Il decreto legge 196 del 2003 è una delle più importanti normative emanate nel settore della protezione della privacy: per la prima volta in Italia esiste un testo unico che regolamenta il trattamento dei dati personali e sensibili.
In particolare esso prevede che tutte le aziende, imprese, professionisti, enti privati e pubblici ed in generale tutti quelli che trattano i dati personali siano obbligati alla stesura del Documento Programmatico Sulla Sicurezza (DPSS) ed all'adeguamento alle misure minime di sicurezza.
Il codice non si limita alla descrizione dei dati da proteggere, ma prescrive regole e comportamenti che aziende e studi professionali devono adottare quando trattano dati personali, sensibili e giudiziari. La normativa prevede pertanto sia adempimenti di carattere organizzativo sia adempimenti tecnici.
Il decreto fissa nuovi adempimenti in merito alla protezione dei dati personali in particolare l’obbligo di redazione del Documento Programmatico Sulla Sicurezza, la cui mancata produzione è perseguibile come reato penale.
L'articolo 33 prevede esplicitamente che “i titolari del trattamento sono comunque tenuti ad adottare le misure minime ... volte da assicurare un livello minimo di protezione dei dati personali”.
La legge impone dei requisiti minimi da rispettare per un’adeguata protezione dei dati, dando però la possibilità di dichiarare nel DPSS che, ove mancanti, verranno messi a norma entro una data prestabilita.
Il titolare del trattamento deve redigere il Documento Programmatico Sulla Sicurezza (DPSS) contenente:
l'elenco dei trattamenti dei dati personali
Il titolare del trattamento deve adottare una serie di misure minime di sicurezza o idonee in caso di trattamento di dati personali, sia che il trattamento venga effettuato con strumenti elettronici, sia che esso avvenga su supporto cartaceo.