Dati clienti in cloud: la guida GDPR per lo studio

Conservare i dati dei clienti in cloud è lecito sotto il GDPR (Reg. UE 2016/679). La condizione è che il fornitore sia nominato responsabile del trattamento ai sensi dell'art. 28 tramite un contratto (DPA), che siano attive misure di sicurezza adeguate ex art. 32 e che eventuali trasferimenti fuori dall'Unione europea poggino su una delle basi previste dagli artt. 44-49. Per uno studio professionale questo si traduce in tre presidi concreti: un contratto firmato con ogni provider, una sicurezza documentata e una mappa di dove finiscono fisicamente i dati. Questa guida ti accompagna nel costruirli senza un ufficio compliance dedicato.

---

Il cloud è un trattamento di dati personali affidato a terzi

Quando carichi un fascicolo, una cartella clinica o una busta paga su un servizio esterno, non stai "salvando un file": stai affidando un trattamento dati personali a un soggetto terzo. Nel linguaggio del GDPR tu resti il titolare del trattamento, mentre il provider cloud diventa responsabile del trattamento ai sensi dell'art. 28, perché elabora i dati per tuo conto e secondo le tue istruzioni.

Da questa qualificazione discendono conseguenze precise:

• Sei tu a rispondere verso il cliente e verso il Garante per la protezione dei dati personali, non il fornitore.
• Devi poter dimostrare di aver scelto un responsabile che presenti "garanzie sufficienti" (art. 28, par. 1).
• In caso di ispezione o incidente, devi esibire il contratto che regola quel rapporto.

Il principio che regge tutto è l'accountability dell'art. 5, par. 2 GDPR: il titolare non solo deve rispettare i principi di trattamento, ma deve essere in grado di dimostrarlo. Non basta essere conformi: bisogna avere le carte per provarlo.

La distinzione tra un account personale gratuito e un piano business intestato allo studio non è estetica. Sul piano consumer raramente esiste un contratto da responsabile del trattamento; sul piano business sì. In sede di audit questa differenza pesa moltissimo.

---

Il responsabile del trattamento e il DPA (art. 28)

L'art. 28, par. 3 GDPR impone che il rapporto tra titolare e responsabile sia disciplinato da un contratto — il Data Processing Agreement (DPA). Senza, il trattamento tramite un fornitore esterno è formalmente non conforme, anche se il servizio è tecnicamente impeccabile.

Un DPA conforme all'art. 28 deve coprire almeno:

• Oggetto, durata, natura e finalità del trattamento
• Tipologia di dati trattati e categorie di interessati
• Vincolo a trattare i dati solo su istruzione documentata del titolare
• Riservatezza del personale autorizzato
• Adozione delle misure di sicurezza ex art. 32
• Disciplina del ricorso ad altri responsabili (sub-responsabili) e relativa autorizzazione
• Assistenza al titolare per rispondere alle richieste degli interessati e per gli obblighi di sicurezza e data breach
• Restituzione o cancellazione dei dati al termine del servizio
• Disponibilità a mettere a disposizione le informazioni necessarie per dimostrare la conformità e consentire audit

I provider enterprise più diffusi mettono a disposizione un DPA standard, spesso da attivare o accettare dentro la console amministrativa: non si applica in automatico con la semplice registrazione. Per i gestionali italiani e i fornitori minori, richiedi il DPA prima di firmare il contratto di servizio. Se il fornitore non sa di cosa parli, è già una risposta sul livello di garanzie che offre. Il tema specifico dei software gestionali è approfondito nella guida su GDPR e gestionale di studio.

---

Sicurezza del trattamento: cosa chiede l'art. 32

L'art. 32 GDPR richiede misure tecniche e organizzative adeguate al rischio. Non è una lista chiusa: il regolamento cita espressamente la cifratura, la pseudonimizzazione, la capacità di assicurare su base permanente riservatezza, integrità, disponibilità e resilienza dei sistemi, la capacità di ripristinare l'accesso ai dati dopo un incidente e procedure per testare e valutare regolarmente l'efficacia delle misure.

Tradotto per uno studio che lavora in cloud, il minimo ragionevole include misure tecniche e organizzative complementari.

Misure tecniche:

• Cifratura dei dati in transito (TLS) e a riposo (es. AES-256)
• Autenticazione a due fattori su ogni account con accesso ai dati dei clienti
• Controllo accessi basato sui ruoli: non tutti i collaboratori vedono tutto
• Log degli accessi conservati e consultabili in caso di incidente
• Backup cifrati con verifica periodica del ripristino effettivo

Misure organizzative:

• Registro dei trattamenti aggiornato (art. 30) con una voce per ciascun provider cloud
• Procedura interna di gestione dei data breach allineata all'art. 33
• Formazione periodica dei collaboratori su strumenti autorizzati e gestione dei dati
• Regole d'uso chiare per il lavoro da remoto (dispositivi, reti, schermo)

Il livello va calibrato sui dati: uno studio che tratta dati comuni e uno che gestisce dati sanitari o giudiziari non possono fermarsi alla stessa soglia. Per gli studi più strutturati o che trattano categorie particolari su larga scala, la valutazione d'impatto e l'eventuale nomina del DPO sono passaggi da considerare: ne parliamo nella guida dedicata a DPIA e DPO per la gestione dei dati.

---

Trasferimenti extra-UE: dove finiscono davvero i dati

Molti servizi cloud hanno sede o infrastrutture fuori dall'Unione europea. Il trasferimento di dati personali verso paesi terzi è disciplinato dal Capo V del GDPR (artt. 44-49) e non è mai automaticamente lecito: serve una base.

Le strade principali sono:

1. Decisione di adeguatezza (art. 45): la Commissione europea riconosce che un paese terzo offre un livello di protezione adeguato. In tal caso il trasferimento non richiede ulteriori autorizzazioni.
2. Garanzie adeguate (art. 46), tra cui le Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea nel 2021.
3. Deroghe per situazioni specifiche (art. 49), residuali e da usare con cautela.

Quando il trasferimento poggia sulle SCC, l'EDPB, con le raccomandazioni 01/2020, chiede di valutare la legislazione del paese di destinazione e, se necessario, di adottare misure supplementari (ad esempio tecniche, come la cifratura). È la cosiddetta valutazione del trasferimento, conseguenza diretta della giurisprudenza della Corte di giustizia dell'UE in materia.

In pratica, per ogni fornitore verifica tre cose: dove sono localizzati i dati, su quale base avviene un eventuale trasferimento extra-UE e se servono misure aggiuntive. Molti provider offrono la scelta di regioni di archiviazione nell'Unione europea: preferirle riduce sensibilmente la complessità.

Per gli studi che trattano categorie particolari di dati — sanitari per psicologi e medici, giudiziari per i penalisti (artt. 9 e 10 GDPR) — il livello di attenzione sui trasferimenti deve essere massimo. Più il dato è sensibile, più la localizzazione e la base giuridica vanno verificate e documentate.

---

Scegliere il fornitore cloud: la checklist

La scelta del provider è il momento in cui si concentra gran parte della conformità. Usa questa checklist prima di sottoscrivere un servizio o caricare dati di clienti.

Questo controllo richiede pochi minuti per fornitore ed è un investimento minimo rispetto alle conseguenze di una non conformità. Se un servizio non supera la maggior parte di questi punti, cambia servizio.

Questo articolo ha finalità divulgativa e orientativa e non costituisce parere legale. Per la valutazione concreta della tua situazione — in particolare se tratti dati sanitari, giudiziari o di categorie particolari — consulta un professionista in materia di protezione dei dati o il tuo Ordine di appartenenza.

---

Il registro dei trattamenti non è un documento una tantum

Chi è tenuto al registro delle attività di trattamento (art. 30 GDPR) spesso lo compila una volta e lo dimentica. È un errore che emerge in sede di ispezione. Il registro va aggiornato ogni volta che:

• adotti un nuovo strumento digitale o cambi provider per un servizio esistente;
• modifichi le finalità di un trattamento;
• un collaboratore lascia lo studio e vanno revocati i suoi accessi.

Per ogni trattamento che coinvolge il cloud è opportuno riportare il responsabile (il provider), le categorie di dati e di interessati, le misure di sicurezza adottate e gli eventuali trasferimenti verso paesi terzi con la relativa base giuridica. Il registro diventa così anche la mappa che ti dice, in qualunque momento, dove vivono i dati dei tuoi clienti.

---

Data breach in cloud: le prime 72 ore

Anche con misure solide, un incidente può accadere: un account compromesso, un link condiviso per errore, un attacco al fornitore. Il GDPR non chiede l'infallibilità ma la reazione corretta.

Se la violazione comporta un rischio per i diritti e le libertà degli interessati, il titolare deve notificarla al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla scoperta (art. 33). Se il rischio è elevato, va informato anche l'interessato (art. 34). Quando l'incidente nasce dal lato del provider, è quest'ultimo a doverti avvisare tempestivamente: è uno dei motivi per cui l'obbligo di notifica va scritto nel DPA.

Il processo minimo da avere già pronto:

1. Rilevazione: chi segnala l'incidente e a chi.
2. Valutazione: riguarda dati personali? C'è rischio per gli interessati?
3. Contenimento: revoca credenziali, blocco accessi, isolamento dei sistemi.
4. Notifica: al Garante se necessario, agli interessati se il rischio è elevato.
5. Documentazione: ogni violazione va registrata, anche quando si conclude che la notifica non è dovuta.

Uno studio che gestisce un incidente in modo trasparente e documentato dimostra di avere un presidio organizzativo. Avere un processo pronto, e poterlo provare, è parte integrante dell'accountability richiesta dal GDPR.

---

Da dove partire: tre presidi e un sito allineato

Non serve un budget enterprise per essere conformi: servono scelte consapevoli. Se dovessi ridurre tutto all'essenziale, i tre presidi su cui costruire sono: un DPA firmato con ogni fornitore, un registro dei trattamenti aggiornato con la mappa di dove stanno i dati, e misure di sicurezza dimostrabili a partire dall'autenticazione a due fattori su tutti gli account.

Chi parte da qui ha già coperto la parte più grande del lavoro. Il resto — valutazione d'impatto, valutazione dei trasferimenti, eventuale nomina del DPO — si aggiunge in proporzione ai dati trattati e ai rischi reali dello studio. Vale la stessa logica anche per la vetrina pubblica: se raccogli contatti o dati tramite il sito, le stesse regole su responsabili, sicurezza e trasferimenti valgono per moduli, analytics e hosting. Per impostarlo bene fin dall'inizio puoi vedere il nostro servizio di realizzazione del sito per studi.

La conformità del trattamento in cloud non è un costo accessorio: è la condizione minima per chiedere fiducia a clienti che ti affidano i loro dati più delicati.