La legge dice: "1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti."

come vedi parla di accesso al trattamento o ai dati, senza entrare nella questione della protezione del sistema, dell'applicazione, o altro.

In altre parole l'importante è che non ci sia la possibilità per persone non autorizzate di guardare, sottrarre o distruggere dati personali.

E' ovvio che tutto ciò è molto più semplice su sistemi operativi nati con il controllo accessi, cryptazione, ecc.

Windows 98 non è la scelta migliore e ti complica notevolmente la vita nel compito che hai.

Infine tieni presente che quelle sono le misure minime. Cioè quelle che devi IN OGNI CASO porre in essere, ma anche se trovi il modo di adeguare W98, non significa che se avviene una fuga di dati tu non ne rispondi, infatti poi si andrà a vedere se le misure minime erano adeguate alla situazione in concreto.