E perché si dovrebbe escludere l'allegato B da un discorso generico?
Perché ti fa comodo?
E questo cosa cavolo c'entra?
Ma certo... art. 34 della solita 196/03 dove testualmente è recitato:

«1. Il trattamento di dati personali effettuato con strumenti
elettronici è consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di
autenticazione;
[...]
»

Che guarda caso rimanda all'allegato B di cui sopra che tu per tua
comodità vorresti escludere dal discorso e che recita:

«2. Le credenziali di autenticazione consistono in un codice per
l'identificazione dell'incaricato associato a una parola chiave
riservata conosciuta solamente dal medesimo [...]
[...]
4. Con le istruzioni impartite agli incaricati è prescritto di adottare
le necessarie cautele per assicurare la segretezza della componente
riservata della credenziale [...] »

Che guarda caso asserisce proprio che ove si trattano dati *personali*
(quindi non esclusivamente dati sensibili) le credenziali *devono*
rimanere segrete (con l'eccezione del punto 10 che trova rarissima
applicazione reale).

Va da sè che queste sono le prescritte misure *minime* di sicurezza,
quelle che magari ti tolgono dall'impaccio del penale, ma non è detto
siano sufficienti a salvare il Qlo da risarcimenti.

Finché va tutto bene non ci sono problemi, il giorno in cui quella
credenziale salvata in chiaro viene rubata e magari riutilizzata in modo
fraudolento sono cazzi. E allora dubito che ti farai trovare a dire che
va tutto bene.