Il Consiglio dei Ministri, nella seduta di venerdì 16 luglio 1999, ha approvato un regolamento per l’individuazione delle misure di sicurezza minima per il trattamento dei dati personali da parte di mezzi elettronici o comunque automatizzati e archivi cartacei, in attuazione della legge sulla privacy (n. 675/1996).

L’iniziativa è finalizzata ad evitare il rischio di distruzione o perdita, anche accidentale dei dati raccolti, nonchè di accesso non autorizzato o di trattamento non consentito, ovvero non conforme alle finalità della raccolta.

Per questo è stato individuato il livello minimo di protezione richiesto in relazione a tali rischi, prevedendo che l’utilizzatore di un elaboratore non accessibile da altri elaboratori o terminali sia identificato attraverso una parola chiave per l’accesso ai dati.

L’utilizzatore di elaboratore accessibile in rete, cioè accessibile da altri terminali attraverso reti, disponibili o meno al pubblico, deve avere, oltre la parola chiave, un codice identificativo personale per l’utilizzazione dell’elaboratore.

Deve essere specificamente autorizzato, dal titolare o, se designato, dal responsabile, l’accesso per effettuare le operazioni di trattamento dei dati sensibili (cioè quelli idonei a rivelare l’origine razziale, le convinzioni religiose, filosofiche, politiche, lo stato di salute e la vita sessuale, art. 22, legge n. 675/1996) e di quelli idonei a rilevare i provvedimenti iscritti nel casellario giudiziale (art. 24, stessa legge).

Tali autorizzazioni sono revocate dagli stessi soggetti che le hanno concesse.

Inoltre, è stato previsto che, per il trattamento di tali dati particolari effettuati con elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico, deve essere predisposto e aggiornato, con cadenza annuale, un documento programmatico sulla sicurezza dei dati per definire i criteri tecnici e organizzativi per il controllo dei locali utilizzati, quelli procedurali diretti ad assicurare l’integrità dei dati e quelli per la sicurezza della trasmissione dei dati anche in via telematica.

Ulteriori disposizioni riguardano il trattamento dei dati personali effettuato mediante strumenti diversi da quelli elettronici o comunque automatizzati, con particolare riferimento agli archivi cartacei.

In particolare, il regolamento prevede che siano designati per iscritto gli incaricati del trattamento e che i dati siano custoditi in archivi "ad accesso selezionato".

Nel caso di trattamento dei dati particolari contenuti in archivi cartacei devono essere osservate le seguenti modalità:

- se affidati agli incaricati del trattamento, gli atti e i documenti contenenti i dati sono conservati, fino alla restituzione, in contenitori muniti di serratura;