Salta al contenuto principale
HomeInformazioni su AuraMedFAQClinicheBlogContattiInizia il tuo caso
🇮🇹

Impostazioni interfaccia

Lingua

🇮🇹

Tema

HomeInformazioni su AuraMedFAQClinicheBlogContattiInizia il tuo caso

AuraMed porta chiarezza a chiunque stia considerando un trattamento o una procedura medica in Romania — pazienti locali, la diaspora rumena e pazienti dall'estero — attraverso casi meglio organizzati, aspettative realistiche e passaggi successivi più facili da coordinare.

Telefono

+40 750 484 004

Contatti

contact@auramed.ro

Piattaforma

Informazioni su AuraMedBlogFAQCome valutiamo un casoCriteri di ammissioneContatti

Fiducia e sicurezza

Termini di utilizzoPrivacyDisclaimer medicoSicurezza
Politiche pubbliche di privacy e sicurezza disponibili

© 2026 AuraMed. Tutti i diritti riservati.

  1. Home
  2. /Sicurezza

POLITICA DI SICUREZZA AURAMED

Questa Politica di Sicurezza (la “Politica”) descrive i principi generali, le misure organizzative e tecniche e le regole di governance della sicurezza applicabili alla piattaforma AuraMed (la “Piattaforma”).

Ultimo aggiornamento: 23 aprile 2026Data di entrata in vigore: 23 aprile 2026

Protocollo di sicurezza

Articolo 1. Scopo e natura del documento1Articolo 2. Quadro giuridico pertinente2Articolo 3. Principi di sicurezza applicati da AuraMed3Articolo 4. Misure tecniche e organizzative4Articolo 5. Controllo degli accessi e riservatezza del personale5Articolo 6. Progettazione, sviluppo e fornitori sicuri6Articolo 7. Dati sanitari e alto livello di protezione7Articolo 8. Registri, valutazioni d'impatto e governance8Articolo 9. Responsabile della protezione dei dati e funzione di sicurezza9Articolo 10. Monitoraggio, test e miglioramento continuo10Articolo 11. Continuità operativa, backup e disaster recovery11Articolo 12. Gestione degli incidenti di sicurezza e delle violazioni dei dati12Articolo 13. Segnalazione di incidenti informatici nella misura in cui si applica NIS213Articolo 14. Responsabilità degli utenti14Articolo 15. Segnalazione di vulnerabilità15Articolo 16. Revisione e aggiornamento della politica

iArticolo 1. Scopo e natura del documento

  • (1)Questa Politica di Sicurezza (la “Politica”) descrive i principi generali, le misure organizzative e tecniche e le regole di governance della sicurezza applicabili alla piattaforma AuraMed (la “Piattaforma”), gestita da PTECHIT SRL, con sede legale in Bdul. Mamaia Nord 14, CORP B2, Piano 2, Apt. 38, Navodari, Contea di Constanta, CAP 905700, Romania, iscritta al Registro delle Imprese al n. J2025043440008, codice fiscale 51988476, EUID ROONRC.J2025043440008, contatto email contact@auramed.ro, telefono +40 750 484 004.
  • (2)La Politica ha un ruolo di informazione pubblica e trasparenza e non descrive esaustivamente tutti i controlli, le configurazioni, le procedure interne, le architetture, i log, le soglie di allarme, i meccanismi di difesa o i piani operativi applicati da AuraMed.
  • (3)AuraMed implementa e aggiorna le misure di sicurezza in base alla natura, allo scopo, al contesto e ai rischi del trattamento, nonché all'evoluzione tecnologica, alle minacce e agli obblighi legali applicabili.
  • (4)Nell'interpretare e applicare questa Politica, AuraMed tiene conto, in particolare, del principio di integrità e riservatezza previsto dall'articolo 5(1)(f) GDPR, dell'obbligo generale del titolare del trattamento previsto dall'articolo 24(1)-(2) GDPR e dell'obbligo di integrare la protezione dei dati fin dalla progettazione e per impostazione predefinita, ai sensi dell'articolo 25(1)-(2) GDPR.

1Articolo 2. Quadro giuridico pertinente

  • (1)Questa Politica è interpretata insieme a:
  • a)Regolamento (UE) 2016/679 (“GDPR”);
  • b)Legge rumena n. 190/2018 sulle misure per l'attuazione del GDPR;
  • c)Legislazione rumena ed europea applicabile alla cybersecurity;
  • d)ove applicabile, legislazione in materia di comunicazioni elettroniche, riservatezza, continuità operativa e gestione degli incidenti.
  • (2)Per quanto riguarda la sicurezza del trattamento dei dati personali, AuraMed tiene conto in particolare:
  • a)dell'articolo 24 GDPR – responsabilità del titolare del trattamento;
  • b)dell'articolo 25 GDPR – protezione dei dati fin dalla progettazione e per impostazione predefinita;
  • c)dell'articolo 28 GDPR – selezione dei responsabili del trattamento e obblighi contrattuali;
  • d)dell'articolo 30 GDPR – registri delle attività di trattamento;
  • e)dell'articolo 32 GDPR – sicurezza del trattamento;
  • f)degli articoli 33-34 GDPR – notifica delle violazioni di sicurezza;
  • g)dell'articolo 35 GDPR – valutazione d'impatto sulla protezione dei dati;
  • h)degli articoli 37-39 GDPR – il responsabile della protezione dei dati, ove applicabile.
  • (3)In materia di cybersecurity, AuraMed segue anche i requisiti applicabili, nella misura in cui diventano rilevanti per il suo modello operativo, inclusi quelli derivanti dalla Direttiva (UE) 2022/2555 (NIS2) e dal suo recepimento nel diritto rumeno tramite l'Ordinanza di Emergenza del Governo n. 155/2024, approvata dalla Legge n. 124/2025.

2Articolo 3. Principi di sicurezza applicati da AuraMed

  • (1)AuraMed applica un approccio basato sul rischio, proporzionato e orientato alla minimizzazione, in modo che il livello di sicurezza sia adeguato alla natura dei dati, inclusi i dati sanitari, al volume del trattamento, agli scopi perseguiti e all'impatto potenziale sugli interessati.
  • (2)Le misure di sicurezza mirano cumulativamente a garantire:
  • a)la riservatezza dei dati;
  • b)l'integrità dei dati e dei sistemi;
  • c)la disponibilità dei servizi e l'accesso legittimo;
  • d)la resilienza dell'infrastruttura;
  • e)il rilevamento, la risposta e la risoluzione degli incidenti;
  • f)la tracciabilità e la capacità di audit.
  • (3)AuraMed persegue inoltre, ove applicabile, un approccio "all-hazards" ai rischi informatici e operativi, inclusi quelli relativi allo sviluppo del software, alla catena di approvvigionamento, alla continuità operativa, alle vulnerabilità e alle comunicazioni sicure. NIS2 richiede esattamente un approccio proporzionato e basato sul rischio ed elenca tra gli elementi minimi: analisi del rischio, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento, acquisizione/sviluppo/manutenzione sicura, gestione e divulgazione delle vulnerabilità, formazione e crittografia/ove appropriato, cifratura.

3Articolo 4. Misure tecniche e organizzative

  • (1)Ai sensi dell'articolo 32(1) GDPR, AuraMed implementa misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio.
  • (2)Tali misure possono includere, ove applicabile:
  • a)pseudonimizzazione e/o cifratura dei dati;
  • b)controllo degli accessi basato sui ruoli e accesso "need-to-know";
  • c)segregazione degli ambienti di sviluppo, test e produzione;
  • d)autenticazione rafforzata e, ove appropriato, autenticazione a più fattori;
  • e)monitoraggio, registrazione e audit degli accessi;
  • f)protezione degli endpoint, aggiornamenti di sicurezza e gestione delle patch;
  • g)piani di backup, ripristino e recupero;
  • h)test periodici dell'efficacia delle misure;
  • i)controlli relativi all'esportazione, al trasferimento e alla cancellazione dei dati;
  • j)procedure di continuità e risposta agli incidenti.
  • (3)Ai sensi dell'articolo 32(1)(a)-(d) GDPR, gli esempi espressamente previsti dalla legge includono la pseudonimizzazione e la cifratura, la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza continue, il tempestivo ripristino della disponibilità e dell'accesso ai dati, e un processo per testare, valutare e verificare regolarmente l'efficacia delle misure.
  • (4)AuraMed non garantisce la sicurezza assoluta, ma mira a mantenere un livello di protezione adeguato, aggiornato e documentato ai sensi degli articoli 24 e 32 GDPR. L'ANSPDCP ha ribadito nella sua prassi che l'assenza di controlli di sicurezza elementari e di test di efficacia può portare a sanzioni ai sensi degli articoli 24 e 32 GDPR.

4Articolo 5. Controllo degli accessi e riservatezza del personale

  • (1)AuraMed limita l'accesso ai dati e ai sistemi solo a persone autorizzate che abbiano una necessità legittima e documentata di accesso per svolgere le proprie mansioni.
  • (2)L'accesso viene concesso, rivisto e revocato in base a ruoli, responsabilità, al principio del "privilegio minimo" e al principio di separazione dei compiti, ove applicabile.
  • (3)Le persone che agiscono sotto l'autorità di AuraMed e che possono avere accesso ai dati sono vincolate da obblighi di riservatezza contrattuali, legali o professionali e possono trattare i dati solo secondo le istruzioni e le politiche applicabili.
  • (4)L'articolo 32(4) GDPR richiede espressamente al titolare del trattamento e al responsabile del trattamento di adottare misure per garantire che qualsiasi persona che agisce sotto la loro autorità e che ha accesso ai dati non li tratti se non su istruzioni del titolare del trattamento, a meno che non sia tenuta a farlo per legge.

5Articolo 6. Progettazione, sviluppo e fornitori sicuri

  • (1)AuraMed mira a integrare la sicurezza e la protezione dei dati fin dalle fasi di progettazione, selezione, sviluppo, configurazione, implementazione e modifica della Piattaforma, ai sensi dell'articolo 25(1)-(2) GDPR.
  • (2)Nella misura in cui AuraMed si avvale di subappaltatori IT, cloud, hosting, comunicazioni, sicurezza, AI, analisi, supporto o altri subappaltatori pertinenti, la loro selezione viene effettuata tenendo conto delle loro garanzie in materia di sicurezza e protezione dei dati.
  • (3)Quando un terzo agisce in qualità di responsabile del trattamento, AuraMed utilizza, ai sensi dell'articolo 28(1) e (3) GDPR, solo fornitori che offrono garanzie sufficienti e stipula la documentazione contrattuale necessaria, anche per quanto riguarda la riservatezza, le misure di sicurezza, i subresponsabili, l'assistenza in caso di incidenti, la cancellazione/restituzione e l'audit.
  • (4)Nella misura in cui AuraMed rientra nell'ambito di applicazione di NIS2/Ordinanza di Emergenza del Governo n. 155/2024, la governance della sicurezza includerà anche i requisiti relativi alla sicurezza della catena di approvvigionamento e all'acquisizione, allo sviluppo e alla manutenzione sicura, inclusa la gestione e la divulgazione delle vulnerabilità.

6Articolo 7. Dati sanitari e alto livello di protezione

  • (1)Nella misura in cui AuraMed tratta dati sanitari, tali dati sono considerati dati appartenenti a categorie particolari ai sensi dell'articolo 9(1) GDPR e beneficiano di misure di protezione rafforzate.
  • (2)AuraMed mira ad applicare, a seconda del contesto di trattamento effettivo:
  • a)minimizzazione dei dati;
  • b)limitazione degli accessi;
  • c)pseudonimizzazione, ove appropriato;
  • d)conservazione limitata;
  • e)separazione logica dei flussi e dei log;
  • f)controlli rafforzati per documenti medici e conversazioni sensibili.
  • (3)AuraMed adatta le proprie misure di sicurezza alla natura particolarmente sensibile dei dati sanitari, in conformità con l'articolo 9(1)-(2) GDPR e l'obbligo generale di sicurezza previsto dall'articolo 32 GDPR. L'ANSPDCP afferma espressamente che i dati sanitari fanno parte delle categorie particolari e possono essere trattati solo alle condizioni dell'articolo 9(2) GDPR.

7Articolo 8. Registri, valutazioni d'impatto e governance

  • (1)AuraMed mantiene, nella misura in cui è applicabile, registri delle attività di trattamento ai sensi dell'articolo 30 GDPR e documenta le misure di sicurezza e conformità pertinenti.
  • (2)Se un'operazione di trattamento è suscettibile di generare un rischio elevato per i diritti e le libertà delle persone fisiche, AuraMed effettua una valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'articolo 35 GDPR prima di avviare o estendere tale trattamento.
  • (3)L'articolo 35 GDPR indica, tra i casi tipici, il trattamento su larga scala di categorie particolari di dati, e l'EDPB sottolinea che una DPIA è una valutazione scritta volta a identificare i rischi e le garanzie appropriate. L'ANSPDCP include la DPIA tra gli obblighi chiave del titolare del trattamento.

8Articolo 9. Responsabile della protezione dei dati e funzione di sicurezza

  • (1)AuraMed valuta periodicamente se sussiste l'obbligo di nominare un Responsabile della Protezione dei Dati (DPO), in particolare in relazione all'articolo 37(1)(b) e (c) GDPR.
  • (2)Ai sensi dell'articolo 37(1) GDPR, la nomina di un DPO è richiesta, tra gli altri casi, quando:
  • a)le attività principali comportano il monitoraggio su larga scala, regolare e sistematico; o
  • b)le attività principali comportano il trattamento su larga scala di categorie particolari di dati, inclusi i dati sanitari.
  • (3)Se viene nominato un DPO, AuraMed garantisce il suo appropriato e tempestivo coinvolgimento in tutte le questioni relative alla protezione dei dati, ai sensi dell'articolo 38(1) e (3) GDPR, e i suoi compiti includono anche la consulenza in materia di DPIA e il monitoraggio della conformità, ai sensi dell'articolo 39(1)(b)-(c) GDPR.

9Articolo 10. Monitoraggio, test e miglioramento continuo

  • (1)AuraMed applica processi periodici di verifica, test, valutazione e miglioramento dei controlli tecnici e organizzativi, ai sensi dell'articolo 32(1)(d) GDPR.
  • (2)Tali processi possono includere, ove applicabile:
  • a)revisioni degli accessi;
  • b)controlli delle configurazioni;
  • c)valutazioni delle vulnerabilità;
  • d)audit interni o esterni;
  • e)esercitazioni di risposta agli incidenti;
  • f)controlli di backup e ripristino;
  • g)formazione e sensibilizzazione del personale.
  • (3)L'ANSPDCP menziona esplicitamente tra le misure necessarie l'esistenza di un processo per testare, valutare e verificare regolarmente l'efficacia delle misure di sicurezza, e NIS2 richiede inoltre politiche/procedure per valutare l'efficacia delle misure di gestione del rischio informatico.

10Articolo 11. Continuità operativa, backup e disaster recovery

  • (1)AuraMed mira a mantenere la continuità operativa e la resilienza operativa attraverso misure proporzionate di backup, ripristino, ridondanza, recupero e gestione delle crisi, in relazione alla natura dei servizi forniti.
  • (2)L'articolo 32(1)(c) GDPR richiede la capacità di ripristinare la disponibilità dei dati personali e l'accesso ad essi in modo tempestivo in caso di incidente fisico o tecnico.
  • (3)Nella misura in cui si applicano NIS2/Ordinanza di Emergenza del Governo n. 155/2024, AuraMed mira anche a integrare misure di continuità operativa, gestione dei backup, disaster recovery e gestione delle crisi, che fanno parte del nucleo minimo dell'articolo 21 NIS2. Il DNSC pubblica inoltre linee guida dedicate per le politiche di disaster recovery nel contesto dell'Ordinanza di Emergenza del Governo n. 155/2024, approvata dalla Legge n. 124/2025.

11Articolo 12. Gestione degli incidenti di sicurezza e delle violazioni dei dati

  • (1)AuraMed mantiene procedure interne per l'identificazione, la valutazione, l'escalation, il contenimento, l'indagine, la risoluzione e la documentazione degli incidenti di sicurezza.
  • (2)AuraMed distingue tra:
  • a)un incidente informatico/operativo, che interessa o può interessare sistemi, servizi o la continuità operativa; e
  • b)una violazione dei dati personali, ai sensi dell'articolo 4(12) GDPR, che può comportare distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato ai dati.
  • (3)In caso di violazione dei dati personali, AuraMed applica l'articolo 33 GDPR e notifica all'autorità di controllo competente senza indebito ritardo e, ove possibile, entro 72 ore da quando ne è venuta a conoscenza, a meno che la violazione non sia suscettibile di comportare un rischio per i diritti e le libertà delle persone fisiche.
  • (4)Se la violazione è suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone fisiche, AuraMed comunica l'incidente anche all'interessato ai sensi dell'articolo 34(1) GDPR.
  • (5)L'articolo 33(3) GDPR richiede che la notifica includa almeno la natura della violazione, le categorie e il numero approssimativo di interessati e registrazioni interessati, i dati di contatto del punto di contatto/DPO, le conseguenze probabili e le misure adottate o proposte; l'articolo 33(5) richiede inoltre la documentazione di tutte le violazioni. L'ANSPDCP fornisce il modulo di notifica per una violazione della sicurezza ai sensi del GDPR.

12Articolo 13. Segnalazione di incidenti informatici nella misura in cui si applica NIS2

  • (1)Nella misura in cui AuraMed rientra nell'ambito di applicazione di NIS2 e della legislazione di recepimento rumena, gli incidenti significativi saranno gestiti e segnalati anche secondo le norme di cybersecurity settoriali applicabili.
  • (2)Nell'ambito del quadro NIS2, le entità incluse hanno obblighi di segnalazione multi-fase: allarme preliminare entro 24 ore dalla presa di conoscenza, notifica entro 72 ore e un rapporto finale, generalmente entro un mese.
  • (3)Attraverso questa Politica, AuraMed non dichiara automaticamente di qualificarsi come entità essenziale o importante ai sensi di NIS2/Ordinanza di Emergenza del Governo n. 155/2024; tale qualificazione viene analizzata separatamente, a seconda delle attività effettive, del settore, delle dimensioni e dei criteri legali applicabili.

13Articolo 14. Responsabilità degli utenti

  • (1)Gli utenti della Piattaforma sono tenuti a utilizzare servizi e dispositivi ragionevolmente sicuri, a proteggere le credenziali, a evitare la condivisione non autorizzata di account o link di accesso e a informarci senza indugio in caso di sospetto uso non autorizzato o di una vulnerabilità.
  • (2)Gli utenti non devono caricare codice dannoso, tentare di aggirare le misure di sicurezza, eseguire test non autorizzati, scraping, reverse engineering proibito, tentativi di escalation dei privilegi o qualsiasi altra azione suscettibile di influire sulla disponibilità, integrità o riservatezza della Piattaforma.
  • (3)AuraMed si riserva il diritto di sospendere, limitare o bloccare l'accesso in caso di attività che comportino un rischio per la sicurezza o violino la legge o la documentazione contrattuale applicabile.

14Articolo 15. Segnalazione di vulnerabilità

  • (1)Se identifichi una vulnerabilità, un comportamento anomalo, una configurazione insicura o un incidente di sicurezza relativo alla Piattaforma, ti preghiamo di contattarci all'indirizzo: dev@auramed.ro.
  • (2)AuraMed incoraggia la divulgazione responsabile e in buona fede delle vulnerabilità e può analizzare, validare, dare priorità e risolvere i problemi segnalati a seconda della gravità e dell'impatto.
  • (3)Nella misura in cui si applica NIS2, la gestione e la divulgazione delle vulnerabilità sono tra gli elementi espressamente menzionati dal quadro europeo di gestione del rischio informatico.

15Articolo 16. Revisione e aggiornamento della politica

  • (1)AuraMed può rivedere e aggiornare questa Politica per motivi legali, tecnici, operativi o commerciali.
  • (2)Qualsiasi versione aggiornata sarà pubblicata sulla Piattaforma, con indicata la data dell'ultimo aggiornamento.
  • (3)Modifiche rilevanti potranno essere correlate anche a cambiamenti nell'architettura tecnica, nei fornitori, nei flussi di dati, negli obblighi GDPR, nel quadro NIS2 o nelle minacce informatiche attuali.