WebProfessionisti
Privacy & GDPRTutti i professionisti

Informativa privacy sito studio: obblighi legali per professionisti

9 min letturaPrivacy & GDPRDi Edoardo Avantifiori
In sintesi

Ogni sito di studio professionale deve pubblicare un'informativa privacy conforme al GDPR. Gli obblighi riguardano tutti i professionisti, indipendentemente dalla dimensione dello studio, e le sanzioni arrivano fino a 20 milioni di euro. Questa guida elenca cosa deve contenere l'informativa, quali errori evitare e come mettersi in regola.

Informativa privacy sito studio: obblighi legali per professionisti italiani

Se hai un sito web per il tuo studio professionale — che tu sia avvocato, commercialista, medico, psicologo, architetto o consulente del lavoro — sei soggetto al Regolamento UE 2016/679 (GDPR) senza eccezioni. Non esistono soglie dimensionali: uno studio con un solo professionista titolare ha gli stessi obblighi di una grande società.

L'informativa privacy non è un adempimento burocratico da copiare da internet. È un documento legale che deve rispecchiare esattamente come tratti i dati di chi visita il tuo sito, ti contatta tramite form o prenota una consulenza online. Pubblicare un'informativa generica, incompleta o aggiornata all'anno sbagliato espone lo studio a sanzioni amministrative, reclami all'autorità di controllo e — nei casi più gravi — a un danno reputazionale difficile da recuperare.

Questa guida analizza cosa deve contenere un'informativa conforme, quali sono gli errori più comuni e come strutturare il documento in modo che regga a un'eventuale ispezione del Garante.

Perché ogni sito di studio è soggetto al GDPR

Il GDPR si applica ogni volta che un soggetto stabilito nell'UE tratta dati personali di persone fisiche. Il tuo sito raccoglie dati personali dal momento in cui:

  • un visitatore compila un form di contatto
  • il server registra indirizzi IP nei log di accesso
  • installi Google Analytics o qualsiasi altro strumento di tracciamento
  • integri un sistema di prenotazione online
  • gestisci una newsletter o un'area riservata clienti

Il professionista che gestisce il sito è il titolare del trattamento ai sensi dell'art. 4 GDPR. In quanto titolare, ha l'obbligo di fornire l'informativa all'interessato prima o al momento della raccolta dei dati (artt. 13 e 14 GDPR).

L'obbligo di informativa vale anche se il sito è solo "vetrina": i log del server e i cookie tecnici costituiscono già trattamento di dati. Non esiste un sito web che non tratti dati personali.

Struttura obbligatoria dell'informativa: gli elementi dell'art. 13 GDPR

L'articolo 13 GDPR elenca tassativamente cosa deve contenere l'informativa quando i dati sono raccolti direttamente dall'interessato. Manca anche uno solo di questi elementi e il documento è incompleto.

Identità e dati di contatto del titolare

Devono comparire nome (o denominazione), indirizzo fisico dello studio, email e — se presente — numero di telefono. Non è sufficiente indicare solo la ragione sociale: l'interessato deve poter contattare il titolare senza difficoltà.

Se hai nominato un Responsabile della Protezione dei Dati (DPO), devi indicare anche i suoi dati di contatto. La nomina del DPO è obbligatoria, tra gli altri, per i professionisti sanitari che trattano dati di salute su larga scala (art. 37 GDPR). Verifica con il tuo ordine di appartenenza se ricadi in questa categoria.

Finalità e base giuridica del trattamento

Per ogni categoria di dati che raccogli, devi indicare:

  • cosa fai con quei dati (finalità)
  • perché hai il diritto di farlo (base giuridica)

Le basi giuridiche tipiche per uno studio professionale sono:

FinalitàBase giuridica (art. 6 GDPR)
Risposta a richieste di contattoInteresse legittimo o esecuzione contratto pre-contrattuale
Adempimenti fiscali e contabiliObbligo legale
Newsletter / aggiornamentiConsenso esplicito
Prenotazione consulenza onlineEsecuzione del contratto
Statistiche sito (Analytics)Consenso (post-linee guida cookie 2022)
Dati sanitari o giudiziariConsenso esplicito + base art. 9 GDPR

Per i professionisti che trattano dati particolari (salute, dati giudiziari, orientamento sessuale, dati biometrici), è necessaria una base giuridica aggiuntiva ai sensi dell'art. 9 GDPR. Psicologi, medici e avvocati penalisti devono prestare particolare attenzione a questo punto.

Destinatari o categorie di destinatari

Chi riceve i dati che raccogli? Devi indicare:

  • i responsabili del trattamento nominati dallo studio (es. provider hosting, software gestionale, commercialista che elabora le buste paga)
  • eventuali contitolari
  • se i dati vengono trasferiti extra-UE (es. Google, Meta, servizi americani), con indicazione delle garanzie adottate (Decisioni di adeguatezza, Clausole Contrattuali Standard)

Il trasferimento di dati verso gli USA tramite Google Analytics senza adeguate garanzie è stata oggetto di provvedimenti del Garante italiano e di autorità europee tra il 2022 e il 2024. Verifica la configurazione del tuo strumento di analytics con il tuo consulente privacy.

Periodo di conservazione

Per ogni categoria di dati devi indicare per quanto tempo li conservi — o i criteri usati per determinarlo. Non è accettabile scrivere genericamente "per il tempo necessario": devi essere specifico.

Esempi di periodi tipici per uno studio professionale:

  • Dati di contatto (form): 12-24 mesi dall'ultimo contatto, salvo rapporto professionale instaurato
  • Documentazione fiscale: 10 anni (obbligo di legge)
  • Cartelle cliniche: 20-30 anni secondo normativa sanitaria di settore
  • Fascicoli di causa: secondo le indicazioni del CNF e la natura del procedimento
  • Dati di navigazione (log server): 12 mesi (indicazione del Garante)

Diritti dell'interessato

L'informativa deve elencare esplicitamente tutti i diritti riconosciuti dal GDPR:

  • Accesso (art. 15)
  • Rettifica (art. 16)
  • Cancellazione / "diritto all'oblio" (art. 17)
  • Limitazione del trattamento (art. 18)
  • Portabilità dei dati (art. 20, solo per trattamenti automatizzati su base consenso o contratto)
  • Opposizione (art. 21)
  • Revoca del consenso in qualsiasi momento (art. 7, comma 3)
  • Reclamo all'autorità di controllo (Garante Privacy)

Indica anche le modalità concrete per esercitare questi diritti: un indirizzo email dedicato è la soluzione più pratica.

Cookie policy: documento separato o parte dell'informativa?

Le linee guida del Garante del 2021 e dell'EDPB richiedono che l'informativa sui cookie sia chiaramente accessibile e che il consenso venga raccolto tramite un cookie banner conforme prima dell'installazione di cookie non tecnici.

Per un sito di studio professionale, la struttura raccomandata è:

  1. Informativa privacy generale — tratta tutti i trattamenti (contatti, analytics, newsletter)
  2. Cookie policy — documento separato o sezione dedicata, raggiungibile dal banner
  3. Cookie banner — deve consentire accettazione granulare per categoria, con rifiuto ugualmente semplice da effettuare rispetto all'accettazione

Un cookie banner che non permette di rifiutare con la stessa facilità con cui si accetta è non conforme. Il Garante italiano ha sanzionato questa pratica più volte tra il 2022 e il 2025.

Per approfondire come integrare correttamente gli strumenti digitali nel tuo studio, leggi la guida su strumenti AI per la gestione dello studio.

Gli errori più comuni nei siti di studi professionali

Dall'analisi dei provvedimenti del Garante e delle ispezioni documentate, emergono pattern ricorrenti:

Informativa copiata da modelli generici. Il documento non rispecchia i trattamenti effettivi dello studio: mancano le finalità reali, i destinatari corretti, i periodi di conservazione specifici. Un'informativa generica è peggio di nessuna informativa, perché crea false aspettative nell'interessato.

Assenza di informativa per form di contatto. Il form è presente, ma non c'è né link all'informativa né checkbox di presa visione. Questo viola l'art. 13 GDPR in modo diretto.

Cookie banner non conforme. Banner che si chiude con la X (equivalente ad accettazione), assenza di rifiuto granulare, cookie di profilazione installati prima del consenso.

Mancata indicazione dei trasferimenti extra-UE. Lo studio usa Google Workspace, Mailchimp o altri servizi americani senza indicarlo nell'informativa e senza documentare le garanzie adottate.

Dati di contatto del titolare incompleti. Indicare solo "Studio Rossi" senza indirizzo fisico e email non è sufficiente.

Informativa non aggiornata. Il documento riporta riferimenti al D.Lgs. 196/2003 nella versione pre-GDPR, o cita il "consenso" come unica base giuridica per tutti i trattamenti.

Questa pagina non costituisce parere legale. Le indicazioni riportate hanno finalità informativa. Per la redazione dell'informativa privacy del tuo studio e la valutazione della conformità GDPR, consulta un professionista specializzato in data protection o il tuo Ordine di appartenenza.

Dove pubblicare l'informativa sul sito

L'informativa deve essere facilmente accessibile: non basta pubblicarla, deve essere raggiungibile senza sforzo. Le prassi accettate dal Garante prevedono:

  • Link nel footer di ogni pagina (con etichetta "Privacy Policy" o "Informativa Privacy")
  • Link nel cookie banner
  • Link diretto nei form di contatto, prima del pulsante di invio
  • Per siti con area clienti: link nell'area di login e nella fase di registrazione

La pagina dell'informativa deve avere un URL stabile (es. /privacy-policy) e non deve richiedere autenticazione per essere letta.

Sanzioni: a quanto ammontano davvero

Le sanzioni amministrative previste dal GDPR operano su due fasce:

ViolazioneSanzione massima
Violazioni di principi base, mancanza di base giuridica, violazione dei diritti degli interessati20 milioni di euro o 4% del fatturato mondiale annuo
Violazioni di obblighi del titolare (es. informativa incompleta, mancata nomina DPO obbligatoria)10 milioni di euro o 2% del fatturato mondiale

Per uno studio professionale individuale, la proporzionalità abbassa significativamente l'importo effettivo, ma i provvedimenti del Garante verso studi di piccole dimensioni documentano sanzioni nell'ordine di 5.000-50.000 euro per violazioni dell'obbligo di informativa. A queste si aggiungono i costi di difesa e il danno reputazionale.

Il Garante può avviare un'istruttoria a seguito di:

  • reclamo di un interessato (anche un ex cliente)
  • segnalazione di un concorrente
  • ispezione programmata per settore (es. campagne tematiche sulla sanità o sui servizi legali)
  • notizie di stampa o segnalazioni spontanee

Checklist per la conformità dell'informativa

Prima di pubblicare o aggiornare l'informativa del tuo sito, verifica ogni punto:

  • Identità completa del titolare (nome, indirizzo, email)
  • DPO indicato se obbligatorio per la categoria professionale
  • Tutte le finalità di trattamento elencate con base giuridica specifica
  • Dati particolari (salute, giudiziari) con doppia base giuridica art. 6 + art. 9
  • Destinatari indicati (hosting provider, CRM, commercialista, ecc.)
  • Trasferimenti extra-UE documentati con garanzie
  • Periodi di conservazione specifici per categoria
  • Tutti i diritti GDPR elencati con modalità di esercizio
  • Link all'informativa nel footer, nei form e nel banner cookie
  • Cookie banner conforme (rifiuto ugualmente semplice dell'accettazione)
  • Cookie policy separata o sezione dedicata
  • Data di ultimo aggiornamento visibile nel documento

Se stai valutando di integrare strumenti AI nel tuo studio, considera che anche i dati trattati attraverso sistemi di intelligenza artificiale rientrano nel perimetro GDPR: approfondisci su AI per studi professionali.

Come mantenerla aggiornata nel tempo

L'informativa non è un documento "pubblica e dimentica". Deve essere aggiornata ogni volta che:

  • cambia un fornitore (es. passi da un hosting a un altro)
  • introduci un nuovo strumento che raccoglie dati (chatbot, CRM, sistema di prenotazione)
  • cambia la base giuridica di un trattamento
  • il Garante emette nuove linee guida rilevanti per il tuo settore
  • cambia la normativa di settore (es. aggiornamenti al Codice Privacy)

Una buona prassi è pianificare una revisione annuale dell'informativa, preferibilmente a inizio anno o in coincidenza con il rinnovo del dominio/hosting. Documenta la revisione con data e firma del titolare.

Tieni un registro delle versioni dell'informativa: se un interessato contesta il trattamento riferendosi a un periodo passato, devi poter dimostrare cosa diceva la tua informativa in quel momento.

Il Registro dei Trattamenti: l'obbligo spesso dimenticato

L'informativa sul sito è solo la parte visibile di un sistema di compliance più ampio. Il GDPR prevede, all'art. 30, la tenuta di un Registro delle Attività di Trattamento per i titolari che trattano dati di salute, dati giudiziari o dati su larga scala — condizioni che riguardano molti studi professionali.

Il Garante italiano ha chiarito che, pur non essendo obbligatorio per tutti i titolari, il registro è fortemente raccomandato anche per gli studi di piccole dimensioni, perché costituisce la prova documentale della conformità in caso di ispezione.

Il registro deve contenere, per ogni attività di trattamento: finalità, categorie di interessati, categorie di dati, destinatari, trasferimenti extra-UE, misure di sicurezza adottate e termini di cancellazione.

Per gestire la compliance GDPR in modo strutturato senza sovraccaricare lo studio, esistono oggi soluzioni digitali integrate che automatizzano parte della documentazione: puoi approfondire le opzioni su strumenti per la reputazione digitale dello studio.

Sintesi operativa

L'informativa privacy del sito del tuo studio deve essere completa, specifica e aggiornata. Non è un copia-incolla, ma un documento che fotografa esattamente come tratti i dati di chi interagisce con te online.

I passi concreti da fare subito:

  1. Leggi l'informativa che hai pubblicato (o falla leggere a un professionista privacy) e confrontala con la checklist sopra
  2. Verifica il cookie banner: il rifiuto deve essere semplice quanto l'accettazione
  3. Controlla i trasferimenti extra-UE: hai servizi americani integrati?
  4. Aggiorna i periodi di conservazione con date specifiche, non formule generiche
  5. Nomina formalmente i responsabili del trattamento (hosting, software gestionali)

La conformità GDPR per uno studio professionale non richiede investimenti sproporzionati, ma richiede metodo. Un'informativa corretta protegge lo studio, rafforza la fiducia dei clienti e — in un contesto in cui la reputazione digitale è sempre più centrale — diventa anche un elemento di differenziazione professionale.

Scarica la checklist GDPR per studi professionali

12 punti per verificare la conformità del tuo sito: informativa, cookie banner, registro trattamenti e trasferimenti extra-UE.

Scarica gratis

Scarica la Checklist Sito Web

27 punti da verificare prima di pubblicare il sito del tuo studio. PDF gratuito.

Scarica gratis
WP

Redazione WebProfessionisti

WebProfessionisti è specializzata in siti web, SEO locale e marketing digitale per studi professionali italiani. Ogni guida è scritta e verificata dal nostro team di esperti.

Scopri i nostri servizi →

Fonti e riferimenti

Termini dal glossario

GDPR

Il GDPR, Regolamento europeo sulla protezione dei dati personali, definisce principi e diritti per chi tratta dati di persone fisiche nell'Unione. Impatta siti web che raccolgono moduli, newsletter, cookie di profilazione o strumenti analytics. Gli obblighi includono base giuridica del trattamento, informativa chiara, misure di sicurezza e risposta agli esercizio dei diritti degli interessati. Per professionisti, spesso titolari e responsabili di trattamento, vanno mappate le finalità e aggiornati accordi con fornitori. Sanzioni e reputazione sono i rischi principali in caso di violazioni. Il sito deve rendere facile contattare il titolare e gestire consensi ove necessario. La compliance non è statica: nuovi strumenti marketing o chatbot richiedono rivalutazioni periodiche. Documentare le scelte in registro e policy aiuta dimostrabilità in audit.

Cookie Policy

La cookie policy è il documento informativo che descrive quali cookie e tecnologie simili vengono utilizzati sul sito, con quali finalità, durata e base giuridica, e come l'utente può gestire le preferenze. Va distinta dalla privacy policy generale, anche se spesso è collegata. Deve essere facilmente accessibile dal banner cookie e aggiornata quando si aggiungono nuovi script di analytics o pubblicità. Per studi professionali, trasparenza su fornitori terzi e trasferimenti extra UE è parte della compliance GDPR. Linguaggio chiaro aiuta utenti e riduce contestazioni. Conservare versioni precedenti documenta cosa era comunicato in un dato momento. Allineare policy e configurazione tecnica effettiva è fondamentale: incongruenze sono frequenti in sede di verifica. La cookie policy non sostituisce il consenso ove richiesto, ma lo supporta con informazione corretta.