Il Codice pone l’obbligo generale di adottare idonee misure di sicurezza, anche attraverso la nomina di un responsabile (Art. 29, comma 2, e art. 31 Decreto legislativo n. 196/2003). Nei casi di trattamento di dati sensibili e giudiziari attraverso sistemi informatici, va redatto entro il 31 marzo di ciascun anno il documento programmatico della sicurezza. Tale documento va conservato dal titolare presso la propria struttura per essere esibito in occasioni di accertamenti ispettivi (Art. 34, comma 1, lettera g, Decreto legislativo n. 196/2003 e regola 19 dell’allegato B del Codice).