La proroga delle misure minime salvaprivacy ruota intorno all'articolo 180 del Codice della privacy. Nella versione originale la norma stabiliva che le misure minime di sicurezza di cui agli articoli da 33 a 35 e all'allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 30 giugno 2004 (ora diventato 30 giugno 2005). Veniva, inoltre, previsto un termine più lungo il 31 dicembre 2004, prorogato prima al 30 marzo 2005 e ora slittato al 30 settembre 2005 nel caso in cui il titolare del trattamento disponesse di strumenti elettronici tali, per obiettive ragioni tecniche, da non consentire in tutto o in parte l'immediata applicazione delle misure minime. Il pacchetto sicurezza. In base all'articolo 31 del Codice della privacy vige nel nostro sistema un obbligo generalizzato di adoperarsi, con comportamenti e cautele preventivi adeguati alle diverse situazioni perchè siano ridotti al minimo i rischi derivanti dalla perdita o dall'indesiderata circolazione dei dati personali. Obbligo che è appunto specificato negli articoli 33-35 del Codice, i quali vincolano i titolari del trattamento all'adozione di un "pacchetto" di misure minime di sicurezza puntualmente identificate, tanto in rapporto ai trattamenti di dati sensibili e giudiziari effettuati con strumenti elettronici quanto in rapporto a quelli effettuati senza il loro ausilio, cioè manualmente. Il problema concerne, in particolare, la gamma di misure minime di tale "pacchetto". Solo una parte di esse, infatti, è stata introdotta ex novo dal Codice della privacy. Le altre, ancor oggi comprese fra quelle minime (dall'utilizzo di password per i computer non in rete all'uso di software antivirus nei computer collegati in rete, sino al documento programmatico sulla sicurezza, il cosiddetto Dps), risultavano invece già previste dal Dpr 318 del 1999.
Il Sole 24 Ore - M. Atelli - art. pag. 21