Il trattamento di dati personali o sensibili da parte di Enti non Profit comporta l´adozione di altrettante modalità tecniche da parte del Titolare che la legge configura come altrettante misure minime di sicurezza; la violazione delle misure minime di sicurezza comporta ai sensi dell´art. 169 (Misure di sicurezza), la punizione con l´arresto sino a due anni o con l´ammenda da diecimila euro a cinquantamila euro. È, quindi, necessaria una scrupolosa osservanza delle misure in questione. Il soggetto che deve attuare le misure sotto elencate è il Titolare del trattamento, cioè l´Associazione nel suo complesso, per mezzo dell´attività dei propri organi direttivi. L´esecuzione di tali misure può, però, essere delegata al Responsabile della privacy, da designarsi per iscritto sempre a cura del Titolare.

Gli adempimenti, delineati dal Disciplinare Tecnico in materia di sicurezza, sono molti e complessi e qui di seguito vengono sinteticamente esposti:
I Sistema di autenticazione informatica e autorizzazione
1.0 Il titolare, direttamente o attraverso il responsabile della privacy, deve dotare ogni incaricato del trattamento di dati personali di (una o più) credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa ad uno specifico trattamento o ad un insieme di trattamenti (le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato ad una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso ed uso esclusivo dell'incaricato, eventualmente associato ad un codice identificativo o ad una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata ad un codice identificativo o ad una parola chiave).
Il titolare deve prescrivere all´incaricato di adottare le cautele che si rendono necessarie per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato stesso. Le disposizioni seguenti non si applicano ai trattamenti dei dati personali destinati alla diffusione.

1.1 La parola chiave, quando è prevista dal sistema di autenticazione, deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non deve contenere riferimenti agevolmente riconducibili all´incaricato e va modificata da quest´ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari, è necessario modificare la parola chiave almeno ogni tre mesi.

1.2 Il codice per l´identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono da disattivare, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali vanno disattivate anche in caso di perdita della qualità che consente all'incaricato l´accesso ai dati personali. Il titolare deve impartire istruzioni agli incaricati perché non sia lasciato incustodito e accessibile a terzi lo strumento elettronico durante una sessione di trattamento.

1.3 Quando l´accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono da individuare per iscritto le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell´incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali va organizzata garantendo la relativa segretezza ed individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell´intervento effettuato.

1.4 Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso va utilizzato un sistema di autorizzazione. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, devono essere individuati e configurati dal titolare anteriormente all'inizio del trattamento, in modo da limitare l´accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque almeno annualmente, bisogna verificare poi la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

II Misure di sicurezza per la prevenzione di intrusioni o perdita di dati 2.1 Il titolare o il responsabile, ove designato, debbono redigere una lista degli incaricati, anche per classi omogenee di incarico, e dei relativi profili di autorizzazione; tali liste vanno aggiornante, almeno una volta l´anno, per consentire ai singoli incaricati e agli addetti alla gestione o alla manutenzione degli strumenti elettronici un accesso selettivo ai dati che debbono poter trattare.

2.2 Il titolare deve impartire le opportune disposizioni affinchè i dati personali siano protetti contro il rischio di intrusione di virus informatici, mediante l´attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

2.3 Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono da effettuare almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l´aggiornamento deve essere almeno semestrale.

2.4 Il titolare deve impartire istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

III Documento programmatico sulla sicurezza 3.0 Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
l´elenco dei trattamenti di dati personali;
la distribuzione dei compiti e delle responsabilità nell´ambito delle strutture preposte al trattamento dei dati;
l´analisi dei rischi che incombono sui dati;
le misure da adottare per garantire l´integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione va programmata già al momento dell´ingresso in servizio, nonché in occasione di cambiamenti di mansioni o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
la descrizione dei criteri da adottare per garantire l´adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all´esterno della struttura del titolare;
per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l´individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell´interessato.

IV Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
4.1 I dati sensibili o giudiziari vanno protetti contro l´accesso abusivo ad un sistema informatico o telematico mediante l´utilizzo di idonei strumenti elettronici.

4.2 Il titolare o il responsabile, se designato, deve provvedere ad impartire istruzioni organizzative e tecniche per la custodia e l´uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. Tali supporti rimovibili, se non utilizzati, devono essere distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

4.3 Vanno adottate idonee misure per garantire il ripristino dell´accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

4.4 Gli organismi sanitari e gli esercenti le professioni sanitarie devono effettuare il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con tecniche di cifratura o mediante l´utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all´identità genetica vanno trattati esclusivamente all´interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all´esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico deve essere cifrato.

V Misure di tutela e garanzia
5.1 Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere all’esecuzione deve ricevere dall´installatore una descrizione scritta dell´intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

5.2 Il titolare deve riferire, nella relazione accompagnatoria del bilancio d´esercizio, dell´avvenuta redazione (o aggiornamento) del documento programmatico sulla sicurezza, ove richiesta dalla legge.