Informativa privacy studio commercialista: cosa deve contenere, modello e fac-simile GDPR

TLDR: L'informativa privacy di uno studio commercialista è un obbligo GDPR (artt. 13-14), non un optional. Deve identificare titolare, finalità, base giuridica, destinatari, tempi di conservazione e diritti dell'interessato. La mancanza o l'inadeguatezza dell'informativa espone a sanzioni fino a 20 milioni di euro o il 4% del fatturato globale. In questo articolo trovi la struttura obbligatoria, un fac-simile adattabile e le specificità per il trattamento dati tipico di uno studio commercialista.

---

Uno studio commercialista tratta ogni giorno dati personali di clienti persone fisiche, dipendenti, soci di società, eredi in successione, soggetti in difficoltà finanziaria. Dati spesso sensibili, fiscalmente rilevanti, a volte soggetti a segreto professionale. Eppure, secondo i controlli periodici del Garante per la protezione dei dati personali, una quota rilevante degli studi professionali italiani — commercialisti inclusi — opera ancora con informative incomplete, generiche o del tutto assenti. L'informativa è solo un tassello: per il quadro completo degli adempimenti vedi la guida sul GDPR per studi commercialisti.

Il rischio non è solo formale. È reputazionale, economico e deontologico.

Questo contenuto è divulgativo. Verifica sempre con il tuo Ordine di appartenenza (ODCEC/CNDCEC) prima di applicare strategie o modelli documentali alla tua specifica realtà professionale. Per questioni complesse relative al trattamento di dati particolari, rivolgiti a un Data Protection Officer o a un legale specializzato in privacy.

---

Il commercialista come titolare del trattamento: quando e perché

Prima di costruire l'informativa, è essenziale capire in quale veste lo studio tratta i dati.

Titolare del trattamento (art. 4 n. 7 GDPR): lo studio è titolare quando determina autonomamente le finalità e i mezzi del trattamento. Questo accade per:

• Dati dei clienti persone fisiche (anagrafici, fiscali, patrimoniali)
• Dati dei dipendenti e collaboratori dello studio
• Dati dei referenti aziendali dei clienti società

Responsabile del trattamento (art. 4 n. 8 GDPR): lo studio diventa responsabile quando elabora dati per conto del cliente, che rimane titolare. Il caso più comune è l'elaborazione paghe e buste paga: i dipendenti dell'azienda cliente sono interessati il cui titolare è l'azienda stessa. In questo caso serve un Data Processing Agreement (DPA) firmato con il cliente, ex art. 28 GDPR. Le modalità e i contenuti minimi dell'atto sono approfonditi nella guida sulla nomina del responsabile esterno ex art. 28.

Questa distinzione è fondamentale: l'informativa che stai per costruire riguarda il trattamento in qualità di titolare. Per i trattamenti da responsabile, invece, sarà il cliente a dover fornire l'informativa ai propri dipendenti.

---

Le basi giuridiche del trattamento in uno studio commercialista

Ogni finalità di trattamento deve avere una base giuridica (art. 6 GDPR). Per uno studio commercialista le principali sono:

Indicare la base giuridica corretta per ogni finalità non è un dettaglio: è un requisito esplicito dell'art. 13(1)(c) GDPR e uno degli elementi verificati nei controlli del Garante.

---

Struttura obbligatoria dell'informativa: i 10 elementi chiave

L'art. 13 GDPR elenca tassativamente le informazioni da fornire quando i dati sono raccolti direttamente dall'interessato (il tuo cliente che viene in studio). Eccole tradotte in checklist operativa:

1. Identità e contatti del titolare Nome, indirizzo, telefono, email dello studio. Se è una STP (Società Tra Professionisti), vanno indicati i dati societari. Esempio: "Titolare del trattamento: Studio Bianchi & Associati S.r.l., Via Roma 15, 20121 Milano, email: privacy@studiobianchi.it".

2. Contatti del DPO (se nominato) Non tutti gli studi devono nominarlo (vedi FAQ), ma se lo hai nominato, i suoi contatti vanno indicati obbligatoriamente.

3. Finalità e base giuridica Per ciascuna finalità: cosa fai con i dati e perché hai il diritto di farlo. Non è sufficiente scrivere "per finalità connesse al mandato": servono finalità specifiche con la corrispondente base giuridica.

4. Legittimo interesse (se applicabile) Se usi il legittimo interesse come base, devi specificarlo esplicitamente. Il Garante ha chiarito che questa base non può essere usata in modo generico per aggirare il consenso.

5. Destinatari o categorie di destinatari Chi riceve i dati oltre allo studio? Tipicamente: Agenzia delle Entrate, INPS, INAIL, banche per bonifici, consulenti legali, software house in cloud (responsabili del trattamento), revisori.

6. Trasferimenti extra-UE Se usi software SaaS americani (es. Google Workspace, Microsoft 365, alcuni gestionali contabili), il trasferimento extra-UE va dichiarato con la relativa garanzia (Adequacy Decision, SCCs).

7. Periodo di conservazione O i criteri per determinarlo. Per documenti contabili: 10 anni (art. 2220 c.c.). Per pratiche fiscali: fino a decadenza dei termini di accertamento (in genere 5-7 anni). Per dati di contenzioso: fino a definizione del procedimento più prescrizione.

8. Diritti dell'interessato Accesso (art. 15), rettifica (art. 16), cancellazione (art. 17), limitazione (art. 18), portabilità (art. 20), opposizione (art. 21), revoca del consenso (art. 7(3)). Vanno elencati tutti con le modalità per esercitarli.

9. Diritto di reclamo al Garante Obbligatorio indicare che l'interessato può proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

10. Natura obbligatoria o facoltativa del conferimento Il cliente deve sapere se fornire i dati è necessario per il contratto (e cosa succede se non li fornisce) o facoltativo.

Tip operativo: per gli studi che gestiscono pratiche di successione o tutele, i dati degli eredi o dei tutelati non sono raccolti direttamente. In quel caso si applica l'art. 14 GDPR (informativa per dati raccolti da terzi), con un set di informazioni parzialmente diverso e un termine di 30 giorni dalla raccolta per fornirla.

---

Fac-simile: struttura base per studio commercialista

Di seguito la struttura modulare adattabile. I campi in [parentesi] vanno personalizzati.

---

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI ai sensi degli artt. 13-14 del Regolamento UE 2016/679 (GDPR)

Titolare del trattamento: [Nome Studio / STP], con sede in [Indirizzo], CF/P.IVA [xxx], email: [privacy@studio.it], tel. [xxx].

Responsabile della Protezione dei Dati (DPO): [se nominato: Nome, email] / [se non nominato: non nominato in quanto non ricorrono le condizioni di cui all'art. 37 GDPR].

Categorie di dati trattati: dati anagrafici e di contatto, dati fiscali e reddituali, dati patrimoniali, dati relativi a rapporti di lavoro (per elaborazione paghe), dati giudiziari (limitatamente a procedure di recupero crediti o contenziosi tributari).

Finalità e basi giuridiche:

• Esecuzione del mandato professionale (contabilità, dichiarazioni fiscali, consulenza): art. 6(1)(b)
• Adempimento obblighi di legge (antiriciclaggio D.Lgs. 231/2007, obblighi fiscali, previdenziali): art. 6(1)(c)
• Gestione del rapporto contrattuale con lo studio (fatturazione, archivio): art. 6(1)(b)
• Tutela di diritti in sede giudiziaria o stragiudiziale: art. 6(1)(f)
• Invio di comunicazioni informative e aggiornamenti normativi a clienti esistenti: art. 6(1)(f) — legittimo interesse [con possibilità di opposizione]
• Attività di marketing diretto, newsletter, eventi: art. 6(1)(a) — consenso

Destinatari: Agenzia delle Entrate, INPS, INAIL, Camere di Commercio, istituti bancari (per adempimenti contrattuali), consulenti legali esterni, [nome software house / gestionale cloud] in qualità di responsabili del trattamento ex art. 28 GDPR.

Trasferimenti extra-UE: [se applicabile] I dati possono essere trasferiti verso [Paese/fornitore] sulla base di [Adequacy Decision / Clausole Contrattuali Standard ex art. 46 GDPR].

Periodo di conservazione: 10 anni per documenti contabili e scritture (art. 2220 c.c.); fino a decadenza dei termini di accertamento fiscale per documentazione tributaria; per la durata del contenzioso più i termini di prescrizione per pratiche legali; 24 mesi dalla cessazione del rapporto per dati di marketing (salvo opposizione anticipata).

Diritti dell'interessato: Lei ha diritto di accedere ai propri dati (art. 15), ottenerne la rettifica (art. 16), la cancellazione (art. 17), la limitazione del trattamento (art. 18), la portabilità (art. 20), di opporsi al trattamento (art. 21) e di revocare il consenso in qualsiasi momento senza pregiudizio per il trattamento pregresso (art. 7(3)). Per esercitare i propri diritti: [email/indirizzo]. Ha inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

Conferimento dei dati: il conferimento dei dati è necessario per l'esecuzione del mandato professionale. Il mancato conferimento impedisce l'instaurazione o la prosecuzione del rapporto professionale. I dati per finalità di marketing sono facoltativi.

---

Questo fac-simile è uno schema di partenza, non un documento legalmente validato per il tuo studio. La struttura dei trattamenti, le categorie di dati e i destinatari variano significativamente in base alla dimensione dello studio e alla tipologia di clientela. Adattalo alle tue specificità con l'ausilio di un professionista della privacy.

---

Il caso pratico: studio commercialista a Milano con clienti PMI

Uno studio di 4 commercialisti e 6 collaboratori nell'area Nord Milano, con circa 120 clienti attivi tra persone fisiche, SRL e SNC, ha rivisto la propria documentazione privacy nel 2025 dopo un controllo ispettivo dell'Agenzia delle Entrate che aveva sollevato questioni sull'accesso ai dati da parte di un ex collaboratore.

Il processo ha richiesto 3-4 settimane di lavoro strutturato:

1. Mappatura dei trattamenti (registro ex art. 30 GDPR): identificazione di 14 categorie di trattamento distinte, inclusa l'elaborazione paghe per 35 aziende clienti
2. Distinzione titolare/responsabile: per 35 clienti con buste paga, formalizzazione di altrettanti DPA — molti non erano mai stati firmati
3. Aggiornamento informative: tre versioni distinte (clienti persone fisiche, referenti societari, dipendenti dello studio)
4. Verifica fornitori cloud: il gestionale contabile usava server in Irlanda (UE, nessun problema) ma il servizio email era americano — risolto con SCCs
5. Formazione collaboratori: 2 ore di formazione su gestione delle richieste di accesso e procedure di breach notification

Risultato: una struttura documentale difendibile, con il registro dei trattamenti aggiornato e le informative in linea con il GDPR. Costo stimato: 15-25 ore di lavoro tra studio e consulente privacy esterno.

---

Informativa per il sito web dello studio: non è la stessa cosa

L'informativa che consegni al cliente al momento dell'incarico non copre il sito web dello studio. Sul sito servono:

• Informativa visitatori (chi arriva sul sito, anche senza compilare form)
• Cookie policy (con consenso granulare per cookie non tecnici)
• Informativa specifica per i form di contatto (chi compila il modulo "richiedi consulenza")

Se stai valutando di ottimizzare anche la presenza digitale del tuo studio — dal sito alla visibilità locale — il nostro servizio di SEO e GEO per studi professionali e la voce di glossario sulla local SEO offrono un percorso strutturato che tiene conto delle limitazioni deontologiche ODCEC in materia di pubblicità professionale.

Per gli studi che vogliono impostare correttamente sito e form di contatto fin dalla configurazione, un sito web costruito per studi professionali integra cookie policy, informative e moduli conformi al framework privacy by design.

---

Registro dei trattamenti: l'adempimento spesso dimenticato

L'informativa è visibile al cliente. Il registro dei trattamenti (art. 30 GDPR) è lo strumento interno che giustifica ogni scelta documentata nell'informativa. Gli studi con più di 250 dipendenti sono obbligati a tenerlo; quelli più piccoli lo sono comunque se trattano dati particolari (salute, dati giudiziari) o dati che presentano rischi per i diritti degli interessati — condizione quasi sempre verificata negli studi commercialisti.

Il registro deve contenere, per ogni trattamento:

• Finalità
• Categorie di interessati e di dati
• Categorie di destinatari
• Trasferimenti extra-UE
• Termini di cancellazione
• Misure di sicurezza (anche per sintesi)

Non è un documento pubblico, ma deve essere esibito al Garante in caso di ispezione. Uno studio senza registro in regola parte già svantaggiato in qualsiasi procedimento sanzionatorio.

---

Deontologia ODCEC e privacy: il doppio vincolo

Il Codice Deontologico del CNDCEC impone al commercialista la riservatezza sulle informazioni acquisite nell'esercizio della professione (art. 11 Codice Deontologico CNDCEC). Questo obbligo deontologico si sovrappone — e non sostituisce — gli obblighi GDPR.

In pratica:

• Il segreto professionale non è una base giuridica autonoma per trattare i dati: serve comunque una base GDPR
• La riservatezza deontologica può limitare l'esercizio del diritto di portabilità da parte del cliente (art. 20 GDPR), quando i dati contengono informazioni riservate di terzi
• In caso di richiesta di accesso agli atti da parte dell'Agenzia delle Entrate, il segreto professionale non esonera dall'obbligo di collaborazione per i documenti non coperti da privilegio

La gestione di questi casi limite richiede una valutazione caso per caso. Il CNDCEC ha pubblicato circolari specifiche sul punto, disponibili sul portale istituzionale.

---