Nomina del commercialista a responsabile del trattamento GDPR

Quando il tuo studio elabora buste paga, gestisce la contabilità o predispone dichiarazioni fiscali per un cliente, sta trattando dati personali altrui su istruzione di un altro soggetto. In termini GDPR significa una cosa precisa: sei un responsabile esterno del trattamento ai sensi dell'art. 28 del Regolamento UE 2016/679, e devi essere nominato con un contratto scritto. Senza quella nomina, sia il cliente sia lo studio sono esposti a sanzioni del Garante.

Questa guida spiega quando scatta l'obbligo, cosa deve contenere la lettera di incarico e fornisce un fac-simile adattabile, costruito sulle clausole minime indicate nelle Linee guida EDPB 07/2020.

Questo contenuto è divulgativo. Verifica sempre con il tuo Ordine di appartenenza (ODCEC) e con un DPO qualificato prima di adottare modelli contrattuali per la tua situazione specifica.

Titolare, responsabile, contitolare: inquadrare la fattispecie

Prima di redigere qualsiasi nomina, occorre capire in quale ruolo opera lo studio professionale rispetto ai dati del cliente.

Il titolare del trattamento determina finalità e mezzi del trattamento. Il responsabile del trattamento tratta i dati per conto del titolare, seguendone le istruzioni. Il contitolare co-determina finalità e mezzi con un altro soggetto.

Per lo studio di commercialisti, la casistica tipica è questa:

La distinzione non è banale: uno stesso studio può essere titolare per i propri dipendenti e responsabile esterno per i dati dei dipendenti dei clienti. Confondere i ruoli è uno degli errori più frequenti rilevati dal Garante nei controlli sulle PMI e sugli studi professionali.

Le Linee guida EDPB 07/2020 chiariscono che il fattore determinante è chi stabilisce le finalità: se è il cliente a decidere perché quei dati vengono trattati e lo studio si limita ad eseguire, lo studio è responsabile del trattamento. Non conta la denominazione contrattuale usata dalle parti.

Quando scatta l'obbligo di nomina ex art. 28 GDPR

L'obbligo di nomina scritta scatta ogni volta che ricorrono tre condizioni cumulative:

1. Lo studio tratta dati personali (anche solo nomi e stipendi dei dipendenti del cliente)
2. Il trattamento avviene per conto del titolare (il cliente), non per finalità proprie dello studio
3. Il titolare impartisce istruzioni su come trattare quei dati

In questa situazione, l'art. 28 par. 3 GDPR richiede che il rapporto sia disciplinato da un contratto o altro atto giuridico, vincolante il responsabile nei confronti del titolare, redatto in forma scritta (anche elettronica).

Non esiste una soglia dimensionale: anche il commercialista solopraticante che elabora i cedolini di una micro-impresa deve essere nominato responsabile esterno. L'unica eccezione riguarda i casi in cui lo studio tratta dati esclusivamente per finalità proprie, senza istruzioni del cliente — situazione molto più rara in pratica.

Il rischio della nomina assente o incompleta

Il Garante Privacy italiano ha sanzionato più volte organizzazioni che avevano instaurato rapporti con fornitori di servizi (tra cui studi professionali) senza la nomina art. 28. Le sanzioni in questi casi rientrano nella fascia fino a 10 milioni di euro o 2% del fatturato mondiale annuo (art. 83 par. 4 GDPR). In sede di verifica ispettiva, la mancanza della nomina è considerata inadempimento immediato.

Cosa deve contenere la lettera di nomina: le clausole obbligatorie

L'art. 28 par. 3 GDPR elenca puntualmente le clausole che il contratto deve includere. Le Linee guida EDPB 07/2020 le dettagliano ulteriormente. Ecco una mappa ragionata:

Oggetto, natura e durata del trattamento

La nomina deve specificare cosa viene trattato, perché e per quanto tempo. Per uno studio commercialista la durata coincide tipicamente con la durata del mandato professionale, con un richiamo esplicito agli obblighi di conservazione fiscale (10 anni ex DPR 633/1972 e DPR 600/1973).

Tipo di dati e categorie di interessati

Elenco non generico. Per l'elaborazione paghe: dati anagrafici, fiscali, retributivi, eventualmente dati sanitari (assenze per malattia, invalidità) che rientrano nelle categorie particolari ex art. 9 GDPR e richiedono misure di sicurezza rinforzate.

Istruzioni documentate del titolare

Il responsabile tratta i dati solo su istruzione documentata del titolare. Se lo studio ritiene che un'istruzione violi il GDPR, deve informarne il titolare senza ritardo.

Riservatezza del personale autorizzato

Il personale dello studio che accede ai dati deve essere vincolato alla riservatezza, sia contrattualmente sia con designazione formale come autorizzato al trattamento.

Misure di sicurezza tecniche e organizzative

La nomina deve richiamare le misure adottate dallo studio, rinviando alla propria documentazione interna (DPIA se applicabile, policy di sicurezza, registro dei trattamenti). Non serve elencarle tutte nel corpo della nomina: è sufficiente un allegato tecnico o un richiamo per relationem.

Sub-responsabili: autorizzazione e catena di responsabilità

Lo studio può avvalersi di sub-responsabili (es. software house per il gestionale paghe, cloud provider per l'archiviazione) solo con autorizzazione scritta del titolare. Può essere un'autorizzazione generale con elenco degli attuali sub-responsabili e obbligo di notifica preventiva per le modifiche.

Assistenza al titolare nell'esercizio dei diritti degli interessati

Lo studio deve supportare il cliente nel rispondere alle richieste degli interessati (accesso, rettifica, cancellazione, portabilità) entro i termini del GDPR (generalmente 1 mese, prorogabile a 3 in casi complessi).

Cancellazione o restituzione dei dati a fine rapporto

Alla cessazione del mandato, lo studio deve restituire tutti i dati al cliente o cancellarli definitivamente, salvo obbligo normativo di conservazione. La scelta deve essere documentata per iscritto.

Diritto di audit del titolare

Il titolare ha diritto di condurre verifiche (o affidarle a un auditor incaricato) sull'attività del responsabile. La nomina deve garantire questa possibilità, specificando le modalità pratiche (preavviso, frequenza, costi).

Un errore comune negli studi è usare un modello di nomina generico scaricato online che non specifica le categorie di dati trattate né le misure di sicurezza concrete. Il Garante considera queste nomina "formali ma vuote" insufficienti in caso di data breach.

Fac-simile di lettera di nomina a responsabile esterno del trattamento

Il modello che segue è adatto per il caso più frequente: nomina dello studio di commercialisti come responsabile per l'elaborazione paghe e la gestione contabile. Va adattato alle specificità del singolo rapporto.

---

LETTERA DI NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR)

Titolare del trattamento (Cliente): Ragione sociale: _________________________ Sede legale: _________________________ C.F./P.IVA: _________________________ Rappresentato da: _________________________ (di seguito "Titolare")

Responsabile esterno del trattamento (Studio): Ragione sociale/Nome: _________________________ Sede: _________________________ C.F./P.IVA: _________________________ Iscrizione ODCEC di: _________________________ n. ______ Rappresentato da: _________________________ (di seguito "Responsabile")

---

Art. 1 – Oggetto e durata

Il Titolare nomina il Responsabile quale responsabile esterno del trattamento per le seguenti attività: [elaborazione cedolini paga e contributi previdenziali / tenuta della contabilità generale e IVA / predisposizione dichiarazioni fiscali — selezionare e dettagliare].

La presente nomina ha durata pari a quella del contratto di prestazione professionale in essere tra le parti, salvo revoca anticipata scritta del Titolare. Alla cessazione, si applicano le disposizioni di cui all'art. 11 della presente nomina.

Art. 2 – Categorie di dati e interessati

Il Responsabile tratta, per conto del Titolare, le seguenti categorie di dati:

• Dati anagrafici e fiscali dei dipendenti/collaboratori del Titolare
• Dati retributivi e previdenziali
• [se applicabile] Dati relativi allo stato di salute (assenze per malattia, invalidità, maternità) — categorie particolari ex art. 9 GDPR

Le categorie di interessati coinvolte sono: dipendenti, collaboratori, [eventualmente: soci, amministratori] del Titolare.

Art. 3 – Istruzioni del Titolare

Il Responsabile tratta i dati personali esclusivamente su istruzione documentata del Titolare, salvo diverso obbligo imposto dal diritto dell'Unione Europea o dello Stato membro. In quest'ultimo caso, il Responsabile informa il Titolare prima del trattamento, salvo divieto normativo. Se il Responsabile ritiene che un'istruzione violi il GDPR o altra normativa applicabile, ne informa tempestivamente il Titolare per iscritto.

Art. 4 – Riservatezza

Il Responsabile garantisce che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza o siano soggette a un obbligo legale di riservatezza. Il Responsabile adotta misure adeguate a garantire che chiunque agisca sotto la propria autorità acceda ai dati solo su istruzione del Titolare.

Art. 5 – Misure di sicurezza

Il Responsabile implementa le misure tecniche e organizzative di sicurezza adeguate ai sensi dell'art. 32 GDPR, descritte nell'Allegato A alla presente nomina. Il Responsabile si impegna ad aggiornare tali misure nel tempo, in risposta all'evoluzione dei rischi.

Art. 6 – Sub-responsabili

Il Responsabile è autorizzato ad avvalersi dei sub-responsabili indicati nell'Allegato B (autorizzazione generale). Il Responsabile informa il Titolare di qualsiasi modifica prevista all'elenco dei sub-responsabili, consentendo al Titolare di opporsi. Il Responsabile impone ai sub-responsabili le stesse obbligazioni in materia di protezione dei dati previste dalla presente nomina e rimane pienamente responsabile nei confronti del Titolare dell'adempimento degli obblighi dei sub-responsabili.

Art. 7 – Assistenza al Titolare

Il Responsabile assiste il Titolare, con misure tecniche e organizzative adeguate, nel dare seguito alle richieste degli interessati che esercitano i loro diritti ex artt. 15-22 GDPR. Il Responsabile assiste altresì il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica di violazioni, valutazione d'impatto, consultazione preventiva).

Art. 8 – Notifica delle violazioni dei dati

Il Responsabile notifica al Titolare, senza ingiustificato ritardo e comunque entro 24 ore dalla scoperta, qualsiasi violazione dei dati personali (data breach) che riguardi dati trattati per conto del Titolare, fornendo le informazioni necessarie per consentire al Titolare di valutare l'obbligo di notifica al Garante entro 72 ore.

Art. 9 – Trasferimenti verso Paesi terzi

Il Responsabile non trasferisce dati personali verso Paesi terzi o organizzazioni internazionali senza preventiva autorizzazione scritta del Titolare, salvo che ciò sia richiesto dal diritto dell'Unione o dello Stato membro. In tal caso, il Responsabile informa il Titolare, salvo divieto normativo.

Art. 10 – Audit e verifiche

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi della presente nomina e consente e contribuisce alle attività di revisione, compresi gli audit, condotti dal Titolare o da un altro soggetto da questi incaricato, con preavviso scritto di almeno [15/30] giorni lavorativi, salvo emergenze documentate.

Art. 11 – Restituzione e cancellazione dei dati

Alla cessazione del rapporto contrattuale, il Responsabile, a scelta del Titolare comunicata per iscritto: (a) restituisce tutti i dati personali al Titolare in formato elettronico interoperabile; oppure (b) cancella tutti i dati esistenti e certifica la cancellazione per iscritto. Gli obblighi di conservazione imposti dalla normativa fiscale e previdenziale italiana prevalgono sul presente articolo nei limiti e per i periodi previsti dalla legge (art. 2220 c.c., DPR 633/1972, DPR 600/1973).

Art. 12 – Registro delle attività di trattamento

Il Responsabile tiene e mantiene aggiornato il Registro delle attività di trattamento svolte per conto del Titolare, ai sensi dell'art. 30 par. 2 GDPR, e lo mette a disposizione del Garante su richiesta.

---

Luogo e data: ____________________, ____________________

Per il Titolare del trattamento Firma: ____________________ Nome e qualifica: ____________________

Per il Responsabile esterno del trattamento Firma: ____________________ Nome e qualifica: ____________________

---

Allegati da predisporre

La nomina senza allegati è un guscio vuoto. Predisponi almeno:

• Allegato A – Misure di sicurezza tecniche e organizzative: antivirus, policy accessi, cifratura, backup, formazione del personale
• Allegato B – Elenco sub-responsabili autorizzati: software gestionale paghe (es. Zucchetti, TeamSystem), provider cloud, studio associato per la sostituzione in caso di malattia
• Allegato C – Descrizione dettagliata del trattamento (facoltativo ma raccomandato dall'EDPB per trattamenti complessi)

Il caso pratico: studio di commercialisti con 3 collaboratori a Bologna

Uno studio con tre collaboratori che gestisce l'elaborazione paghe per 40-60 aziende clienti si trova a trattare dati di centinaia di lavoratori. Prima dell'adeguamento GDPR, il contratto di mandato professionale non conteneva alcun riferimento al trattamento dei dati. Dopo una verifica interna, lo studio ha:

1. Mappato tutti i clienti per cui tratta dati altrui (non solo i propri)
2. Redatto una nomina standardizzata con allegati tecnici specifici per il gestionale in uso
3. Aggiornato il registro dei trattamenti con la sezione "trattamenti per conto terzi" ex art. 30 par. 2
4. Informato i sub-responsabili (la software house del gestionale) dell'obbligo di conformità a sua volta

Il processo ha richiesto 15-20 ore di lavoro interno distribuite su 4-6 settimane, con supporto di un consulente privacy esterno per la validazione delle misure di sicurezza. Il risultato è una posizione difendibile in caso di ispezione e una comunicazione di trasparenza ai clienti che ha rafforzato la relazione professionale.

Per la gestione digitale delle nomine e del registro dei trattamenti, molti studi integrano la documentazione di compliance GDPR nel proprio sito web professionale, centralizzando produzione e archiviazione in un'area riservata.

Profili deontologici: cosa dice il Codice ODCEC

Il Codice Deontologico dei Dottori Commercialisti ed Esperti Contabili impone al professionista di tutelare la riservatezza delle informazioni acquisite nell'esercizio dell'attività (art. 16 del Codice Deontologico CNDCEC). La nomina art. 28 GDPR è strumentale anche al rispetto di questo obbligo deontologico: formalizza la catena di responsabilità e garantisce che i dati del cliente siano trattati secondo istruzioni documentate.

In caso di violazione deontologica connessa a un data breach (es. dati dei dipendenti del cliente divulgati per negligenza dello studio), il professionista può incorrere sia in sanzioni amministrative del Garante sia in procedimento disciplinare davanti al Consiglio Distrettuale di Disciplina. I due piani sanzionatori sono indipendenti e cumulabili.

Consulta il tuo ODCEC territoriale per verificare eventuali indicazioni operative locali sulla gestione della documentazione privacy negli studi associati.

Integrazione con il registro dei trattamenti dello studio

La nomina art. 28 non esaurisce gli adempimenti GDPR dello studio: per il quadro completo degli obblighi privacy fai riferimento alla guida su GDPR per studi commercialisti. Va integrata con:

• Registro dei trattamenti ex art. 30 par. 2: sezione specifica per i trattamenti svolti in qualità di responsabile. Include nome e dati di contatto del titolare, categorie di trattamenti, trasferimenti verso Paesi terzi, descrizione delle misure di sicurezza.
• Informative agli interessati: spetta al titolare (il cliente) fornirle ai propri dipendenti; lo studio deve però verificare che il cliente le abbia predisposte correttamente per i dati trattati dallo studio. Su come redigere correttamente questo documento, vedi l'articolo dedicato all'informativa privacy dello studio commercialista.
• DPIA (Valutazione d'impatto): obbligatoria se il trattamento presenta rischi elevati. Per l'elaborazione paghe di grandi organizzazioni o con dati sanitari sistematici, valuta se la DPIA è necessaria con il supporto di un DPO.

Per approfondire la struttura completa del registro dei trattamenti per studi professionali, consulta la voce dedicata nel glossario.

Checklist operativa pre-firma

Prima di inviare la nomina al cliente per la firma, verifica:

• Il ruolo dello studio è correttamente qualificato come responsabile (non contitolare né titolare autonomo)
• Sono specificate le categorie di dati trattati, inclusi gli eventuali dati particolari ex art. 9
• L'Allegato A (misure di sicurezza) è aggiornato e rispecchia le misure effettivamente adottate
• L'Allegato B (sub-responsabili) è completo e aggiornato con tutti i fornitori tecnologici dello studio
• La clausola di notifica data breach prevede tempi compatibili con il termine di 72 ore verso il Garante
• La clausola di audit non è formulata in modo da rendere impossibile o onerosa la verifica
• La clausola di cessazione specifica cosa accade ai dati al termine del rapporto
• La nomina è firmata da entrambe le parti e archiviata in formato non modificabile

Questo contenuto è divulgativo. Verifica sempre con il tuo Ordine di appartenenza (ODCEC) e con un DPO qualificato prima di adottare modelli contrattuali per la tua situazione specifica.