Modello informativa privacy studio: struttura conforme 2026

In sintesi: un modello di informativa privacy per i clienti del tuo studio deve contenere le nove sezioni elencate dall'articolo 13 del Regolamento UE 2016/679: identità e contatti del titolare, eventuale DPO, finalità e base giuridica di ogni trattamento, destinatari dei dati, eventuali trasferimenti extra-UE, periodo di conservazione, diritti dell'interessato, diritto di reclamo al Garante e natura (obbligatoria o facoltativa) del conferimento dei dati. Il modello è una struttura da compilare con i trattamenti reali dello studio: non un testo da incollare. Sotto trovi la struttura sezione per sezione, una tabella di riepilogo e le varianti per professione.

Questa guida non spiega perché serve un'informativa né come scriverla per il sito web: per quei due aspetti rimandiamo alle guide dedicate. Qui ci concentriamo su una cosa sola — la struttura del documento che consegni o pubblichi per i clienti dello studio — così puoi costruire il tuo modello partendo dalle sezioni giuste.

---

Che cos'è il modello e cosa NON è

Un "modello di informativa privacy" è uno schema di sezioni obbligatorie. Serve a non dimenticare nulla di ciò che l'art. 13 GDPR impone. Non è un documento universale: due studi della stessa categoria possono avere informative molto diverse a seconda del software che usano, dei terzi a cui comunicano i dati e dei dati particolari che trattano.

L'errore più comune è scaricare un modello generico e pubblicarlo senza adattarlo. Un'informativa che descrive trattamenti che non fai — o che ne omette altri reali — è di fatto non conforme, perché viola il principio di trasparenza dell'art. 5.1.a GDPR. Il modello va quindi inteso come un'ossatura: ogni voce richiede una decisione concreta sul tuo studio.

Prima di compilare il modello, mappa i trattamenti reali: quali dati raccogli, da chi, con quali strumenti e a chi li comunichi. Senza questa mappatura (il registro dei trattamenti ex art. 30) il modello resta un guscio vuoto.

---

La struttura del modello: le 9 sezioni dell'art. 13 GDPR

L'art. 13 elenca in modo tassativo le informazioni da fornire quando i dati sono raccolti direttamente presso l'interessato (il caso tipico del cliente che si rivolge allo studio). Ecco la sequenza consigliata per il documento.

Sezione 1 — Titolare del trattamento

Apri con l'identità completa: nome e cognome del professionista o ragione sociale dello studio associato, indirizzo della sede, codice fiscale/partita IVA, email e telefono. Il titolare è il soggetto che decide finalità e mezzi del trattamento: nello studio individuale coincide con il professionista, nello studio associato è l'associazione.

Sezione 2 — Responsabile della Protezione dei Dati (DPO)

Indica i contatti del DPO se lo hai nominato. La nomina è obbligatoria nei casi dell'art. 37 GDPR, tra cui il trattamento su larga scala di categorie particolari di dati (rilevante per strutture sanitarie e poliambulatori). Per la maggior parte degli studi individuali non è richiesta: in quel caso si può indicare un referente privacy interno, specificando che non si tratta di un DPO ai sensi dell'art. 37.

Sezione 3 — Finalità e base giuridica

È il cuore del documento. Per ogni trattamento indica cosa tratti, perché e su quale base giuridica dell'art. 6 (e, per i dati particolari, dell'art. 9). Tieni separati i trattamenti necessari all'incarico da quelli facoltativi (es. newsletter), perché solo questi ultimi richiedono il consenso.

Sezione 4 — Natura del conferimento

L'art. 13.2.e impone di chiarire se il conferimento dei dati è obbligatorio o facoltativo e quali sono le conseguenze del rifiuto. Tipicamente: i dati necessari all'incarico sono obbligatori (senza, lo studio non può erogare la prestazione), mentre quelli per finalità di marketing sono facoltativi e il rifiuto non pregiudica il rapporto.

Sezione 5 — Destinatari dei dati

Elenca le categorie di soggetti a cui i dati possono essere comunicati: collaboratori autorizzati, professionisti terzi coinvolti nella pratica, banche e assicurazioni, Pubblica Amministrazione (Agenzia delle Entrate, tribunali, enti previdenziali), fornitori di software nominati responsabili ex art. 28. Evita formule generiche come "terze parti fidate": indica categorie precise o nominativi.

Sezione 6 — Trasferimenti extra-UE

Se usi strumenti (cloud, gestionali, posta) che comportano un trasferimento di dati fuori dallo Spazio Economico Europeo, indicalo e specifica le garanzie: decisione di adeguatezza, clausole contrattuali tipo (SCC) o altre garanzie ex Capo V del GDPR. Se non trasferisci dati extra-UE, dichiaralo esplicitamente.

Sezione 7 — Periodo di conservazione

Indica per ogni categoria il termine o il criterio di conservazione. Non usare "per il tempo necessario" da solo: l'art. 13.2.a richiede il periodo o, se impossibile, i criteri per determinarlo. I termini variano per professione (vedi sezione dedicata sotto).

Sezione 8 — Diritti dell'interessato

Elenca i diritti degli artt. 15-22 GDPR e come esercitarli. Le linee guida EDPB 01/2022 sul diritto di accesso chiariscono la portata del più richiesto di questi diritti.

• Accesso (art. 15), rettifica (art. 16), cancellazione (art. 17)
• Limitazione (art. 18), portabilità (art. 20), opposizione (art. 21)
• Diritto di non essere sottoposto a decisioni automatizzate (art. 22)

Indica un canale di esercizio (email dedicata) e ricorda i tempi: l'art. 12 prevede risposta senza ingiustificato ritardo e comunque entro un mese, prorogabile di due mesi in casi complessi con comunicazione motivata.

Sezione 9 — Reclamo al Garante

Chiudi richiamando il diritto di proporre reclamo all'autorità di controllo, in Italia il Garante per la protezione dei dati personali. L'omissione di questa voce è di per sé una non conformità all'art. 13.2.d.

Aggiungi sempre, in calce, la data di ultimo aggiornamento del documento: dimostra che l'informativa è viva e rivista nel tempo, e aiuta a tracciare quale versione era in vigore in un dato momento.

---

Tabella di riepilogo: le sezioni del modello

Questa pagina ha scopo informativo e non costituisce parere legale né un modello da adottare senza adattamento. Per redigere o validare la tua informativa privacy, fai verificare il documento a un professionista esperto di data protection o al DPO, e consulta sempre il tuo Ordine di appartenenza per i profili deontologici.

---

Come adattare il modello per professione

La struttura delle nove sezioni resta identica per tutti, ma alcune voci cambiano in modo sostanziale a seconda della professione, soprattutto sulla base giuridica dei dati particolari (art. 9) e sui tempi di conservazione.

Studi medici e sanitari

I dati sulla salute sono categorie particolari ex art. 9.2.h (finalità di cura). La sezione conservazione deve riflettere i termini sanitari di settore e la nomina del DPO è spesso obbligatoria per il trattamento su larga scala. Richiama FNOMCeO ed ENPAM nei profili deontologici e previdenziali.

Studi legali

L'avvocato tratta dati giudiziari e, nella difesa, dati particolari che possono trovare base nell'art. 9.2.f (accertamento, esercizio o difesa di un diritto in sede giudiziaria). La conservazione del fascicolo segue le indicazioni del CNF e il segreto professionale va richiamato esplicitamente.

Commercialisti e consulenti del lavoro

Prevalgono dati fiscali, reddituali e patrimoniali con base nell'obbligo legale (art. 6.1.c) e, dove applicabile, gli obblighi antiriciclaggio. La conservazione delle scritture contabili segue i termini civilistici e fiscali. Richiama ODCEC e il Consiglio Nazionale dell'Ordine dei Consulenti del Lavoro.

Psicologi e architetti

Lo psicologo tratta dati sulla salute e sul segreto professionale (CROAS / Ordine regionale); l'architetto tratta prevalentemente dati comuni di committenti, con minore incidenza dell'art. 9 ma attenzione ai dati di terzi nei progetti (CNAPPC). In entrambi i casi la sezione "destinatari" merita cura: lo psicologo che lavora in equipe o invia a uno specialista, l'architetto che condivide il progetto con imprese, fornitori e uffici tecnici comunali, devono dichiarare queste categorie di destinatari in modo specifico anziché con formule generiche.

I tempi di conservazione sono il punto in cui le informative di professioni diverse divergono di più. Verifica sempre i termini con le norme di settore e con il tuo Ordine: non riusare i termini di un'altra professione.

---

Errori frequenti nel compilare il modello

Quando un modello viene adottato male, gli inciampi ricorrenti sono questi:

• Lasciare i segnaposto del template (es. "[inserire finalità]") nel documento pubblicato
• Descrivere trattamenti non reali copiati dal modello, in violazione del principio di trasparenza
• Tempi di conservazione vaghi o presi a prestito da un'altra professione
• Destinatari generici ("soggetti autorizzati") senza categorie precise
• Confondere l'informativa clienti con quella per dipendenti, che è un documento separato
• Omettere il reclamo al Garante o la natura del conferimento

Per una visione d'insieme degli adempimenti documentali — registro dei trattamenti, nomine dei responsabili, informative multiple — vedi la guida ai modelli e alla documentazione GDPR dello studio. Per capire invece il perché e il come a monte della redazione, parti dalla guida all'informativa privacy dello studio secondo il GDPR.

---

Dove pubblicare e consegnare l'informativa

Una volta compilato, il modello diventa un documento da rendere disponibile nei punti di contatto con il cliente:

• Alla prima raccolta dati: consegnata o richiamata nella lettera d'incarico
• Sul sito web: in footer con link sempre visibile e nei form di contatto con checkbox di presa visione
• In studio: disponibile su richiesta anche in formato cartaceo

L'informativa pubblicata sul sito può richiedere clausole aggiuntive (cookie, form, analytics) che non riguardano questo modello "clienti": se stai costruendo o rifacendo il sito, conviene integrare la compliance fin dall'inizio. Vedi come strutturarlo nella pagina sito web per studi professionali.