Proteggiamo i dati dei pazienti

A partire dal 25 Maggio 2018 il Gestionale Medico MEG e tutti i nostri servizi online rispettano la nuova disciplina UE, che introduce un nuovo modo di pensare e gestire il trattamento dei dati.

Il Regolamento richiede di effettuare un’analisi del rischio dei dati trattati, implementare un sistema di gestione dei dati stessi ed essere in grado di dimostrare l’efficacia delle scelte fatte.

Nota: Questa pagina verrà aggiornata man mano che procederemo con l’adeguamento di tutte le procedure. Tienila d’occhio!

Chiariamo i dubbi.

Cos’è il GDPR?
Il General Data Protection Rule (GDPR) è il Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679) pubblicato in gazzetta il 27 aprile 2016 e che diventerà obbligatorio il 25 maggio 2018 per tutte le aziende che gestiscono, custodiscono, trattano, trasmettono o operano in altro modo con i dati personali di persone fisiche, che sono cittadini dei paesi dell’Unione europea..

Cosa devi fare per adeguare il tuo Studio Medico?

Una delle principali novità del Regolamento è l’intensificazione dei doveri che gravano sui titolari del trattamento dei dati. Vanno in questo senso l’introduzione del principio di accountability (l’obbligo di responsabilità in capo all’azienda per l’utilizzo dei dati), l’irrobustimento delle garanzie di sicurezza, l’introduzione dei principi di privacy by design (tutela del dato personale fin dalla progettazione) e privacy by default (tutela della vita privata secondo regole predefinite), dei registri aziendali, della valutazione d’impatto e della consultazione preventiva, l’immissione della nuova figura del DPO (Data Protection Officer) e il ricorso alla certificazione nei processi di trattamento.

Ci sono sanzioni per chi non si adegua?

Per chi non si conformerà alla normativa sono previste delle multe salate che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale.

Il testo del GDPR rovescia la prospettiva della privacy: il regolamento, infatti, si basa sui doveri e sulla responsabilizzazione (accountability) del titolare del trattamento dei dati personali, mentre la normativa precedente si basava sui diritti dell’interessato.

Usi MEG in versione con Server locale?

Se utilizzi MEG – Gestionale Medico installato su un server locale o su una macchina virtuale nella tua struttura dovrai farti carico di tutti gli obblighi e adempimenti necessari a raggiungere la conformità al Regolamento.

Usi MEG in versione Cloud?

Se utilizzi MEG – Gestionale Medico in Cloud, sei già a buon punto. I tuoi dati sono conservati in un server remoto (Aruba Business, OVH o Host.it in base alle nostre esigenze tecniche) e non sul tuo PC locale. Per questo motivo ci inquadriamo come Responsabile Esterno al Trattamento dei Dati. Entro i limiti dei nostri vincoli tecnici, tratteremo i dati esclusivamente secondo le tue indicazioni, e per tuo conto, attenendoci a tutte le normative del GDPR.

Il nostro Data Processing Agreement è disponibile a a questo indirizzo: www.gestionalemedico.shop/data-processing-agreement

Attenzione però! Per tutti gli altri eventuali dati che lo Studio conserva fisicamente sui propri dispositivi (o in cartaceo) il titolare del trattamento dei dati (il titolare dello studio) deve comunque conformarsi alle norme sancite dal GDPR sotto la propria responsabilità.

In particolare, il Regolamento ha stabilito precise regole per chi utilizza sistemi di videosorveglianza sia in termini di posizionamento, che di conservazione e di modulistica.

Cosa facciamo noi

Sicurezza del Server

  • Per far funzionare MEG abbiamo scelto un provider che fornisce un’infrastruttura su cui ospitare dati sanitari, con la garanzia di un accesso logico regolamentato.
  • L’accesso agli impianti è rigorosamente controllato. Per proteggere i server da qualsiasi forma di intrusione o pericolo, il perimetro è messo in sicurezza e dotato di un sistema di videosorveglianza e rilevamento dei movimenti sempre attivo. L’attività interna ed esterna ai datacenter viene costantemente monitorata e registrata su server protetti, mentre i team addetti alla sorveglianza sono connessi 24 ore su 24, 7 giorni su 7.
  • Ciascun datacenter ha ottenuto il certificato di conformità N4; ogni sala è dotata di un sistema di rilevamento ed estinzione degli incendi e di porte tagliafuoco. Viene rispettata la regola APSAD R4 per l’installazione di estintori portatili.
  • La presenza dei tecnici nella server farm è garantita 365 giorni all’anno, 7 giorni su 7, 24 ore su 24, per una manutenzione permanente. In caso di incidente il team si attiva immediatamente per ripristinare i server nel minor tempo possibile.
  • I nostri server ricevono quotidianamente tutti gli aggiornamenti di sicurezza rilasciati dai relativi produttori.

Disponibilità dei Dati

  • Il provider garantisce uno SLA (disponibilità del servizio) che varia in base al servizio acquistato da ciascun cliente tra il 99,80% e il 99,95%: dischi a bassa latenza e banda passante unica e infrastruttura di storage distribuito.
  • La presenza dei tecnici nella server farm è garantita 365 giorni all’anno, 7 giorni su 7, 24 ore su 24, per una manutenzione permanente. In caso di incidente il team si attiva immediatamente per ripristinare i server nel minor tempo possibile.
  • I datacenter sono alimentati da due collegamenti elettrici indipendenti e dotati di convertitori. L’installazione di gruppi elettrogeni con ben 48 ore di autonomia permette di far fronte a eventuali guasti alla rete elettrica.
  • La nostra infrastruttura garantisce un backup giornaliero dei dati, effettuato su 3 livelli, utilizzabile esclusivamente al fine del ripristino a seguito di un eventuale danno hardware. La copia dei dati può essere comunque effettuata in qualsiasi momento dal Cliente tramite una procedura interna del Gestionale.

Protezione della Rete

  • Il provider attua una politica di protezione dei server tramite un sistema di mitigazione automatica Anti-DDoS (mitigazione reattiva).
  • La connessione al Gestionale avviene tramite il protocollo sicuro https e l’algoritmo di crittografia asimmetrica RSA a 2048 bit, uno tra i più utilizzati al mondo per cifrare le informazioni tra il computer dell’operatore e il Server che conserva i dati.
  • L’uso di MEG – Gestionale Medico è esclusivamente riservato all’operatore ed al personale all’interno dello Studio Medico stesso, perciò l’accesso alla procedura sarà consentito solo previo inserimento delle credenziali corrette (username e password) da parte dell’operatore (medico o segreteria).
  • La password ha una scadenza trimestrale e deve quindi essere rinnovata entro tale termine. MEG provvederà a segnalare l’approssimarsi di tale scadenza, invitando l’operatore ad effettuare il cambio della password con una sufficientemente robusta ed impedendo l’accesso ai dati qualora tale operazione non venga obbligatoriamente effettuata.

Privacy by Design

  • Ogni nuova funzionalità riguardante il trattamento dei dati, che verrà in futuro implementata nel software, avrà sempre come obiettivo la centralità del paziente e della sua privacy.
  • I nostri programmatori, durante tutta la fase di sviluppo del Gestionale, tengono sempre in seria considerazione le implicazioni riguardo la sicurezza del software. Vengono svolte periodicamente verifiche e test per assicurarci che tutto funzioni correttamente.

Privacy by Default

  • Le procedure di creazione, modifica e gestione dei dati sono state realizzate considerando il diritto alla privacy del paziente come impostazione predefinita.
  • Viene minimizzata all’indispensabile la richiesta di dati personali obbligatori, se non quelli necessari alla corretta compilazione e gestione dei referti e dei documenti fiscali.
  • Per impostazione predefinita l’accesso di un operatore membro del gruppo “Segreteria” non consente la creazione, modifica e cancellazione dei dati sanitari (Anamnesi, Visite, Certificati). Tali operazioni sono possibili solo per gli operatori appartenenti al gruppo “Medici”. E’ possibile modificare questo comportamento abilitando gli operatori caso per caso. Si rammenta che, affinché i dipendenti possano trattare i dati sensibili contenuti nel Dossier Sanitario, è indispensabile nominarli incaricati del trattamento, conferendo le necessarie istruzioni.
  • Il sistema di autenticazione a due fattori (2FA) aggiunge sicurezza richiedendo all’utente di verificare la propria identità con due metodi: credenziali di accesso e un codice OTP. Dopo aver inserito nome utente e password, l’utente riceve un codice OTP via email, SMS o app di autenticazione. L’accesso viene concesso solo dopo l’inserimento del codice OTP corretto. 

Qualche risposta per te…

L’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.
E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.
Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento. Timeo Information Technologies Srl tiene entrambi i registri sia in qualità di Titolare del Trattamento che in quella di Responsabile del Trattamento

Il nostro Data Processing Agreement è disponibile a questo indirizzo: https://www.gestionalemedico.shop/data-processing-agreement/

NO, Timeo Information Technologies Srl tratta e conserva i dati degli interessati all’interno dell’Unione Europea. In particolare, server e cloud utilizzati sono:
– OVH (DPA https://us.ovhcloud.com/legal/data-processing-agreement/)
– Aruba Business Srl (https://www.cloud.it/documents/tc-files/1_condizionifornituraserviziarubacloud.aspx)

Timeo Information Technologies Srl adotta misure di sicurezza tecniche e organizzative avanzate per proteggere i dati e garantire l’affidabilità dei servizi. Tra queste: crittografia dei dati, accessi protetti da autenticazione multifattore, monitoraggio continuo, backup regolari, piani di disaster recovery e audit di sicurezza periodici. Tutte le attività sono conformi al GDPR e alle best practice del settore.

SI, è stato nominato un DPO contattabile al seguente indirizzo: dpo.timeo@iusprivacy.eu

SI, è stata elaborata una procedura di disaster recovery

SI, il documento è disponibile contattando Timeo Information Technologies Srl

SI, vengono eseguiti almeno una volta all’anno penetration test e vulnerability assessment

SI, E’ stato formalmente nominato un Amministratore di Sistema

SI, Esiste un registro del data breach e una procedura per la segnalazione di eventuali data breach

SI, esiste una procedura per l’esercizio dei diritti degli interessati

Clicca su questo link per scaricare il nostro modello standard per la Nomina a Responsabile del Trattamento.

Fai una domanda

Ancora qualche domanda?

Per qualunque necessità o chiarimento, il nostro DPO è disponibile ai seguenti contatti: WRP Srl – email: dpo.timeo@iusprivacy.eu oppure PEC: wrp@pec.aruba.it

Come Contattarci

Ti interessa una dimostrazione gratuita?
Per provare senza alcun impegno MEG direttamente dal nostro sito, senza alcun limite e per tutto il tempo che vuoi, contattaci tramite:

Email

Telefono

Riceverai tutte le informazioni necessarie su come accedere ed utilizzare l’Area Demo.

Richiedi informazioni senza impegno

Google reCaptcha: chiave del sito non valida.

Ultimo aggiornamento: lunedì 11 giugno 2025.