Il 31 dicembre 2004 è termine ultimo entro il quale i soggetti che trattano dati personali che non erano obbligati a redigere o aggiornare il Documento Programmatico sulla Sicurezza in base alla previgente disciplina devono redigere il Documento programmatico sulla sicurezza.

Il 31 dicembre 2004 è termine ultimo entro il quale i soggetti che trattano dati personali già tenuti a redigere o aggiornare il Documento Programmatico sulla Sicurezza in base alla previgente disciplina devono aggiornare il Documento programmatico sulla sicurezza.
La scadenza interessa la grande maggioranza delle imprese e dei professionisti, poiché il Documento programmatico sulla sicurezza deve essere redatto in tutti i casi in cui, eccezion fatta per le deroghe generali es. per gli avvocati ecc., sono trattati dati giudiziari o dati sensibili.

I soggetti che trattano dati personali già tenuti a redigere o aggiornare il Documento Programmatico sulla Sicurezza in base alla previgente disciplina devono già disporre (entro il 31 dic 2000) del Documento programmatico sulla sicurezza.

Le notificazioni previste dall’articolo 37 andavano effettuate entro il 30 aprile 2004 per i trattamenti di dati personali iniziati prima del 1 gennaio 2004, in sede di prima applicazione del presente codice.

Entro il 31 dicembre 2005, salvo le sole eccezioni per causa di forza maggiore motivata, tutti devono dotare i propri sistemi informativi di adeguata protezione contro virus, attacchi informatici, spam.

Le misure minime di sicurezza vanno adottate entro il 31 dicembre 2005.