Dal 1 gennaio 2004 è entrata in vigore una nuova normativa, il Testo Unico sulla Privacy. Il Codice contiene una serie di disposizioni relative alla protezione dei sistemi informativi e dei dati in essi contenuti che le aziende sono tenute a rispettare. Gli obiettivi sono quelli di limitare al massimo i rischi di distruzione e di perdita delle informazioni, di ridurre al minimo i rischi di accesso ai dati da parte di persone non autorizzate e di evitare trattamenti di dati non consentito o non conforme alle finalità della raccolta dei dati stessi. Per le aziende, il rispetto di queste norme si traduce nell'adozione di misure minime di sicurezza ovvero di procedure per la costituzione di un sistema di salvataggio e di salvaguardia dei dati e per il ripristino della disponibilità dei dati stessi e dei sistemi. Per la protezione del sistema informativo, le aziende dovranno inoltre cautelarsi contro i cosiddetti "worm", virus informatici, e contro gli attacchi da parte di hacker adottando in prima battuta soluzioni di antivirus e firewall. Devono adeguarsi tutti coloro che trattano dati personali: aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici, banche, artigiani, ecc. (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc.). Il Codice ha introdotto una nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso l'obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l'avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura "minima" o che sia stato comunque adottato (regola 26 Allegato B). Entro il 30 giugno 2004 si dovranno adottare le "misure minime" di sicurezza introdotte dal Codice della privacy a salvaguardia dei dati personali contenuti negli archivi e redigere il documento programmatico in materia di sicurezza (DPS). Per gli anni successivi deve essere redatto entro il 31 marzo di ciascun anno ed il titolare dei dati personali riferisce, nella relazione accompagnatoria del bilancio d'esercizio, l'avvenuta redazione o aggiornamento.