Zero trust security: un nuovo paradigma per la sicurezza informatica

Negli ultimi anni, la sicurezza informatica è stata rivoluzionata dal modello Zero Trust Security, basato sul principio "non fidarti mai, verifica sempre". Questo articolo analizza i principi fondamentali, le tecnologie necessarie per l'implementazione, i vantaggi, le sfide e le applicazioni pratiche di questo approccio, offrendo una panoramica del suo impatto nel contesto attuale.
Zero Trust Security

Negli ultimi anni, la sicurezza informatica ha subito una radicale trasformazione, spinta dall’evoluzione delle minacce cyber e dalla crescente complessità delle infrastrutture IT. Uno dei paradigmi emergenti che ha guadagnato sempre più attenzione è il modello zero trust, spesso identificato con il termine zero trust security.

Questo approccio si discosta nettamente dai modelli di sicurezza tradizionali, proponendo un’architettura in cui la fiducia non viene mai data per scontata.

In questo articolo, esploreremo in dettaglio i principi cardine del modello, le sue applicazioni pratiche, i benefici, le sfide associate e l’impatto economico. Inoltre, forniremo una panoramica delle tecnologie abilitanti, delle best practice per l’implementazione, e analizzeremo come il modello si inserisca nel contesto normativo attuale e le sue prospettive future.

Cos’è il modello zero trust?

La Zero Trust Security è un paradigma di sicurezza che si basa su un principio fondamentale: “non fidarti mai, verifica sempre”. Questo concetto si oppone alla tradizionale architettura di sicurezza che divideva il perimetro di rete in aree sicure e non sicure, con l’assunto che tutto ciò che si trovava all’interno del perimetro fosse affidabile.

In un ambiente zero trust, non esiste un perimetro di fiducia: ogni utente, dispositivo e applicazione devono essere costantemente verificati, indipendentemente dalla loro posizione nella rete.

Storia e origine del modello

Il concetto è stato formalmente introdotto da John Kindervag, un analista di Forrester Research, nel 2010. Kindervag notò che il modello di sicurezza tradizionale, basato su una chiara distinzione tra “interno” ed “esterno” alla rete, non era più adeguato a fronte della crescente complessità delle minacce e dell’aumento dell’accesso remoto e delle applicazioni cloud.

Le origini del modello sono radicate nell’esigenza di adattarsi a un mondo in cui il perimetro di sicurezza si è dissolto a causa della trasformazione digitale. Le reti aziendali non sono più monolitiche, ma piuttosto costituite da un insieme eterogeneo di ambienti on-premise, cloud e dispositivi mobili. Questo ha reso necessario un nuovo approccio alla sicurezza, che prescinde dalla posizione fisica delle risorse e si concentra su controlli rigorosi e continui.

Come funziona la Zero Trust Security

Il modello funziona adottando un approccio che presuppone che ogni elemento, sia esso un utente, un dispositivo o un’applicazione, possa rappresentare una potenziale minaccia. Di conseguenza, richiede che ogni richiesta di accesso sia verificata e autorizzata in base a una serie di criteri specifici.

  1. Identificazione e autenticazione: ogni utente o dispositivo che tenta di accedere a una risorsa deve prima essere identificato e autenticato. Questo processo inizia con l’assegnazione di identità digitali uniche tramite un sistema di gestione delle identità e degli accessi (IAM). L’autenticazione multi-fattore (MFA) è spesso utilizzata per garantire che solo utenti legittimi possano accedere alle risorse, richiedendo più prove di identità, come una password e un token generato dinamicamente.
  2. Autorizzazione basata sul contesto: una volta autenticato, l’accesso viene concesso o negato in base al contesto specifico, come la posizione geografica dell’utente, l’orario della richiesta, il dispositivo utilizzato e lo stato di sicurezza di quel dispositivo. Ad esempio, un utente potrebbe essere autorizzato ad accedere a determinate risorse solo da un dispositivo aziendale conforme alle policy di sicurezza, ma non dal proprio smartphone personale. Le policy di accesso sono definite in modo granulare e possono essere aggiornate dinamicamente in base alle necessità operative e alle condizioni di rischio.
  3. Segmentazione granulare: la rete viene suddivisa in micro-segmenti isolati, ognuno dei quali rappresenta una zona di sicurezza distinta. Questo significa che, anche se un hacker dovesse riuscire a penetrare in un segmento della rete, non avrebbe accesso automatico agli altri segmenti. La segmentazione avviene a livello di rete, applicazione e dati, garantendo che ogni componente sia protetto da politiche di sicurezza specifiche.
  4. Monitoraggio e analisi continua: l’attività di ogni utente e dispositivo è costantemente monitorata per rilevare comportamenti anomali o sospetti. Utilizzando tecniche avanzate di analisi comportamentale e machine learning, il sistema è in grado di identificare rapidamente minacce potenziali e rispondere in tempo reale. Ad esempio, un tentativo di accesso da una posizione geografica insolita o un picco improvviso nel volume di dati trasferiti potrebbero attivare un controllo di sicurezza aggiuntivo o bloccare temporaneamente l’accesso.
  5. Risposta automatizzata agli incidenti: quando viene rilevata un’attività sospetta, il sistema può attivare automaticamente risposte predefinite, come la quarantena di un dispositivo compromesso, la disconnessione di un utente o l’applicazione di policy di sicurezza più restrittive. Questa automazione consente di mitigare rapidamente i rischi senza dover attendere l’intervento manuale dei consulenti di sicurezza informatica.
  6. Gestione centralizzata delle politiche: le politiche di sicurezza devono essere gestite centralmente e applicate in modo coerente su tutta l’infrastruttura IT, inclusi ambienti cloud, on-premise e ibridi. Una gestione centralizzata consente una visione unificata delle politiche di sicurezza e facilita l’applicazione di aggiornamenti e correzioni in modo tempestivo.

Tecnologie fondamentali e architettura

Per implementare efficacemente una strategia zero trust è necessario integrare diverse tecnologie:

  • Gestione delle identità e degli accessi (IAM): fondamentale per la gestione delle identità digitali e per garantire che solo gli utenti autorizzati possano accedere alle risorse aziendali.
  • Autenticazione multi-fattore (MFA): aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di fornire due o più prove della loro identità.
  • Software defined perimeter (SDP): crea un perimetro dinamico che si adatta alle esigenze di accesso, mascherando l’infrastruttura interna da utenti non autorizzati.
  • Network access control (NAC): gestisce l’accesso ai componenti di rete e garantisce che solo i dispositivi conformi alle policy possano connettersi.
  • Security information and event management (SIEM): fornisce monitoraggio, rilevamento delle minacce e risposta agli incidenti in tempo reale attraverso l’analisi dei log e degli eventi di sicurezza.
  • Intelligenza artificiale e machine learning: queste tecnologie sono sempre più integrate per analizzare grandi quantità di dati in tempo reale, identificando schemi sospetti che potrebbero indicare una minaccia.

Applicazioni pratiche del modello

  • Protezione delle applicazioni e dei dati sensibili: grazie alla segmentazione granulare e alla verifica continua, le aziende possono proteggere le applicazioni critiche e i dati sensibili, limitando l’accesso solo a utenti e dispositivi autorizzati.
  • Sicurezza nelle architetture cloud: è particolarmente adatto in ambienti cloud, dove i confini di rete tradizionali non esistono. Le politiche di sicurezza vengono applicate uniformemente a tutti gli utenti e dispositivi, indipendentemente da dove si trovino. Le aziende che adottano infrastrutture cloud ibride possono trarre particolare beneficio dall’implementazione di un framework zero trust.
  • Gestione degli accessi remoti: con l’aumento del lavoro da remoto, le organizzazioni devono garantire che i dipendenti accedano in modo sicuro alle risorse aziendali da qualsiasi luogo. La zero trust security fornisce un framework per autenticare e autorizzare in modo sicuro gli accessi remoti, proteggendo le risorse aziendali anche fuori dal perimetro fisico dell’organizzazione.
  • Protezione contro le minacce interne: il modello riduce il rischio associato alle minacce interne, poiché ogni accesso è sottoposto a controlli rigorosi, indipendentemente dalla provenienza dell’utente o del dispositivo. Questo è particolarmente rilevante in settori come il finance e la sanità, dove la protezione dei dati sensibili è critica.

Casi d’uso e scenari di applicazione

Diversi settori stanno adottando il modello per rispondere a sfide specifiche:

  • Settore finanziario: le banche e le istituzioni finanziarie lo utilizzano per proteggere le transazioni finanziarie, garantire la conformità alle normative come il GDPR e prevenire il furto di dati sensibili attraverso un accesso rigorosamente controllato e monitorato.
  • Sanità: gli ospedali e le organizzazioni sanitarie lo adottano per proteggere le informazioni sanitarie personali (PHI) e garantire che solo il personale autorizzato possa accedere ai sistemi critici, come le cartelle cliniche elettroniche (EMR).
  • Pubblica amministrazione: le agenzie governative implementano modelli di sicurezza zero trust per proteggere le infrastrutture critiche da attacchi cyber, garantendo al contempo che i dati sensibili siano accessibili solo a chi ha diritto a farlo.

Vantaggi dell’implementazione del modello

L’adozione di un’architettura zero trust porta con sé numerosi benefici:

  • Riduzione della superficie di attacco: limitando l’accesso alle risorse e segmentando la rete, la superficie di attacco viene drasticamente ridotta, rendendo più difficile per gli aggressori compromettere l’intera infrastruttura.
  • Maggiore visibilità e controllo: la verifica continua e il monitoraggio costante offrono una visibilità completa su chi accede a cosa e quando. Questo livello di controllo è essenziale per identificare e mitigare rapidamente le minacce.
  • Conformità alle normative: molte normative richiedono controlli rigorosi sugli accessi e la protezione dei dati sensibili. Implementare una strategia zero trust aiuta le organizzazioni a soddisfare questi requisiti normativi in modo più efficace. Le aziende che operano in settori regolamentati possono garantire, tramite questa soluzione di sicurezza informatica, la conformità alle normative locali e internazionali.
  • Flessibilità operativa: il modello è progettato per essere flessibile e adattabile, consentendo alle organizzazioni di evolvere le loro strategie di sicurezza in risposta ai cambiamenti nel panorama delle minacce e nelle esigenze operative.
  • Miglioramento del ROI: implementare una strategia zero trust può portare a un miglioramento del ritorno sugli investimenti (ROI) riducendo i costi associati alle violazioni di dati e migliorando l’efficienza operativa grazie a una maggiore automazione e a una gestione centralizzata delle politiche di sicurezza.

Sfide nell’implementazione della zero trust security

Nonostante i numerosi vantaggi, l’implementazione di un modello zero trust non è priva di sfide. Le principali difficoltà includono:

  • Complessità dell’implementazione: la transizione a una strategia zero trust richiede un cambiamento significativo nell’architettura di sicurezza esistente, che può risultare complesso e costoso. Le aziende devono affrontare la necessità di integrare nuove tecnologie e adattare processi consolidati.
  • Gestione del cambiamento: l’introduzione di nuove politiche di sicurezza può incontrare resistenze all’interno dell’organizzazione, soprattutto se richiede modifiche sostanziali ai processi esistenti. È essenziale che le organizzazioni adottino un approccio graduale, comunicando chiaramente i benefici del cambiamento e formando adeguatamente il personale.
  • Interoperabilità delle tecnologie: integrare diverse tecnologie per la gestione delle identità, la segmentazione della rete e il monitoraggio delle attività può essere una sfida, soprattutto in ambienti eterogenei. Garantire che tutti i componenti del sistema funzionino armoniosamente richiede un’attenta pianificazione e test rigorosi.
  • Costi iniziali elevati: l’implementazione richiede investimenti iniziali significativi in termini di tecnologie e formazione. Tuttavia, questi costi possono essere ammortizzati nel tempo grazie ai risparmi derivanti dalla riduzione delle violazioni e dall’aumento dell’efficienza operativa.

Integrazione con normative e standard

Il modello zero trust si integra perfettamente con molte normative globali di sicurezza e privacy, come il GDPR, HIPAA, e PCI DSS. Implementare una strategia di questo tipo può facilitare la conformità con queste normative, poiché le politiche di sicurezza sono progettate per garantire che solo gli utenti autorizzati abbiano accesso ai dati sensibili, e che tutte le attività siano monitorate e registrate in modo sicuro.

Le aziende possono inoltre implementare zero trust per rispondere ai requisiti di audit e fornire prove di conformità durante le verifiche normative.

Evoluzione futura del modello

Il futuro della zero trust security è strettamente legato all’evoluzione delle tecnologie di sicurezza e delle minacce informatiche. L’intelligenza artificiale (AI) e il machine learning (ML) giocheranno un ruolo sempre più importante nell’analisi dei dati di sicurezza e nell’identificazione di minacce emergenti.

Inoltre, l’automazione dei processi di sicurezza diventerà sempre più diffusa, consentendo una risposta più rapida e precisa agli incidenti. Man mano che le tecnologie cloud continuano a evolversi, lo zero trust si adatterà per fornire una protezione ancora più robusta e flessibile in ambienti ibridi e multi-cloud.

Le organizzazioni dovranno rimanere agili e adattabili per sfruttare al meglio queste innovazioni e garantire che le loro strategie di sicurezza siano sempre all’avanguardia.

Conclusione

Il modello rappresenta una svolta significativa nel campo della sicurezza informatica, fornendo un approccio più robusto e flessibile per proteggere le organizzazioni dalle minacce sempre più sofisticate. Sebbene la sua implementazione richieda un impegno considerevole in termini di risorse e gestione del cambiamento, i benefici a lungo termine in sicurezza, conformità e resilienza operativa lo rendono una strategia essenziale per le organizzazioni moderne.

Adottare la zero trust security non è solo una risposta alle sfide odierne, ma un passo fondamentale verso una sicurezza proattiva e adattiva, in grado di proteggere le risorse critiche in un panorama digitale in continua evoluzione. Con l’integrazione delle ultime tecnologie e una continua attenzione all’evoluzione delle minacce, il modello si posiziona come il paradigma di riferimento per la sicurezza del futuro.

Se cerchi una squadra di esperti in cyber security che possa aiutare la tua azienda ad implementare in modo efficace una strategia di zero trust security, puoi rivolgerti a noi di SOLUNET: saremo felici di affiancarti in questo percorso!

[simple-author-box]

Scritto da Alessandro Cusinato
Amante della montagna, dei libri e dei bigoli all’anitra, nel tempo libero ha pensato bene di laurearsi in Cybersecurity! Il nostro IT Security Specialist fa anche il monitoraggio SOC/NOC.
Torna alle news

Cookie Policy

Pubblicata il 26/05/2026

Gentile utente, il presente documento descrive le tipologie, le finalità ed i tempi di persistenza dei cookie utilizzati e operanti sul sito web https://www.solunetgroup.it (di seguito "Portale" o "Sito"), oltre a consentire la selezione delle preferenze in merito al loro utilizzo

Definizione, caratteristiche e applicazione normativa

I cookie sono piccoli file di testo che i siti visitati dall'utente inviano e registrano sul suo computer o dispositivo mobile, per essere poi ritrasmessi agli stessi siti alla successiva visita. Proprio grazie ai cookie un sito ricorda le azioni e le preferenze dell'utente (come, ad esempio, i dati di login, la lingua prescelta, le dimensioni dei caratteri, ecc.) in modo che tali parametri non debbano essere impostati ad ogni nuova visita. I cookie, quindi, sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni riguardanti le attività degli utenti che accedono ad un sito e possono contenere anche un codice identificativo unico che consente di tenere traccia della navigazione dell'utente all'interno del sito stesso per finalità statistiche o pubblicitarie.

Alcune operazioni o funzionalità del Portale non potrebbero essere compiute o garantite senza l'uso dei cookie, che in certi casi sono quindi tecnicamente necessari per lo stesso funzionamento del Sito Web.

A seconda delle loro caratteristiche e funzioni, i cookie possono rimanere salvati nel computer dell'utente per periodi di tempo diversi: si hanno dunque c.d. cookie di sessione, che vengono automaticamente cancellati alla chiusura del browser e c.d. cookie persistenti, che permangono sull'apparecchiatura dell'utente fino ad una scadenza prestabilita, ovvero fino alla eventuale cancellazione manuale.

In base alla normativa applicabile, per l'utilizzo dei cookie non sempre è richiesto un espresso consenso dell'utente. In particolare, solitamente non richiedono tale consenso i "cookie tecnici", cioè quelli utilizzati al solo fine di garantire il corretto funzionamento del Sito Web, ovvero ad erogare un servizio esplicitamente richiesto dall'Utente.

Viceversa, per potere utilizzare cookie non strettamente necessari al corretto funzionamento del Portale, bensì funzionali alla raccolta di dati statistici, ovvero volti a creare profili relativi al visitatore, al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete, solitamente è richiesto un preventivo consenso dell'utente, secondo la normativa applicabile.

Tipologie di cookie

Di seguito si riportano per completezza le principali tipologie di cookie esistenti:

  • Cookie tecnici: strettamente necessari per il funzionamento del sito o per consentirti di usufruire dei contenuti e dei servizi richiesti;
  • Cookie analitici: sono invece quelli destinati a fornire al gestore del sito dati meramente statistici come, ad esempio, il numero totale di visitatori del sito e di ogni sua pagina per ciascuna determinata fascia oraria. possono essere assimilati ai cookie tecnici se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, Qualora, invece, l'elaborazione di tali analisi statistiche sia affidata a soggetti terzi, i dati degli utenti dovranno essere preventivamente minimizzati e non potranno essere combinati con altre elaborazioni né trasmessi ad ulteriori terzi.
  • Cookie di funzionalità: cioè utilizzati per attivare specifiche funzionalità del Sito e una serie di criteri selezionati (ad esempio, la lingua) al fine di migliorare il servizio reso;
  • Cookie di profilazione: sono quelli utilizzati per profilare l'utente in base al suo comportamento sul sito. Vengono generalmente sfruttati al fine di inviare all'utente messaggi pubblicitari in linea con le preferenze manifestate nell'ambito della navigazione in rete
  • Cookie di social network: si tratta dei cookie che consentono all'utente di condividere sui social network i contenuti del Sito, oppure di attivare le funzioni "Mi piace" o "Segui" dei social network. Queste funzioni consentono ai Social Network di identificare i propri utenti e raccogliere informazioni anche mentre navigano su altri siti.

Fonte di provenienza dei cookie

I cookie possono poi essere distinti in base alla fonte di provenienza degli stessi. Avremo dunque:

  • Cookie di prima parte (o proprietari): sono creati e utilizzati solo dal web server del Sito web e non sono trasferibili a terze parti. Questo tipo di cookie viene utilizzato generalmente per personalizzare l'esperienza di navigazione, automaticamente riconoscendo un Utente che ha già visitato il Sito Web, non risultando leggibili su un dominio differente da quello in cui sono stati creati.
  • Cookie di terze parti: sono cookie creati da domini diversi da quello del Sito Web che l'Utente sta visitando. I cookie di terza parte sono leggibili sia sul dominio su cui sono stati creati che su qualsiasi altro sito capace di leggere il codice del server che li ha prodotti. Le terze parti che impostano i cookie sul Sito web possono agire in qualità di autonomi Titolari del trattamento, nel perseguimento di finalità proprie, ovvero agire in veste di fornitori del proprietario del Sito Web, in qualità di Responsabili del trattamento.

Nel dettaglio, i cookie inviati tramite questo Portale sono indicati di seguito:

Nome Fornitore Prima o terza parte Categoria Durata
_gcl_au Google Analytics Prime parti Profilazione 2 mesi
_gid Simplifi Holdings LLC Prime parti Analitici 24 ore
_dc_gtm_UA-22860413-1 Prime parti Sconosciuto 1 minuto
_ga Google Analytics Prime parti Analitici 1 anno
_ga_XRDZ5TT6HK Google Analytics Prime parti Analitici 1 anno
SSID_7S-solunetit Prime parti Sconosciuto 1 minuto
SV_7S-solunetit Prime parti Sconosciuto 1 minuto
SSC_7S-solunetit Prime parti Sconosciuto 5 mesi
SN_7S-solunetit Prime parti Sconosciuto 5 mesi
SSA Terze parti Sconosciuto 5 mesi
oil_data Avacy CMP Prime parti Tecnico 6 mesi

Impostazioni relative ai cookie

Selezione e de-selezione: ad esclusione dei cookie strettamente necessari per il funzionamento del Sito Web e per l'erogazione dei servizi richiesti, l'Utente potrà impedire l'installazione dei cookie di terze parti sul Sito Web, bloccando uno o più fornitori operanti sul Portale, attraverso lo strumento di selezione delle preferenze sui cookie (raggiungibile al seguente link) Per quanto riguarda strumenti di tracciamento di terze parti operanti in qualità di autonomi Titolari del trattamento, gli utenti possono gestire le preferenze e revocare il consenso visitando il relativo link di opt out (qualora disponibile), utilizzando gli strumenti descritti nella privacy policy della terza parte o contattandola direttamente. Le scelte operate in riferimento ai cookie del Portale saranno a loro volta registrate in un apposito cookie. Tale cookie potrebbe, tuttavia, in alcune circostanze non funzionare correttamente: in tali casi, il Titolare suggerisce di cancellare i cookie non graditi e di inibirne l'utilizzo anche attraverso le funzionalità dei tuoi browser.

Gestione dei cookie tramite browser: è inoltre possibile rimuovere i cookie esistenti e bloccare l'installazione di nuovi cookie anche mediante le impostazioni del browser. Laddove gli utenti vogliano decidere di volta in volta se accettare o meno i cookie, possono anche configurare il proprio browser affinché generi un avviso ogni volta che viene salvato un cookie. I browser più diffusi prevedono la possibilità di bloccare esclusivamente i cookie di terze parti, accettando solo quelli propri del Sito. Per avere maggiori informazioni su come impostare le preferenze sull'uso dei cookie attraverso il browser, è possibile consultare le relative istruzioni:

Si ricorda, infine, che disabilitando o cancellando i cookie tecnici e/o di funzionalità il Portale potrebbe risultare non consultabile o alcuni servizi o determinate funzioni del Portale potrebbero risultare non disponibili o non funzionare correttamente e potrebbe risultare necessario modificare o inserire manualmente alcune informazioni o preferenze ad ogni visita.

Contatti del Titolare del trattamento

Per ulteriori dettagli sul Titolare del trattamento, l'utente può consultare la nostra Privacy Policy.

Powered by Avacy Logo

Privacy Policy

Pubblicata il 26/05/2026

Solunet Group S.p.A., con sede legale in Via Marconi 21,, San Pietro in Gu (PD) - 35010, C.F./P.IVA IT04152070282, (di seguito "Titolare del trattamento" o "Titolare") si impegna costantemente per tutelare la privacy on-line delle persone fisiche durante la navigazione e la fruizione dei servizi del sito web https://www.solunetgroup.it (di seguito "Portale" o "Sito Web").

Il presente documento descrive ogni aspetto relativo al trattamento dei Dati Personali degli utenti (di seguito "Interessati") operato attraverso il Sito Web, conformemente a quanto previsto dall'art. 13 del Regolamento UE n. 2016/679 (di seguito "Regolamento"). Secondo le norme del Regolamento, i trattamenti effettuati dal Titolare attraverso il Sito Web saranno improntati ai principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione dei dati, esattezza, integrità e riservatezza.

1. Titolare del trattamento

Il Titolare dei trattamenti svolti attraverso il Portale è Solunet Group S.p.A. come sopra definito e contattabile nei modi indicati nella sezione "Contatti" (cfr. art. 10).

2. Categorie di Dati Personali trattati

Dati di navigazione / di utilizzo:

Informazioni raccolte durante la visita da parte dell'utente al Sito Web (es. indirizzo IP, indirizzi di notazione URI, cronologia di navigazione, informazioni relative alle interazioni con il sito, informazioni relative all'ambiente informatico dell'utente, tipo e lingua del browser, sistema operativo, posizione, data e ora della richiesta). Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti;

Dati volontariamente comunicati dall'utente:

informazioni personali rilasciate volontariamente dall'utente attraverso appositi moduli del Sito Web (es. iscrizione/registrazione, contatto, commenti, recensioni, post ecc.). Tali informazioni possono includere, a titolo esemplificativo: dati identificativi (nome, cognome, C.F., username, ID utente, password, luogo e data e luogo di nascita, ecc.), immagine personale, dati di contatto e localizzazione (indirizzo di residenza/domicilio, indirizzo e-mail, numero di telefono e indirizzo postale, ecc.);

Dati commerciali:

informazioni necessarie all'esecuzione degli adempimenti economici e fiscali connessi all'erogazione dei servizi del Sito Web (es. informazioni di pagamento, P.Iva, storico degli acquisti, informazioni sull'uso del prodotto o del servizio, informazioni di credito e fatturazione, richieste di assistenza, ecc.);

3. Finalità del trattamento

Il Titolare utilizza i Dati Personali raccolti tramite il presente Sito Web per l'esecuzione delle seguenti finalità:

Esecuzione del contratto:

Trattamento dei dati personali al fine di dare esecuzione ai contratti di cui l'utente è parte (es. contratti di fornitura di servizi, compravendita di prodotti, iscrizioni, registrazioni, partecipazione a servizi interattivi e simili). Tale finalità riguarda il trattamento dei dati necessari al fine di mantenere la relazione contrattuale con l'utente, fornire i servizi offerti dal Sito Web e adempiere agli obblighi da essa derivanti;

Conformità a obblighi di legge:

Trattamento dei dati personali al fine del rispetto di obblighi legali a cui il Titolare è soggetto (es. obblighi tributari, norme sulla sicurezza sul lavoro, normative sulla conservazione dei documenti, sul controllo antiriciclaggio, responsabilità civile, normativa sulla protezione dei dati, ecc.);

Adempimento di obblighi di legge:

Trattamento dei dati personali nel caso in cui ciò sia necessario all'adempimento degli obblighi legali di cui sopra citati;

Sicurezza e protezione antifrode:

Trattamento dei dati personali al fine di proteggere la sicurezza dei dati, dei sistemi informativi e della piattaforma tecnologica del Titolare, nonché per prevenire, rilevare e contrastare attività fraudolente, abusi, attacchi informatici e tutte le altre attività illecite;

Contatto con l'interessato:

Trattamento dei dati personali al fine di contattare l'utente attraverso diversi canali comunicativi (es. email, telefono, SMS, WhatsApp) per diverse finalità quali: richiesta di feedback, sondaggi di customer satisfaction, comunicazioni di servizio, aggiornamenti di account, assistenza tecnica, ecc.;

4. Base giuridica del trattamento

Il trattamento dei Dati Personali è lecito in virtù delle seguenti basi giuridiche, come previsto dall'art. 6 del Regolamento:

Esecuzione del contratto:

Art. 6(1)(b) del Regolamento – I dati sono necessari ai fini dell'esecuzione di un contratto di cui l'interessato è parte;

Interessi legittimi:

Art. 6(1)(f) del Regolamento – Il trattamento è necessario per il perseguimento dei legittimi interessi del Titolare;

Protezione interessi vitali:

Art. 6(1)(d) del Regolamento – Il trattamento è necessario per proteggere gli interessi vitali dell'interessato o di un'altra persona fisica;

Compiti di interesse pubblico:

Art. 6(1)(e) del Regolamento – Il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri;

Consenso:

Art. 6(1)(a) del Regolamento – L'interessato ha prestato il consenso al trattamento dei propri dati personali;

5. Modalità di trattamento

Il trattamento viene effettuato attraverso modalità manuali e/o automatiche, anche tramite l'ausilio di tecnologie informatiche e telematiche (es. CRM, software gestionali e servizi di mailing list), previa applicazione di misure di scurezza tecniche e organizzative idonee a garantire la sicurezza, l'integrità e la riservatezza dei Dati Personali, in modo da ridurre al minimo i rischi di distruzione, perdita, accesso non consentito, modifica e divulgazione non autorizzata, nel rispetto di quanto previsto agli artt. 6, 32 del GDPR.

6. Trasferimento dei Dati Personali extra UE/SEE

Il Titolare non intende trasferire i Dati Personali al di fuori dello Spazio Economico Europeo. Qualora, tuttavia, per far fronte ad esigenze di natura organizzativa/produttiva, dovesse ravvisarne la necessità (a titolo esemplificativo e non esaustivo, avvalendosi di provider e/o servizi in cloud che presuppongano il trasferimento dei dati all'estero), saranno individuate garanzie adeguate per il trasferimento dei Dati Personali verso un Paese Terzo, che a seconda delle casistiche potranno essere: verifica dell'esistenza di decisioni di adeguatezza della Commissione Europea, sottoscrizione di clausole contrattuali standard e/o di norme vincolanti d'impresa, verifica dell'adozione di eventuali misure supplementari in recepimento della raccomandazione 01/2020 EDPB.

Nome Fornitore Descrizione Privacy Policy del fornitore
Google Analytics https://policies.google.com/privacy
Simplifi Holdings LLC https://simpli.fi/site-privacy-policy/
Avacy CMP https://jumpgroup.it/privacy-policy/

7. Periodi di conservazione

Il Titolare conserva i Dati Personali solo per i periodi di tempo necessari al perseguimento delle finalità indicate all'interno del presente documento, ovvero per le tempistiche previste da specifiche normative.

  • I Dati Personali trattati per la finalità di "Fornitura del servizio" saranno conservati per un periodo non superiore a 10 anni;
  • I dati personali trattati per la finalità di "Pagamenti e Fatturazione" saranno conservati per un periodo non superiore a 10 anni (art. 2220 c.c.)
  • I Dati Personali trattati per finalità di Marketing Diretto saranno conservati per un periodo non superiore a 2 anni, ovvero sino all'eventuale revoca del consenso al trattamento da parte dell'interessato.
  • La durata di persistenza dei singoli cookie è riportata all'interno della "Cookie Policy";
  • È fatta salva in ogni caso la possibilità per il Titolare di conservare i Dati Personali per il periodo di tempo previsto e ammesso dalla legge Italiana ai fini della "Tutela giudiziale" dei propri interessi (art. 2946 e 2947 c1, c.3 c.c.).

Decorsi tali periodi di conservazione i Dati Personali saranno cancellati o resi anonimi, se non detenuti per ulteriori finalità in forza di idonee basi giuridiche.

8. Destinatari

I Dati Personali raccolti dal Titolare del trattamento potranno essere comunicati o resi accessibili, per l'esecuzione delle finalità sopra indicate, alle seguenti categorie di soggetti:

  • Personale dipendente e collaboratori che coadiuvano il Titolare nelle operazioni di trattamento, previa espressa autorizzazione al trattamento ed eventuale sottoscrizione di accordi di riservatezza;
  • Soggetti che erogano servizi in out sourcing per conto del Titolare, in qualità di Responsabili del trattamento: fornitori di servizi informatici in cloud, liberi professionisti, società o studi professionali che prestano attività di assistenza e consulenza al Titolare del trattamento, ovvero soggetti delegati a svolgere attività di hosting e manutenzione tecnica, inclusa la manutenzione di software, degli apparati di rete e delle reti di comunicazione elettronica;
  • Autonomi titolari del trattamento a cui la comunicazione dei dati risulti necessaria ai fini dell'erogazione del servizio richiesto dall'interessato.
  • Autonomi titolari del trattamento nel perseguimento di finalità proprie (previo consenso dell'interessato);
  • Pubbliche autorità, nel caso in cui tale comunicazione risulti obbligatoria per legge.

Decorsi tali periodi di conservazione i Dati Personali saranno cancellati o resi anonimi, se non detenuti per ulteriori finalità in forza di idonee basi giuridiche.

9. Diritti dell'interessato

In ogni momento l'Interessato potrà accedere alle informazioni che lo riguardano e chiederne, la rettifica, la cancellazione, la limitazione del trattamento, e la portabilità. Potrà altresì opporsi in tutto o in parte al trattamento ed avere il diritto non essere soggetto ad un Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.

Per esercitare i diritti di cui agli articoli 15-22 del GDPR, l'Interessato potrà contattare il Titolare del trattamento nei modi indicati nella sezione "Contatti" (cfr. art. 10). Il Titolare del trattamento è tenuto entro 1 mese a dare risposta alla richiesta, o a comunicare un eventuale ritardo nella risposta in caso di richieste numerose e/o complesse (la proroga non può comunque superare i 2 mesi). In ogni caso l'Interessato ha sempre diritto di proporre reclamo all'Autorità di Controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell'art. 77 del Regolamento, qualora ritenga che il trattamento dei suoi Dati Personali sia contrario alla normativa in vigore.

Contatti

Per ulteriori informazioni circa il trattamento sui Dati Personali operato in esecuzione del contratto, ovvero per avanzare una richiesta di esercizio diritti, è possibile contattare il Titolare all'indirizzo e-mail: info@solunetgroup.it

Powered by Avacy Logo