WebProfessionisti
Privacy & GDPRTutti i professionisti

Informativa privacy per studi professionali: modello conforme 2026

9 min letturaPrivacy & GDPRDi Edoardo Avantifiori
In sintesi

L'informativa privacy è un documento obbligatorio per qualsiasi studio professionale che tratta dati personali di clienti, collaboratori o visitatori del sito. Nel 2026, nuove linee guida del Garante e l'entrata a regime del regolamento ePrivacy rafforzano gli obblighi di trasparenza. Questo articolo fornisce la struttura completa, le clausole obbligatorie e le integrazioni necessarie per strumenti digitali come CRM, chatbot AI e form web.

Informativa privacy per studi professionali: modello conforme 2026

L'informativa privacy non è una formalità da copiare online. È un documento legale che, se redatto male, espone lo studio a sanzioni del Garante fino al 4% del fatturato annuo globale — e, per uno studio professionale, anche a procedimenti disciplinari dell'Ordine di appartenenza.

Nel 2026 il quadro normativo si è ulteriormente consolidato: le linee guida EDPB sui diritti degli interessati sono diventate operative, il regolamento ePrivacy è in fase avanzata di negoziazione, e il Garante italiano ha emesso provvedimenti specifici su profilazione, chatbot AI e trasferimenti extra-UE. Chi non ha aggiornato la propria informativa negli ultimi 18 mesi ha quasi certamente lacune rilevanti.

Questa guida fornisce la struttura completa per redigere — o aggiornare — un'informativa conforme per avvocati, commercialisti, medici, psicologi, architetti e consulenti del lavoro.

Perché l'informativa privacy è diversa per uno studio professionale

Gli studi professionali trattano categorie di dati particolarmente sensibili: dati sulla salute (medici, psicologi), dati giudiziari (avvocati), dati fiscali e patrimoniali (commercialisti, consulenti del lavoro). L'articolo 9 del GDPR impone obblighi rafforzati per queste categorie, che si traducono in clausole specifiche nell'informativa.

In più, il professionista è titolare del trattamento ma opera anche sotto vincoli deontologici: il segreto professionale, l'obbligo di riservatezza verso i clienti e, in alcuni casi, la normativa antiriciclaggio (D.Lgs. 231/2007) che impone la conservazione di dati anche in deroga alla volontà dell'interessato.

Questi elementi devono emergere esplicitamente nell'informativa — non possono essere coperti da formule generiche.

L'informativa non è solo un obbligo: è anche un'opportunità di comunicare professionalità e trasparenza ai tuoi clienti. Uno studio che spiega chiaramente come gestisce i dati costruisce fiducia prima ancora del primo appuntamento.

Le sezioni obbligatorie secondo l'art. 13 GDPR

Il GDPR (art. 13 e 14) definisce in modo tassativo cosa deve contenere un'informativa. La struttura minima obbligatoria è la seguente.

1. Identità e dati di contatto del titolare

Nome, ragione sociale, indirizzo dello studio, email e telefono del titolare del trattamento. Se hai nominato un Responsabile della Protezione dei Dati (DPO), va indicato qui con i relativi contatti.

La nomina del DPO è obbligatoria per i medici che trattano dati su larga scala, per strutture sanitarie e, in alcuni casi, per studi legali con attività di monitoraggio sistematico. Per la maggior parte degli studi individuali non è richiesta, ma è comunque buona prassi indicare un referente privacy interno.

2. Finalità e base giuridica del trattamento

Questo è il cuore dell'informativa. Per ogni categoria di trattamento devi indicare:

  • Cosa tratti (es. dati anagrafici, dati di salute, dati reddituali)
  • Perché lo fai (finalità)
  • Su quale base giuridica (contratto, obbligo legale, interesse legittimo, consenso)

Per uno studio professionale, le basi giuridiche più frequenti sono:

FinalitàBase giuridicaEsempi
Erogazione della prestazione professionaleEsecuzione del contratto (art. 6.1.b)Gestione pratica legale, consulenza fiscale
Adempimenti fiscali e contabiliObbligo legale (art. 6.1.c)Emissione fatture, registri contabili
Antiriciclaggio e adeguata verificaObbligo legale (art. 6.1.c)Identificazione cliente, conservazione documenti
Dati particolari (salute, giudiziari)Art. 9.2.h + D.Lgs. 101/2018Cartella clinica, difesa in giudizio
Newsletter e marketingConsenso (art. 6.1.a)Invio aggiornamenti fiscali, eventi studio
Statistiche e miglioramento serviziInteresse legittimo (art. 6.1.f)Analisi accessi sito web (anonimizzati)

3. Destinatari e comunicazione a terzi

Elenca le categorie di soggetti a cui i dati possono essere comunicati:

  • Collaboratori e dipendenti dello studio (come autorizzati al trattamento)
  • Professionisti terzi coinvolti nella pratica (es. consulente tecnico, medico specialista)
  • Istituti bancari, assicurativi
  • Pubblica Amministrazione (Agenzia delle Entrate, tribunali, enti previdenziali)
  • Fornitori di software gestionale (nominati responsabili del trattamento ex art. 28)
  • Piattaforme cloud e hosting (con verifica delle garanzie per trasferimenti extra-UE)

Non scrivere genericamente "terze parti fidate". Il Garante ha sanzionato più volte questa formula. Elenca le categorie specifiche o, se i destinatari sono nominativi, indicali direttamente.

4. Trasferimento dati extra-UE

Se usi strumenti come Google Workspace, Microsoft 365, software CRM americani o piattaforme di videoconferenza, stai potenzialmente trasferendo dati fuori dall'UE. Devi indicarlo e specificare le garanzie adottate:

  • Decisioni di adeguatezza (es. UK, Giappone, Canada parziale)
  • Standard Contractual Clauses (SCC) aggiornate al 2021 per USA e altri paesi
  • Binding Corporate Rules per gruppi multinazionali

Il framework EU-US Data Privacy Framework, operativo dal 2023, copre le aziende americane certificate. Verifica che il tuo fornitore sia effettivamente certificato su dataprivacyframework.gov prima di indicarlo nell'informativa.

5. Periodo di conservazione

Ogni categoria di dati ha il suo termine di conservazione, spesso definito da norme di settore:

  • Documenti fiscali e contabili: 10 anni (art. 2220 c.c.)
  • Fascicolo legale: fino a 10 anni dopo la chiusura dell'incarico (linee guida CNF)
  • Cartella clinica: 20 anni dalla data dell'ultima annotazione (D.M. 299/2000)
  • Dati antiriciclaggio: 10 anni dall'operazione
  • Dati di marketing/newsletter: fino alla revoca del consenso
  • Log di accesso al sito: 12 mesi (Garante, provvedimento 2008)

Non usare formule vaghe come "per il tempo necessario". Indica i termini esatti o, se variabili, il criterio utilizzato.

6. Diritti degli interessati

Elenca tutti i diritti previsti dagli artt. 15-22 GDPR:

  • Accesso (art. 15)
  • Rettifica (art. 16)
  • Cancellazione ("diritto all'oblio", art. 17)
  • Limitazione del trattamento (art. 18)
  • Portabilità (art. 20) — solo per trattamenti basati su consenso o contratto, effettuati con mezzi automatizzati
  • Opposizione (art. 21)
  • Non essere sottoposti a decisioni automatizzate (art. 22)

Indica come esercitarli (email dedicata, form sul sito) e i tempi di risposta: 30 giorni, prorogabili a 90 in casi complessi con comunicazione motivata all'interessato.

Ricorda il diritto di proporre reclamo al Garante (www.garanteprivacy.it) — è obbligatorio menzionarlo.

Integrazioni per strumenti digitali: sito web, CRM e AI

La maggior parte delle informative degli studi professionali è ferma al 2018 e non copre gli strumenti digitali adottati negli anni successivi. Tre aree richiedono clausole dedicate.

Sito web e cookie

Se il tuo sito usa Google Analytics, Meta Pixel, font Google o anche solo script di terze parti, hai obblighi specifici. Le linee guida del Garante del 2022 sui cookie sono vincolanti:

  • Cookie tecnici: nessun consenso richiesto, ma vanno descritti nell'informativa
  • Cookie di profilazione e analytics: consenso preventivo tramite cookie banner conforme
  • Cookie di terze parti: ogni fornitore va elencato con link alla propria privacy policy

L'informativa del sito deve essere una sezione separata (o un documento separato linkato dal banner cookie) rispetto all'informativa per i clienti dello studio.

Se hai integrato funzionalità AI sul tuo sito — come un chatbot per studio professionale — devi aggiungere una clausola specifica che descriva: quali dati raccoglie il chatbot, se le conversazioni vengono registrate, se i dati vengono usati per addestrare modelli AI, e per quanto tempo vengono conservati i log.

CRM e gestione clienti

Se usi un software gestionale per lo studio (Lexdo, Fatture in Cloud, TeamSystem, Salesforce, HubSpot o simili), questi soggetti devono essere nominati responsabili del trattamento con un accordo scritto ex art. 28 GDPR. L'informativa deve menzionarli nella sezione "Destinatari".

Verifica che il contratto con il fornitore software includa le clausole obbligatorie dell'art. 28: istruzioni sul trattamento, obbligo di riservatezza, misure di sicurezza, diritto di audit, cancellazione o restituzione dei dati alla cessazione.

Strumenti AI e automazione

L'adozione di strumenti AI — dalla SEO assistita da AI alla generazione automatica di preventivi — introduce nuovi trattamenti che vanno censiti nel registro ex art. 30 e descritti nell'informativa.

In particolare, se usi modelli linguistici (GPT, Claude, Gemini) per elaborare documenti contenenti dati personali dei clienti, devi:

  1. Verificare le condizioni di trattamento dati del fornitore (API vs. prodotto consumer hanno regole diverse)
  2. Valutare se il trasferimento a infrastrutture extra-UE è coperto da adeguate garanzie
  3. Indicare nell'informativa la finalità (es. "assistenza nella redazione di documenti") e la base giuridica
Questa pagina non costituisce parere legale. Le indicazioni fornite hanno scopo informativo e orientativo. Per la redazione o la revisione della tua informativa privacy, consulta un avvocato specializzato in data protection o il DPO del tuo Ordine professionale di riferimento.

Errori frequenti da evitare

Dall'analisi dei provvedimenti del Garante degli ultimi 3 anni, emergono pattern ricorrenti negli studi professionali sanzionati:

  • Copia-incolla da modelli generici: l'informativa non rispecchia il trattamento effettivo e risulta fuorviante per gli interessati
  • Mancata indicazione dei tempi di conservazione: sostituiti da formule vaghe non conformi
  • Destinatari non specificati: "soggetti autorizzati" non è sufficiente
  • Assenza di clausole per strumenti digitali: sito web, email marketing, videoconferenze non menzionati
  • Informativa non aggiornata dopo cambio di software o processi: il documento deve essere aggiornato ogni volta che cambia il trattamento
  • Nessun riferimento al diritto di reclamo al Garante: omissione che di per sé costituisce violazione

Aggiornamento periodico: quando rivedere l'informativa

L'informativa non è un documento statico. Va aggiornata ogni volta che:

  • Introduci un nuovo strumento digitale (CRM, software gestionale, chatbot, piattaforma di firma digitale)
  • Cambia la struttura dello studio (nuovo associato, cambio di sede, subentro)
  • Cambiano i fornitori che trattano dati per conto dello studio
  • Emergono nuove linee guida del Garante o dell'EDPB su categorie di trattamento che ti riguardano
  • Modifichi le finalità del trattamento (es. inizi attività di newsletter che prima non svolgevi)

Una buona prassi è programmare una revisione annuale strutturata dell'informativa, abbinata all'aggiornamento del registro dei trattamenti. Molti studi la collocano a inizio anno, contestualmente alla formazione sulla privacy per collaboratori e dipendenti.

Per gli studi che gestiscono il sito web in autonomia, è utile affiancare all'informativa una strategia di presenza digitale locale che incorpori già le clausole privacy nei form di contatto e nelle landing page.

Checklist rapida per la conformità 2026

Prima di pubblicare o aggiornare la tua informativa, verifica questi punti:

  • Identità e contatti del titolare completi (incluso DPO se applicabile)
  • Ogni finalità ha una base giuridica esplicita e corretta
  • Categorie particolari di dati trattate con base giuridica ex art. 9
  • Destinatari specificati per categoria
  • Trasferimenti extra-UE indicati con garanzie
  • Termini di conservazione definiti per ogni categoria
  • Tutti i diritti GDPR elencati con modalità di esercizio
  • Diritto di reclamo al Garante menzionato
  • Clausola cookie/sito web presente (se applicabile)
  • Fornitori software nominati responsabili ex art. 28
  • Strumenti AI menzionati (se utilizzati)
  • Data di ultimo aggiornamento visibile

Dove pubblicare l'informativa

Per uno studio professionale, l'informativa va resa disponibile:

  • Sul sito web: in footer con link sempre visibile, e nei form di contatto con checkbox di presa visione
  • Nel contratto/lettera di incarico: come allegato o richiamo esplicito
  • In studio: disponibile su richiesta in formato cartaceo per chi non ha accesso digitale
  • Nei form digitali (preventivi online, portale clienti): con link diretto prima dell'invio dei dati

L'informativa per i dipendenti e collaboratori è un documento separato — non confonderla con quella per i clienti.

Se stai riprogettando la tua presenza online o valutando un sito professionale ottimizzato per la ricerca locale, è il momento giusto per integrare la compliance privacy fin dall'architettura del sito, evitando costose revisioni successive.

Scarica la checklist privacy per studi professionali

12 punti di verifica per sapere se la tua informativa è conforme al GDPR 2026

Scarica gratis

Scarica la Checklist Sito Web

27 punti da verificare prima di pubblicare il sito del tuo studio. PDF gratuito.

Scarica gratis
WP

Redazione WebProfessionisti

WebProfessionisti è specializzata in siti web, SEO locale e marketing digitale per studi professionali italiani. Ogni guida è scritta e verificata dal nostro team di esperti.

Scopri i nostri servizi →

Fonti e riferimenti

Termini dal glossario

GDPR

Il GDPR, Regolamento europeo sulla protezione dei dati personali, definisce principi e diritti per chi tratta dati di persone fisiche nell'Unione. Impatta siti web che raccolgono moduli, newsletter, cookie di profilazione o strumenti analytics. Gli obblighi includono base giuridica del trattamento, informativa chiara, misure di sicurezza e risposta agli esercizio dei diritti degli interessati. Per professionisti, spesso titolari e responsabili di trattamento, vanno mappate le finalità e aggiornati accordi con fornitori. Sanzioni e reputazione sono i rischi principali in caso di violazioni. Il sito deve rendere facile contattare il titolare e gestire consensi ove necessario. La compliance non è statica: nuovi strumenti marketing o chatbot richiedono rivalutazioni periodiche. Documentare le scelte in registro e policy aiuta dimostrabilità in audit.