WebProfessionisti
Privacy & GDPRTutti i professionisti

Informativa privacy per studio professionale: guida GDPR

9 min letturaPrivacy & GDPRDi Edoardo Avantifiori
In sintesi

L'informativa privacy è un obbligo GDPR per qualsiasi studio professionale che tratta dati di clienti, collaboratori o visitatori del sito. Deve indicare titolare, finalità, base giuridica, periodo di conservazione e diritti degli interessati. Un documento generico scaricato online non è sufficiente: serve personalizzazione sul contesto specifico dello studio.

Informativa privacy per studio professionale: redazione conforme GDPR

Ogni studio professionale — avvocato, commercialista, medico, psicologo, architetto, consulente del lavoro — tratta quotidianamente dati personali di clienti, pazienti, collaboratori e fornitori. Il GDPR (Regolamento UE 2016/679) impone di informare gli interessati prima di qualsiasi trattamento: è l'obbligo di trasparenza sancito dagli articoli 13 e 14.

L'informativa privacy non è un adempimento burocratico da delegare a un template generico scaricato dal web. È un documento giuridicamente vincolante che, se redatto male, espone lo studio a sanzioni fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, oltre a reclami al Garante e rischi reputazionali significativi.

Questa guida illustra come strutturare un'informativa conforme, quali elementi sono obbligatori per legge e le specificità che cambiano in base alla professione.

Perché l'informativa generica non basta

Il mercato abbonda di template "copia e incolla" per la privacy policy. Il problema è strutturale: un'informativa valida deve rispecchiare i trattamenti effettivamente svolti dallo studio, con le specifiche basi giuridiche applicabili e i tempi di conservazione reali.

Il Garante italiano ha sanzionato ripetutamente soggetti che utilizzavano informative:

  • incomplete sui dati trattati
  • prive della base giuridica per ciascuna finalità
  • con periodi di conservazione assenti o generici ("per il tempo necessario")
  • copiate da altri siti senza adattamento

Uno studio legale che tratta dati relativi a procedimenti penali non può usare la stessa informativa base di uno studio di architettura. Le categorie particolari di dati (art. 9 GDPR) e i dati giudiziari (art. 10 GDPR) richiedono sezioni dedicate con misure di tutela rafforzate.

La personalizzazione non è opzionale: è il presupposto della conformità.

Struttura obbligatoria: gli elementi dell'art. 13 GDPR

L'articolo 13 GDPR elenca tassativamente cosa deve contenere un'informativa quando i dati vengono raccolti direttamente dall'interessato (moduli contatto, contratti, visite in studio). Ecco la mappa completa.

1. Identità e dati di contatto del titolare del trattamento

Il titolare è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento. Per uno studio individuale, è il professionista stesso; per uno studio associato o una società tra professionisti (STP), è la struttura giuridica.

Vanno indicati:

  • Nome completo e denominazione dello studio
  • Indirizzo della sede
  • Indirizzo email (preferibilmente PEC)
  • Numero di telefono (opzionale ma consigliato per gli interessati)

2. Dati di contatto del DPO (se nominato)

La nomina del Data Protection Officer è obbligatoria solo per trattamenti su larga scala di categorie particolari di dati (art. 37 GDPR). Per la maggior parte degli studi professionali individuali non è necessaria, ma alcune strutture complesse — ospedali privati, grandi studi medici, strutture con decine di collaboratori — potrebbero rientrare nell'obbligo.

Se il DPO è nominato, nell'informativa devono comparire i suoi dati di contatto (non necessariamente il nome).

3. Finalità e base giuridica del trattamento

Ogni finalità deve avere una base giuridica distinta tra quelle previste dall'art. 6 GDPR:

FinalitàBase giuridica tipica
Esecuzione del contratto di prestazione professionaleArt. 6(1)(b) — esecuzione contratto
Adempimenti fiscali e contabiliArt. 6(1)(c) — obbligo legale
Tutela in giudizioArt. 6(1)(f) — legittimo interesse
Invio newsletter o aggiornamentiArt. 6(1)(a) — consenso
Prenotazioni onlineArt. 6(1)(b) — esecuzione contratto
Curriculum vitae ricevutiArt. 6(1)(f) — legittimo interesse pre-contrattuale

Per le categorie particolari (dati sanitari, dati relativi all'orientamento sessuale, dati sulle convinzioni religiose, ecc.) serve una delle condizioni aggiuntive dell'art. 9(2), tipicamente:

  • Art. 9(2)(h): finalità di medicina preventiva o medicina del lavoro (medici, psicologi)
  • Art. 9(2)(f): accertamento, esercizio o difesa di un diritto in sede giudiziaria (avvocati)

4. Destinatari o categorie di destinatari

L'informativa deve indicare a chi vengono comunicati i dati, anche solo per categorie:

  • Commercialista/consulente fiscale dello studio
  • Società di elaborazione buste paga
  • Provider del gestionale di studio (responsabili del trattamento)
  • Autorità pubbliche (Agenzia delle Entrate, autorità giudiziaria, ordini professionali)
  • Istituti bancari

Non è necessario elencare ogni singola azienda, ma le categorie devono essere chiare.

5. Eventuali trasferimenti verso Paesi terzi

Se lo studio usa servizi cloud (Google Workspace, Microsoft 365, Dropbox, strumenti AI) che archiviano dati fuori dall'UE/SEE, deve indicarlo con le garanzie adottate (decisioni di adeguatezza, clausole contrattuali standard).

Attenzione: l'uso di servizi come ChatGPT o altri strumenti AI generativi per elaborare dati dei clienti configura un trasferimento verso Paesi terzi e un nuovo trattamento. Verifica sempre i termini di servizio e l'eventuale accordo DPA (Data Processing Agreement) con il provider. Per approfondire, leggi la nostra guida su come usare l'AI nello studio in conformità GDPR.

6. Periodo di conservazione

Uno degli errori più frequenti è scrivere "per il tempo necessario agli scopi indicati". Il Garante ha più volte sanzionato questa formulazione come eccessivamente vaga.

I periodi devono essere specificati per ciascuna finalità o categoria di dati:

Tipo di datoConservazione indicativa
Documenti fiscali e fatture10 anni (art. 2220 c.c.)
Fascicoli di causa (avvocati)10 anni dalla conclusione
Cartelle cliniche (medici)20 anni (DPR 445/2000)
Documentazione progettuale (architetti)10 anni
Curriculum vitae non selezionati6-12 mesi (salvo consenso a maggiore durata)
Dati di contatto newsletterFino alla revoca del consenso

7. Diritti degli interessati

L'informativa deve elencare esplicitamente i diritti previsti dagli artt. 15-22 GDPR:

  • Accesso (art. 15): ricevere copia dei propri dati trattati
  • Rettifica (art. 16): correggere dati inesatti
  • Cancellazione (art. 17): il cosiddetto "diritto all'oblio"
  • Limitazione (art. 18): sospendere il trattamento in certi casi
  • Portabilità (art. 20): ricevere i dati in formato strutturato
  • Opposizione (art. 21): opporsi a trattamenti basati su legittimo interesse
  • Revoca del consenso: sempre possibile senza effetti retroattivi
  • Reclamo al Garante: diritto di adire l'Autorità di controllo (www.garanteprivacy.it)

Informativa sul sito web: cosa cambia

Se lo studio ha un sito web, serve un'informativa specifica per il trattamento dei dati dei visitatori, distinta da quella della clientela dello studio. Questa deve coprire:

  • Log di navigazione raccolti automaticamente dal server (IP, browser, pagine visitate)
  • Cookie e tecnologie di tracciamento (con rimando alla cookie policy separata)
  • Form di contatto
  • Sistemi di prenotazione online
  • Chatbot o assistenti AI integrati nel sito

La Direttiva ePrivacy (recepita in Italia con il D.Lgs. 69/2012) e le Linee guida sui cookie del Garante (2021) impongono il consenso preventivo per cookie non tecnici. Un banner generico "Accetti i cookie?" senza granularità non è conforme.

Se stai costruendo o aggiornando il sito dello studio, considera una revisione integrata della struttura dei consensi. Il nostro approfondimento su come realizzare un sito professionale conforme analizza i requisiti tecnici e legali da integrare già in fase di sviluppo.

Specificità per professione

Alcune professioni presentano obblighi aggiuntivi o limitazioni che devono riflettersi nell'informativa.

Avvocati e studi legali: il segreto professionale (art. 6 L. 247/2012) limita la comunicabilità di certi dati anche in risposta a richieste di accesso degli interessati. L'informativa deve menzionare questa limitazione e la sua base normativa.

Medici e professionisti sanitari: i dati sulla salute sono categorie particolari ex art. 9 GDPR. Il Provvedimento del Garante del 9 novembre 2005 (ancora applicabile nei principi) e le linee guida FNOMCeO definiscono le modalità di gestione. Il consenso al trattamento sanitario non equivale al consenso privacy: sono due atti distinti.

Psicologi: l'obbligo di riservatezza deontologica (art. 11 Codice Deontologico degli Psicologi) si sovrappone agli obblighi GDPR. In caso di richieste di accesso agli atti, lo psicologo può opporre il segreto professionale a tutela di terzi eventualmente citati nelle note cliniche.

Commercialisti e consulenti del lavoro: trattano dati fiscali, reddituali e relativi alla salute dei dipendenti dei clienti. L'informativa deve distinguere tra i trattamenti come titolari (clienti diretti) e come responsabili del trattamento (quando operano per conto del cliente-datore di lavoro).

Questa pagina non costituisce parere legale. Le indicazioni fornite hanno carattere orientativo. Per la redazione dell'informativa privacy del tuo studio, consulta un consulente privacy qualificato o il tuo Ordine di appartenenza.

Come consegnare l'informativa: forma e modalità

Il GDPR non impone una forma specifica, ma la consegna deve essere documentabile. Le modalità più comuni per gli studi professionali:

  • Prima del conferimento dell'incarico: allegata al contratto di prestazione professionale o al modulo di raccolta dati
  • Sul sito web: pagina dedicata raggiungibile da footer e da ogni form di contatto
  • In studio: affissa in sala d'attesa o consegnata in formato cartaceo all'accoglienza
  • Via email: inviata al cliente contestualmente al primo contatto formale

Conserva la prova della consegna: firma del cliente sul modulo cartaceo, email con ricevuta di consegna, log del sistema di gestione del consenso sul sito.

Aggiornamenti e revisione periodica

L'informativa non è un documento "una tantum". Va aggiornata ogni volta che cambiano:

  • I trattamenti effettuati (nuovo software gestionale, nuovo provider cloud, nuove finalità)
  • La struttura dello studio (nuovi collaboratori, nuove sedi, trasformazione in STP)
  • La normativa applicabile (provvedimenti del Garante, sentenze CGUE)
  • I fornitori di servizi terzi (cambio provider email, cloud, CRM)

Una revisione annuale è considerata una buona pratica dal Garante e dall'EDPB. Abbinala all'aggiornamento del Registro dei Trattamenti (art. 30 GDPR), che deve rimanere sempre coerente con quanto dichiarato nell'informativa.

Strumenti come i sistemi AI per la gestione documentale dello studio possono supportare il monitoraggio delle scadenze di aggiornamento della documentazione privacy, senza sostituire la valutazione legale.

Checklist: elementi da verificare nella tua informativa

Prima di pubblicare o consegnare l'informativa, controlla questi punti critici:

  • Identità completa del titolare (nome, indirizzo, email)
  • DPO indicato se nominato
  • Tutte le finalità elencate con la rispettiva base giuridica
  • Categorie particolari di dati identificate (se trattate) con base ex art. 9(2)
  • Destinatari indicati per categorie
  • Trasferimenti verso Paesi terzi menzionati con garanzie
  • Periodi di conservazione specifici per ciascuna finalità
  • Tutti i diritti degli interessati elencati (artt. 15-22)
  • Modalità di esercizio dei diritti indicate (email/PEC dedicata)
  • Diritto di reclamo al Garante menzionato
  • Linguaggio chiaro, conciso e accessibile (no gergo giuridico puro)
  • Data di ultima revisione indicata nel documento

Conclusioni

L'informativa privacy è la carta d'identità del trattamento dati del tuo studio. Redatta correttamente, non è solo uno scudo da sanzioni: è uno strumento di comunicazione che rafforza la fiducia dei clienti e dimostra professionalità.

I punti critici da non trascurare sono la specificità della base giuridica per ogni finalità, i periodi di conservazione concreti e la distinzione tra i diversi canali di raccolta dati (studio fisico vs. sito web vs. strumenti digitali).

Se stai valutando di integrare strumenti digitali nello studio — dal sito web al preventivo online — considera una revisione complessiva della tua architettura privacy. Scopri come costruire una presenza digitale conforme con gli strumenti AI per studi professionali.

Scarica la checklist privacy per studi professionali

12 punti di controllo per verificare la conformità GDPR della tua informativa e del registro dei trattamenti

Scarica gratis

Scarica la Checklist Sito Web

27 punti da verificare prima di pubblicare il sito del tuo studio. PDF gratuito.

Scarica gratis
WP

Redazione WebProfessionisti

WebProfessionisti è specializzata in siti web, SEO locale e marketing digitale per studi professionali italiani. Ogni guida è scritta e verificata dal nostro team di esperti.

Scopri i nostri servizi →

Fonti e riferimenti

Termini dal glossario

Registro dei Trattamenti

Il registro delle attività di trattamento è la documentazione in cui il titolare o il responsabile annota finalità, categorie di interessati, categorie di dati, destinatari, trasferimenti extra UE, termini di conservazione e misure di sicurezza, come previsto dal GDPR per la maggior parte degli organismi non esentati. Per studi professionali che trattano dati di clienti e dipendenti, il registro è strumento di accountability e utile in audit o ispezioni. Deve essere aggiornato quando cambiano processi o software. Non è un documento pubblico integrale, ma va messo a disposizione dell'autorità di controllo. La forma può essere digitale; esistono modelli e software dedicati. Confondere registro con privacy policy esterna al sito è un errore: sono strumenti diversi. La mancanza o l'obsolescenza del registro espone a sanzioni e incertezza interna su chi fa cosa con i dati.