La legge 675/96, sulla base delle Indicazioni recepite dalla Convenzione di Strasburgo e dall'Accordo di Schengen, ha innovato la materia del trattamento dei dati personali, incidendo quindi direttamente su tutti quei soggetti che hanno la responsabilità di gestire sistemi informativi o telematici, degli addetti alla sicurezza dei centri di elaborazione dati e dei fornitori di connettività e di servizi Internet.
L'evoluzione tecnologica verso sistemi di elaborazione sempre più potenti ha segnato il passaggio dalla informatica tradizionalmente intesa come automazione di processi, in cui alle macchine veniva affidato il compito di eseguire attività meramente ripetitive, alla informatica intesa come trattamento di dati aggregati.

Attualmente, i sistemi consentono di concentrare raccolte di dati eterogenei e disaggregare le informazioni sino ad estrarne previsioni per l'adozione di eventuali decisioni (di marketing, ad esempio), decisioni che possono anche fortemente incidere sulla sfera soggettiva dell'individuo, oltre che sulle scelte strategiche nelle particolari materie di interesse.

Tali dati, che talvolta costituiscono oggetto di forme di "monitoraggio" spesso illegittimo non soltanto degli elementi conosciuti, ma anche dalle informazioni attinte dagli utenti Internet nel corso della loro normale navigazione nella Rete, sono, comunque, già in possesso di molte banche dati, da quelle "ordinarie" a quelle in possesso degli Internet Provider che hanno la lecita possibilità di monitorare gli accessi ai siti visitati costituendo così una sorta di identikit virtuale di un soggetto che fruisce del servizio, nel quale è possibile abbinare ai dati identificativi particolari gusti sessuali, preferenze commerciali e opinioni politiche.

Nella migliore delle ipotesi, tali archivi possono costituire una enorme risorsa per una mirata ed efficace attività di marketing, quasi "personalizzata" per il singolo utente, proponendo prodotti o servizi delle quali si ipotizza, con ragionevole certezza, l'interessamento della parte; nella peggiore delle ipotesi, ma potremmo essere allarmisti, ciò potrebbe realizzare quella forma di controllo universale di gran parte dell'opinione pubblica, in termini di comunicazione ed informazione, che molti hackers da tempo stanno paventando e che con la loro attività tentano di arginare.    

La legge sulla privacy, nella sostanza, ha lo scopo di vietare l'utilizzazione di un archivio informatizzato per scopi diversi da quelli per cui è stato creato e provvede a sanzionare penalmente tutte le ipotesi di omessa protezione o diffusione indebita di dati e informazioni.

L'ipotesi di reato prevista dall'art. 6 della Legge è strettamente connessa con il divieto di diffusione di informazioni relative ai dati personali raccolti.
La mancata adozione delle misure di sicurezza minime richieste si risolve, infatti, nella agevolazione colposa alla commissione del delitto di esportazione non autorizzata di informazioni riservate.

Si tratta, fondamentalmente, di impedire quindi l'utilizzo di risorse del sistema per scopi diversi, illeciti ma non solo, da quelli per i quali esso originariamente è stato progettato.
L'attuale diffusione delle Reti locali, prima, e di Internet adesso ha reso necessario evidentemente prevenire tutti i possibili attacchi esterni, "indiscriminati" e potenzialmente molto numerosi.

L'art. 15 della Legge prevede quindi che " i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze tecniche acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta".

La Legge ha introdotto quindi per la prima volta nel nostro ordinamento una ipotesi di reato per la omessa adozione delle misure necessarie a garantire la sicurezza dei dati, e si riferisce al trattamento dei dati personali da chiunque effettuato nell'ambito del territorio dello Stato.
Un dato personale è costituito da qualunque informazione relativa a persona fisica, giuridica o ente, identificati o identificabili anche indirettamente, quindi la norma è destinata ad operare in tutti i casi in cui un elenco di nominativi sia contenuto nella memoria di un elaboratore.
Le pene previste, inoltre, si applicano anche nel caso di condotta semplicemente colposa ( dovuta a negligenza, imperizia o imprudenza del responsabile del trattamento, così come identificato dalla Legge).

All'autore del reato, all'atto dell'accertamento o, nei casi più complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario.
Nella norma, le misure di sicurezza sono descritte come misure di protezione idonee  a prevenire il rischio di una perdita o distruzione dei dati anche solo accidentale, confermando una definizione di sicurezza informatica verso la quale sembrano orientate le legislazioni di molti Paesi interessati alla problematica.

Per quanto attiene specificamente Internet, si è già detto come la protezione dei dati personali costituisca una esigenza determinante a garantire una "libera" attività da parte dell'utente; si è avuto modo di osservare, tuttavia, che da tempo esistono forme di monitoraggio, anche "abusivo" destinate ad indirizzare l'utente verso determinati prodotti o servizi, "ritagliati" sui gusti estrapolati dalla sua navigazione nella Reta.

Il Garante per la privacy  ha affrontato da tempo, tra l'altro, anche la problematica connessa all'uso dei dati personali per l'invio di comunicazioni commerciali indesiderate per scopi di direct marketing e alla raccolta dei dati sensibili degli utenti da parte dei titolari di siti web.
In merito all'invio di messaggi di posta elettronica indesiderata contenenti comunicazioni pubblicitarie ( spamming) il garante ha ribadito l'applicazione del cosiddetto sistema di opt-in, consistente nella possibilità per l'utente di scegliere se accettare o meno tali comunicazioni.
Inoltre, il garante ha espresso alcune linee guida in relazione al trattamento dei dati personali  effettuato da titolari di siti web, in particolare con riguardo all'informativa agli interessati e la raccolta del consenso.

Su un piano generale, l'informativa rappresenta un requisito di validità del consenso e, comunque, deve essere fornita prima della eventuale raccolta dei dati, anche nei casi in cui, non trattandosi di dati sensibili, non è espressamente previsto il consenso da parte dell'avente diritto.
Le informazioni, inoltre, devono essere ben evidenziate, prima dei campi in cui il cliente deve indicare i propri dati; devono essere riferite a tutti gli aspetti del trattamento svolto dalla società nell'ambito del servizio che gli interessati si accingono ad attivare, riepilogando in maniera chiara e sintetica alcune notizie che sono disseminate nelle condizioni di contratto, specie in riferimento alla registrazione dei dati relativi alle connessioni ai siti e alle modalità della loro "profilazione" in rapporto agli indirizzi di posta elettronica.

Rimane, poi, nella disponibilità degli interessati scegliere servizi Internet che subordinano una prestazione ( ad esempio lo stesso accesso ad Internet) alla cessione di dati identificativi o attinenti a gusti, preferenze o interessi, sempreché ciò avvenga in conformità alle leggi vigenti, in particolare in relazione alla presenza di un libero consenso, nel rispetto del principio di correttezza del trattamento.

L'interessato deve essere messo in condizione di esprimere le proprie scelte liberamente e consapevolmente; deve quindi ricevere tutte le informazioni necessarie per comprendere chiaramente le modalità e le finalità del trattamento dei dati che lo riguardano, non solo quelli che egli fornisce direttamente ma anche quelli che vengono acquisiti successivamente ( nel caso di specie, il monitoraggio delle attività svolte su Internet).