E' da poco trascorso la scadenza del 31 marzo 2006, termine entro il quale - in attuazione del decreto legislativo 196/03 (Codice privacy) - i soggetti titolari di trattamento di dati personali avrebbero dovuto predisporre il Documento programmatico sulla sicurezza (Dps). Il titolare del trattamento nel caso in cui l'inosservanza delle norme di sicurezza determini un danno, può sottrarsi alla relativa responsabilità civile non tanto provando di aver osservato le "misure di sicurezza minime" - prova idonea a escludere la responsabilità penale ex articolo 169,comma 1, del Dlgs 196/03 - quanto dimostrando di aver adottato tutte le "misure di sicurezza idonee" ad evitare il danno. Per misure idonee si intende tutti gli accorgimenti previsti da norme legislative, regolamenti e tecniche che disciplinano la specifica attività interessata dalla controversia: nel caso specifico non solo quindi dalle norme del Codice privacy, dall'Allegato regolamento tecnico in materia di misure minime di sicurezza, ma anche alle prescrizioni ulteriori contenute nei codici di deontologia e di buona condotta e nelle delibere generali del Garante della privacy. Il Dps è considerato come un documento strategico aziendale - ben oltre l'area normativa di stretta obbligatorietà prevista dal Codice privacy - per la corretta gestione dei processi informativi aziendali, la cui diligente redazione e aggiornamento, considerate le rilevanti implicazioni societarie, civilistiche e penali, richiederà al titolare di avvalersi non solo di qualificate competenze informatiche e organizzative ma anche di qualificate competenze legali.
Il Sole 24 Ore del lunedì- E. Tosi - art. pag. 44