GDPR | Misure di Sicurezza
L’art. 32 GDPR dispone che per approntare delle adeguate misure di sicurezza bisogna tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un’analisi del rischio sui dati personali trattati).
Il tutto per garantire un livello di sicurezza adeguato al rischio.
Tra le “soluzioni” che l’art. 32 elenca – in maniera non esaustiva – vi sono:
1) la pseudonimizzazione[12] e la cifratura[13] dei dati personali;
2) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
3) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico (es. backup / disaster recovery[14]);
4) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Inoltre nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Inoltre, punto importante, lo Studio Titolare del trattamento fa sì che chiunque agisca sotto la Sua autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso.
Ricordiamo che le misure imprescindibili per uno Studio medico e odontoiatrico previste dall’art. 32 GDPR sono:
a) Controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password per ogni singolo operatore;
b) Username e password devono essere perfettamente memorizzati, non vanno scritti su carta e collocati a vista presso la postazione PC, sono personali e non cedibili a nessuno;
c) Ogni volta che si abbandona la postazione PC, anche per pochi secondi, va effettuata la disconnessione dal terminale (ad esempio, Logo Windows + L);
d) La password va cambiata periodicamente e non oltre 90 giorni;
e) Su ogni PC e terminale vanno installati Antivirus e Firewall con licenze d’uso originali (preferibilmente, non affidarsi a software gratuiti);
f) Antivirus e Firewall devono essere aggiornati quotidianamente;
g) Dotarsi di soluzioni di crittografia / pseudonimizzazione per gli archivi elettronici;
h) Porre in essere backup periodici.
i) Replicare le stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc.).
Il tutto per garantire un livello di sicurezza adeguato al rischio.
Tra le “soluzioni” che l’art. 32 elenca – in maniera non esaustiva – vi sono:
1) la pseudonimizzazione[12] e la cifratura[13] dei dati personali;
2) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
3) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico (es. backup / disaster recovery[14]);
4) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Inoltre nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Inoltre, punto importante, lo Studio Titolare del trattamento fa sì che chiunque agisca sotto la Sua autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso.
Ricordiamo che le misure imprescindibili per uno Studio medico e odontoiatrico previste dall’art. 32 GDPR sono:
a) Controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password per ogni singolo operatore;
b) Username e password devono essere perfettamente memorizzati, non vanno scritti su carta e collocati a vista presso la postazione PC, sono personali e non cedibili a nessuno;
c) Ogni volta che si abbandona la postazione PC, anche per pochi secondi, va effettuata la disconnessione dal terminale (ad esempio, Logo Windows + L);
d) La password va cambiata periodicamente e non oltre 90 giorni;
e) Su ogni PC e terminale vanno installati Antivirus e Firewall con licenze d’uso originali (preferibilmente, non affidarsi a software gratuiti);
f) Antivirus e Firewall devono essere aggiornati quotidianamente;
g) Dotarsi di soluzioni di crittografia / pseudonimizzazione per gli archivi elettronici;
h) Porre in essere backup periodici.
i) Replicare le stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc.).