudiziari.
4) (opzionale) Attività finalizzate alla formazione sulla sicurezza per gli incaricati al trattamento dati.
5) (opzionale) Attività di manutenzione annuale: possibilità di usufruire di un servizio specifico per mantenere conforme alle normative lo stato di adempimento in termini di Privacy (avvio di nuovi trattamenti, revisione del DPS, aggiornamento delle misure minime)