Privacy & GDPRAvvocati
Modello di consenso privacy per studio legale: clausole GDPR conformi
9 min letturaPrivacy & GDPRDi Edoardo Avantifiori
In sintesi
Il consenso privacy in uno studio legale non si riduce a un modulo precompilato: il GDPR impone basi giuridiche specifiche, e il Codice Deontologico Forense aggiunge obblighi di riservatezza che vanno coordinati con il Regolamento. Questo articolo fornisce le clausole obbligatorie, le basi giuridiche corrette e un template operativo per la raccolta del consenso conforme.
Modello di consenso privacy per studio legale: clausole GDPR conformi
TLDR: Il GDPR non richiede il consenso per tutti i trattamenti di uno studio legale — l'errore più costoso è usare il consenso come base giuridica universale. Per la gestione del mandato professionale, la base è l'esecuzione del contratto (art. 6(1)(b) GDPR). Il consenso esplicito serve solo per trattamenti facoltativi aggiuntivi. Questo articolo spiega le clausole obbligatorie, le basi giuridiche corrette da indicare nell'informativa e fornisce un template modulare per la raccolta del consenso conforme sia al GDPR che al Codice Deontologico Forense.
Uno studio legale è, per natura, un luogo ad alta densità di dati personali sensibili. Ogni fascicolo contiene informazioni sulla vita privata, patrimoniale e talvolta sanitaria del cliente. Nonostante questo, secondo le analisi del Garante Privacy italiano, molti studi professionali continuano a utilizzare moduli di consenso generici — spesso copiati da internet — che non reggono a un controllo ispettivo.
Il problema principale non è tecnico: è concettuale. Confondere il consenso con l'informativa, o usare il consenso come base giuridica quando non è necessario né opportuno, espone lo studio a sanzioni fino al 4% del fatturato annuo globale (art. 83 GDPR) e a contestazioni disciplinari davanti al Consiglio dell'Ordine.
Questo contenuto è divulgativo. Verifica sempre con il tuo Ordine di appartenenza e con un consulente privacy abilitato prima di adottare qualsiasi modello di trattamento dati nel tuo studio. Le indicazioni qui riportate non costituiscono parere legale.
Informativa e consenso: due istituti distinti
Il primo errore da correggere è terminologico. L'informativa (art. 13-14 GDPR) è un obbligo incondizionato: va fornita sempre, prima della raccolta dei dati, indipendentemente dalla base giuridica utilizzata. Il consenso (art. 7 GDPR) è invece una delle sei possibili basi giuridiche dell'art. 6, e si usa solo quando le altre non sono applicabili.
Per uno studio legale, le basi giuridiche rilevanti sono:
| Trattamento | Base giuridica corretta | Art. GDPR |
|---|---|---|
| Gestione del mandato professionale | Esecuzione del contratto | 6(1)(b) |
| Adempimenti fiscali e contabili | Obbligo legale | 6(1)(c) |
| Difesa in giudizio dell'avvocato stesso | Legittimo interesse | 6(1)(f) |
| Newsletter e comunicazioni promozionali | Consenso | 6(1)(a) |
| Dati sanitari nel fascicolo | Necessità per prestazione professionale | 9(2)(h) |
| Dati giudiziari del cliente | Necessità per esercizio diritto | 10 + D.Lgs. 196/2003 |
Questa distinzione è fondamentale: se raccogli il consenso per la gestione del mandato, stai facendo due errori contemporaneamente — usi la base giuridica sbagliata e crei un precedente in cui il cliente potrebbe revocare il consenso e pretendere l'interruzione del trattamento nel mezzo della causa.
Il Garante Privacy italiano ha ribadito più volte, anche nel contesto delle linee guida europee EDPB 05/2020 sul consenso, che il consenso deve essere "liberamente prestato". Se il cliente deve necessariamente accettare per ricevere la prestazione, il consenso non è libero e quindi non è valido.
Struttura dell'informativa privacy per studio legale
L'informativa ai sensi dell'art. 13 GDPR deve contenere le seguenti sezioni, tutte obbligatorie:
1. Identità e dati di contatto del titolare
Indicare: nome dello studio o dell'avvocato titolare, indirizzo, email, PEC. Se lo studio ha nominato un DPO (raramente obbligatorio, ma possibile su base volontaria), indicarne i contatti separatamente.
2. Finalità e basi giuridiche del trattamento
Questa è la sezione più critica. Distingui esplicitamente:
- Trattamento per svolgimento dell'incarico professionale → base: art. 6(1)(b) + art. 9(2)(h) GDPR per categorie particolari
- Adempimenti fiscali, antiriciclaggio (D.Lgs. 231/2007), anticorruzione → base: art. 6(1)(c) GDPR + obblighi di legge specifici
- Marketing e newsletter → base: art. 6(1)(a) GDPR — consenso espresso e revocabile
- Difesa dei diritti dello studio in sede giudiziale → base: art. 6(1)(f) GDPR
3. Categorie di dati trattati
Per uno studio legale, le categorie tipiche includono:
- Dati anagrafici e di contatto
- Dati economici e patrimoniali
- Dati giudiziari (art. 10 GDPR — soggetti a misure di sicurezza specifiche)
- Eventualmente: dati sulla salute, orientamento sessuale, convinzioni religiose (cat. speciali art. 9 GDPR)
4. Destinatari dei dati
Elencare le categorie di soggetti a cui i dati possono essere comunicati: consulenti tecnici d'ufficio, periti, co-difensori, cancellerie, Agenzia delle Entrate, istituti bancari coinvolti nel procedimento, professionisti in rete dello studio. Non è necessario listare ogni singolo nome, ma le categorie devono essere indicate.
5. Trasferimento verso Paesi terzi
Se utilizzi software in cloud con server extra-UE (Google Workspace, Microsoft 365, tool di project management americani), devi indicarlo e specificare le garanzie adeguate (decisioni di adeguatezza, clausole contrattuali standard SCCs). Questo è un punto frequentemente trascurato.
6. Periodo di conservazione
Per i dati di mandato: termine ordinario di prescrizione (10 anni, art. 2946 c.c.), salvo norme speciali. Per i dati promozionali con base consenso: massimo 24 mesi dall'ultima interazione, secondo l'orientamento consolidato del Garante. Indica i criteri, non solo un periodo generico.
7. Diritti dell'interessato
Elencare tutti i diritti degli artt. 15-21 GDPR:
- Accesso (art. 15)
- Rettifica (art. 16)
- Cancellazione (art. 17) — con nota sulle limitazioni per obblighi legali
- Limitazione (art. 18)
- Portabilità (art. 20) — solo per trattamenti basati su consenso o contratto
- Opposizione (art. 21)
- Revoca del consenso (art. 7(3)) — applicabile solo dove il consenso è la base giuridica
8. Diritto di reclamo al Garante
Indicare sempre la possibilità di presentare reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
Il modulo di consenso: quando e come raccoglierlo
Per i trattamenti basati su consenso (marketing, newsletter, trattamenti facoltativi), il modulo deve essere:
- Separato dall'informativa — non incorporato in essa
- Granulare — un consenso distinto per ogni finalità opzionale
- Opt-in attivo — mai caselle pre-spuntate
- Documentato — conserva data, ora, modalità e testo della richiesta
Template clausole di consenso (finalità marketing)
□ Acconsento al trattamento dei miei dati personali (nome, cognome, email)
per l'invio di comunicazioni informative, aggiornamenti normativi e materiale
promozionale da parte dello Studio [Nome].
Sono consapevole che il mancato consenso non pregiudica l'erogazione
della prestazione professionale richiesta.
Posso revocare il consenso in qualsiasi momento scrivendo a [email].
□ Acconsento alla comunicazione dei miei dati di contatto a partner dello
Studio per finalità di [specificare], nei termini descritti nell'informativa
privacy [link/allegato].
Ogni casella di spunta deve corrispondere a una finalità specifica. Un consenso onnicomprensivo del tipo "acconsento al trattamento dei miei dati per qualsiasi finalità" è invalido ai sensi dell'art. 7 GDPR e delle Linee guida EDPB 05/2020.
Obblighi deontologici sovrapposti al GDPR
Il Codice Deontologico Forense, agli artt. 6 e 28, impone all'avvocato un obbligo di riservatezza assoluta su tutto ciò di cui viene a conoscenza nell'esercizio della professione — indipendentemente dal GDPR.
Questo crea un regime più stringente in due aree specifiche:
1. Diritto di accesso del cliente (art. 15 GDPR) Il cliente può richiedere l'accesso ai propri dati. L'avvocato è tenuto a rispondere, ma può — e talvolta deve — omettere le informazioni che riguardano terzi coperti dal segreto professionale (es. dati della controparte raccolti nel corso del procedimento). Questa limitazione è prevista dall'art. 23 GDPR e dal Considerando 73.
2. Risposta a istanze delle autorità Quando l'autorità giudiziaria o amministrativa richiede dati conservati nello studio, il segreto professionale (art. 200 c.p.p.) prevale sull'obbligo di comunicazione, salvo specifiche eccezioni di legge. Il GDPR non modifica questo equilibrio.
Registro dei trattamenti: adempimento spesso dimenticato
Se lo studio ha più di 250 dipendenti, il Registro delle Attività di Trattamento (art. 30 GDPR) è obbligatorio. Per studi più piccoli non è obbligatorio, ma è fortemente raccomandato dal Garante e diventa de facto necessario in caso di data breach, perché senza registro non riesci a rispettare il termine di 72 ore per la notifica (art. 33 GDPR).
Un registro minimo per uno studio legale comprende:
- Denominazione del trattamento
- Finalità
- Categorie di interessati e di dati
- Destinatari
- Termine di conservazione
- Misure di sicurezza (anche in forma descrittiva)
Per approfondire la gestione dei processi digitali dello studio, inclusa la sicurezza dei dati, puoi esplorare le soluzioni AI integrate disponibili su /servizi/sito-web e la sezione /servizi dedicata agli strumenti per professionisti.
Sanzioni e rischi concreti
Il quadro sanzionatorio del GDPR prevede due fasce:
- Fino a 10 milioni di euro o 2% del fatturato per violazioni di obblighi organizzativi (registro trattamenti, DPO, misure di sicurezza)
- Fino a 20 milioni di euro o 4% del fatturato per violazioni dei principi fondamentali, dei diritti degli interessati, del trasferimento internazionale
Per uno studio legale italiano, la fascia più realistica di esposizione in caso di controllo ispettivo è quella delle sanzioni intermedie per carenze documentali (informativa incompleta, assenza di registro, contratti con fornitori cloud non adeguati). Il Garante, nelle sue ultime ispezioni 2024-2025, ha sanzionato studi professionali in una fascia tra 5.000 e 50.000 euro per violazioni di questo tipo.
Oltre al rischio amministrativo, va considerato il rischio deontologico: una violazione della riservatezza professionale può portare a procedimento disciplinare davanti al Consiglio dell'Ordine territoriale.
Le sanzioni indicate sono quelle previste dal testo del GDPR. L'importo effettivo dipende dai criteri di cui all'art. 83(2) GDPR (gravità, intenzionalità, cooperazione, ecc.). Per una valutazione del profilo di rischio specifico del tuo studio, rivolgiti a un consulente privacy o DPO esterno qualificato.
Checklist operativa per la compliance
Prima di considerare lo studio in regola sul fronte privacy, verifica:
- Informativa ex art. 13 GDPR aggiornata e consegnata a ogni nuovo cliente
- Basi giuridiche corrette (no consenso per la gestione del mandato)
- Moduli di consenso separati per finalità marketing, con opt-in attivo
- Registro delle attività di trattamento predisposto (anche se non obbligatorio)
- Contratti DPA (Data Processing Agreement) firmati con tutti i fornitori software
- Verifica del trasferimento verso Paesi terzi per ogni tool cloud utilizzato
- Procedura interna per la gestione dei data breach (notifica entro 72 ore)
- Procedura per rispondere alle richieste di esercizio dei diritti degli interessati entro 30 giorni
- Formazione annuale dello staff sulle procedure privacy
Per la gestione del sito web dello studio e la raccolta dei consensi tramite cookie banner e form di contatto, consulta la guida dedicata su /glossario/gdpr.
Scarica la Checklist Sito Web
27 punti da verificare prima di pubblicare il sito del tuo studio. PDF gratuito.
Scarica gratisWP
Redazione WebProfessionisti
WebProfessionisti è specializzata in siti web, SEO locale e marketing digitale per studi professionali italiani. Ogni guida è scritta e verificata dal nostro team di esperti.
Scopri i nostri servizi →No. Per il mandato professionale, la base giuridica è l'esecuzione del contratto (art. 6(1)(b) GDPR). Il consenso è richiesto solo per trattamenti facoltativi aggiuntivi, come newsletter o comunicazioni commerciali.
Sì, è la prassi consigliata. L'art. 13 GDPR richiede che l'informativa sia fornita prima della raccolta dei dati. Inviarla via email contestualmente alla conferma dell'appuntamento è conforme e crea una traccia documentale.
In genere no, salvo trattamenti su larga scala di categorie particolari. Tuttavia, nominare un DPO esterno su base volontaria è una scelta di governance che migliora il profilo di compliance, soprattutto per studi con 10+ professionisti.
I dati degli ex clienti vanno conservati per il periodo di prescrizione ordinaria (10 anni) per le comunicazioni inerenti al mandato. Per i dati di contatto a fini promozionali, se il cliente non è più attivo, il trattamento senza consenso rinnovato diventa problematico dopo 24 mesi dall'ultima interazione. --- ## Conclusione La compliance privacy di uno studio legale richiede un approccio stratificato: il GDPR fissa il quadro normativo europeo, il Codice Deontologico Forense aggiunge obblighi di riservatezza specifici, e il D.Lgs. 231/2007 (antiriciclaggio) impone ulteriori obblighi di conservazione e segnalazione che interagiscono con il sistema GDPR. Il punto di partenza non è il modulo di consenso, ma la **mappatura dei trattamenti**: capire quali dati raccogli, con quale scopo e su quale base giuridica. Solo dopo questa analisi puoi predisporre un'informativa accurata e — dove serve davvero — un modulo di consenso valido. Se stai strutturando o aggiornando i processi digitali del tuo studio, le soluzioni di [gestione clienti e automazione su /servizi](/servizi) possono integrarsi con flussi di raccolta del consenso già conformi. <ResourceCTA slug="checklist-gdpr-studio-legale" title="Scarica la checklist GDPR per studi legali" description="12 punti di controllo per verificare la conformità privacy del tuo studio: informativa, consensi, registro trattamenti e gestione dei data breach." />