Informativa Privacy (GDPR) – Servizi MSP/SOC

Ai sensi del Regolamento (UE) 2016/679 e del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018

Ultimo aggiornamento: 29 ottobre 2025 Operiamo come Managed Service Provider (MSP) GDPR artt. 12–22, 24–32, 44–49 Cookie: Linee guida Garante 10/06/2021

In qualità di MSP eroghiamo servizi gestiti di cybersecurity e IT (SOC 24/7, monitoraggio, incident response, backup/DR, patching, gestione asset). A seconda dei casi agiamo come Responsabile ex art. 28, come Contitolare (art. 26) o come Titolare autonomo (es. adempimenti di security operations e difesa in giudizio).

1 Titolare, DPO e contatti

Titolare del trattamento

UESE ITALIA S.p.A.
Sede legale: Piazza Trivulziana 4/A, 20126 Milano
P. IVA: 04398760274
PEC: unitedsafety@pec.it
Telefono: 0418723000
Sito web: guardiansoc.it

Data Protection Officer (DPO)

dr. Giuseppe Izzo
E-mail: dpo@uese.it
Il DPO è il referente indipendente per tutte le questioni relative alla protezione dei dati personali.

2 Tipologie di dati trattati

Trattiamo dati necessari alla navigazione del sito e all’erogazione dei servizi MSP/SOC:

  • Dati di navigazione: IP, timestamp, URI, user-agent, info dispositivo, eventi di sicurezza (impiegati per sicurezza, diagnostica e statistiche aggregate).
  • Cookie/strumenti analoghi: tecnici (essenziali); previo consenso, analytics e marketing. Dettagli nella Cookie Policy.
  • Dati forniti dall’utente: identificativi e di contatto (nome, cognome, e-mail, telefono), dati professionali/azienda (ruolo, settore, P. IVA), contenuti delle richieste, ticket, iscrizioni a newsletter/webinar, candidature (CV).
  • Dati di sicurezza IT (MSP/SOC): indicatori di compromissione, log di rete/applicativi, telemetria endpoint, alert, ticket, report; possono includere info personali riferibili a dipendenti/utenti dei clienti.

Non richiediamo in via ordinaria categorie particolari di dati (art. 9 GDPR). Se l’utente le inserisce spontaneamente, saranno trattate solo se pertinenti e necessarie.

3 Finalità e basi giuridiche del trattamento

Le basi giuridiche sono individuate ai sensi dell’art. 6 GDPR; ove richiesto raccogliamo consenso (art. 6.1.a), revocabile in ogni momento senza pregiudizio della liceità pregressa.

FinalitàBase giuridicaEsempi operativi
Funzionamento sito/portali Contratto o misure precontrattuali (art. 6.1.b) Gestione form, risposte a richieste, accesso aree riservate, ticketing, provisioning account
Sicurezza e prevenzione abusi Legittimo interesse (art. 6.1.f) WAF, rate-limiting, indagini su incidenti, integrità e disponibilità dei sistemi
Servizi MSP/SOC Contratto (art. 6.1.b) + legittimo interesse; eventuali obblighi legali Monitoring H24, incident response, vuln & patch mgmt, backup/DR, reportistica e audit
Comunicazioni commerciali e newsletter Consenso (6.1.a) e/o soft spam B2B Invio contenuti tecnici e inviti a webinar; opt-out sempre disponibile
Adempimenti normativi Obbligo legale (6.1.c) Fiscalità, risposte ad Autorità, conservazione documentale
Difesa in giudizio / frodi Legittimo interesse (6.1.f) Tutela dei diritti, gestione contenziosi, conservazione evidenze
Selezione del personale Misure precontrattuali (6.1.b) Screening candidature, colloqui, conservazione CV (max 12 mesi)
4 Natura del conferimento

I dati contrassegnati come necessari sono indispensabili per evadere le richieste e attivare i servizi MSP/SOC; in mancanza potremmo non riuscire a erogare il servizio. Il conferimento per marketing/analytics è facoltativo.

5 Ruoli privacy nei servizi MSP/SOC

Nel rapporto con i clienti business:

  • Responsabile del Trattamento (art. 28): ruolo tipico dell’MSP. Eseguiamo le istruzioni del cliente (Titolare), adottando misure tecniche/organizzative adeguate. Il rapporto è regolato da DPA con elenco sub-fornitori e SLA.
  • Contitolarità (art. 26): quando finalità e mezzi sono determinati congiuntamente (es. piattaforme condivise, threat-intel congiunta). Accordo di riparto responsabilità pubblicamente disponibile su richiesta.
  • Titolare autonomo: per obblighi propri (es. sicurezza interna, difesa in giudizio, incident reporting verso Autorità).

Applichiamo privacy by design & default, minimizzazione, proporzionalità e principio need-to-know.

6 Tempi di conservazione
  • Log tecnici/sicurezza del sito: 7–12 mesi (estendibili per indagini).
  • Richieste commerciali/supporto: 24 mesi dall’ultima interazione.
  • Documenti amministrativi/contratti: fino a 10 anni.
  • Account aree riservate: durata rapporto + 12 mesi.
  • Marketing/newsletter: fino a revoca; prova del consenso per 36 mesi dopo la revoca.
  • Dati SOC/MSP: come da DPA; tipicamente 30 gg – 24 mesi (SIEM, EDR, ticket, report).
7 Destinatari dei dati
  • Personale e collaboratori del Titolare, autorizzati e istruiti (art. 29).
  • Fornitori/Responsabili (art. 28): hosting/cloud, SIEM/EDR, ticketing/CRM, mailing, consulenti legali/fiscali, auditori. Elenco aggiornato disponibile su richiesta.
  • Autorità/soggetti pubblici quando richiesto da norme o ordini.
  • Partner per incident response e threat intelligence, se contrattualmente previsti e nel rispetto delle garanzie applicabili.
8 Trasferimenti extra-UE

Preferiamo regioni/istanze in UE. Quando coinvolgiamo fornitori fuori dallo SEE adottiamo SCC e misure supplementari (cifratura, pseudonimizzazione, minimizzazione), con valutazioni caso per caso. Copia delle garanzie disponibile su richiesta.

9 Cookie e strumenti di tracciamento
  • Cookie tecnici per funzionalità essenziali (non richiedono consenso).
  • Analytics/marketing attivati solo previa scelta nel banner conforme alle Linee Guida del Garante (10/06/2021). Preferenze modificabili in ogni momento tramite “Impostazioni cookie”.
  • Terze parti: installazione solo dopo consenso. Vedi Cookie Policy per nomi, finalità, durata, provider.
10 Misure di sicurezza (MSP)

Misure tecnico-organizzative (art. 32 GDPR), allineate al ruolo di MSP:

  • Identity & Access: minimo privilegio, MFA, segregazione ambienti, review periodiche.
  • Hardening & Patch: baseline, gestione vulnerabilità, aggiornamenti secondo SLA.
  • Protezione dati: cifratura in transito/a riposo ove applicabile, tokenizzazione/pseudonimizzazione, controllo exfiltration, backup e disaster recovery.
  • Monitoraggio & risposta: SOC 24/7, SIEM/EDR, playbook IR, audit trail e logging.
  • Governance: policy, formazione, test periodici, privacy by design & default.
11 Diritti degli interessati

Diritti: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e revoca del consenso (artt. 15–22 GDPR). In caso di opposizione basata su legittimo interesse, potremo dimostrare motivi legittimi cogenti.

Nessuna decisione unicamente automatizzata con effetti giuridici (art. 22) salvo diversa informativa per servizi specifici.

12 Esercizio dei diritti e contatti

Reclamo al Garante per la Protezione dei Dati Personali: garanteprivacy.it.

13 Minori

Sito rivolto a un pubblico professionale. Per servizi online, l’eventuale consenso del minore di anni 14 è prestato o autorizzato da chi esercita la responsabilità genitoriale, secondo la normativa italiana.

14 Aree riservate, account e audit

Per l’accesso ad aree riservate/portali MSP è richiesta la creazione di un account. L’utente è responsabile della custodia delle credenziali. I log di accesso/attività sono trattati per sicurezza e audit.

15 Comunicazioni commerciali

Con consenso inviamo aggiornamenti su soluzioni MSP/SOC, white paper e inviti a webinar/eventi. In contesto B2B potremmo inviare comunicazioni su servizi analoghi contrattualizzati (soft spam), con opt-out sempre disponibile.

16 Candidature e recruiting

CV trattati per finalità di selezione; conservazione max 12 mesi (salvo diverso consenso/documentazione). Evitare categorie particolari non pertinenti.

17 Social media e terze parti

Widget/plugin di terze parti seguono le rispettive privacy policy. Prima dell’attivazione di plugin che comportino tracciamento sarà richiesto il consenso, ove necessario.

18 Registro trattamenti, DPIA e audit periodici

Manteniamo il registro dei trattamenti (art. 30). Per trattamenti ad alto rischio effettuiamo DPIA e riesami periodici delle misure, coinvolgendo il DPO. Per i servizi MSP/SOC sono previsti controlli continuativi e verifiche su SLA e playbook SOAR.

19 Modifiche all’informativa

Questa informativa può essere aggiornata per riflettere evoluzioni normative, tecnologiche o dei servizi MSP/SOC. La versione più recente è pubblicata su questa pagina con data di aggiornamento. In caso di modifiche rilevanti, forniremo una notifica appropriata.

20 Riferimenti normativi
  • Regolamento (UE) 2016/679 (GDPR), artt. 12–22, 24–32, 44–49
  • D.lgs. 196/2003 (Codice Privacy) e D.lgs. 101/2018
  • Linee guida del Garante su cookie e altri strumenti di tracciamento (Provv. n. 231 del 10/06/2021)
  • Linee guida EDPB sul consenso (05/2020)
  • Clausole Contrattuali Standard – Decisione di esecuzione (UE) 2021/914
Cerca