Entro il 30 giugno 2004 occorre che i soggetti interessati adottino o aggiornino il documento programmatico sulla sicurezza.
La sanzione per la mancata adozione è di natura penale, dal momento che il documento rappresenta una delle misure minime di sicurezza.
Il documento programmatico è atto da rinnovarsi ogni anno, riassume lo stato della sicurezza informatica nell’organizzazione e determina le principali azioni da intraprendere, evidenziandone le priorità.
I punti fondamentali del documento sono:
1. censimento dei trattamenti di dati personali e individuazione delle responsabilità.
2. analisi dei rischi.
3. descrizione delle misure che si intendono adottare per garantire l’integrità e la disponibilità dei dati.
4. descrizione delle misure di tipo fisico a protezione delle aree e dei locali.
5. misure organizzative e tecniche per rilevare l’eventuale danneggiamento dei dati e per garantirne il ripristino entro tempi certi compatibili con i diritti dell’interessato e comunque non superiori a sette giorni.


