Informativa privacy studio legale: guida e template 2026

L'informativa privacy che lo studio legale consegna al cliente non è la stessa cosa della privacy policy pubblicata sul sito. È il documento, previsto dall'art. 13 del Regolamento UE 2016/679 (GDPR), che lo studio fornisce nel momento in cui raccoglie i dati della persona assistita: di norma al conferimento del mandato. Spiega quali dati tratti, per quali finalità, con quali basi giuridiche e per quanto tempo li conservi. È un atto dovuto, non un adempimento facoltativo.

Questa guida spiega cosa deve contenere l'informativa al cliente di uno studio legale nel 2026, perché la base giuridica corretta è l'esecuzione del mandato e non il consenso, come trattare i dati particolari e come conciliare la trasparenza imposta dal GDPR con il segreto forense del Codice Deontologico (CNF).

Questo contenuto è divulgativo e non costituisce parere legale. I modelli e le indicazioni qui riportate non sostituiscono una valutazione caso per caso. Verifica sempre con il tuo Ordine di appartenenza e, dove necessario, con un consulente privacy prima di adottare un'informativa.

Informativa al cliente o privacy policy del sito: due documenti diversi

La confusione più frequente riguarda proprio questo punto. Sono documenti distinti, con destinatari e momenti diversi:

• Privacy policy del sito: si rivolge ai visitatori web. Copre dati di navigazione, moduli di contatto, cookie. È pubblicata online ed è quella che l'utente legge prima ancora di diventare cliente. Ne parliamo nella guida dedicata all'informativa privacy per il sito dello studio.
• Informativa al cliente (art. 13 GDPR): si rivolge alla persona assistita. Viene fornita all'atto del conferimento del mandato e copre il trattamento dei dati nell'ambito della prestazione professionale, inclusi i dati particolari del fascicolo.

L'art. 13 GDPR impone che l'informativa sia resa al momento della raccolta dei dati presso l'interessato. Per il cliente, questo momento coincide con il primo contatto qualificato e, comunque, con la sottoscrizione del mandato. Pubblicarla solo sul sito non basta: il sito serve i visitatori, l'informativa cartacea o digitale firmata serve il cliente.

Il Garante richiede da sempre un'informativa in linguaggio chiaro e comprensibile per il destinatario. Per uno studio legale il destinatario è spesso una persona in difficoltà, che si trova a condividere informazioni delicate sulla propria vita: la chiarezza non è solo un obbligo, è parte del rapporto fiduciario.

La base giuridica: il mandato, non il consenso (art. 6.1.b)

Questo è l'errore tecnico più comune nei modelli generici reperiti online: indicare il consenso come base per trattare i dati del cliente. Per la prestazione professionale è una scelta sbagliata.

Quando il cliente conferisce il mandato, lo studio tratta i suoi dati perché necessari a eseguire un contratto di cui l'interessato è parte. La base giuridica è l'art. 6.1.b GDPR (esecuzione di un contratto o di misure precontrattuali su richiesta dell'interessato). Il consenso (art. 6.1.a) non c'entra: sarebbe persino controproducente, perché è revocabile in qualsiasi momento e la sua revoca obbligherebbe in teoria a cessare un trattamento che invece è indispensabile per difendere il cliente.

Le basi giuridiche ricorrenti nell'attività di uno studio legale sono:

• Esecuzione del mandato → art. 6.1.b: gestione del fascicolo, atti, corrispondenza, rapporti con la controparte.
• Obbligo legale → art. 6.1.c: adempimenti antiriciclaggio, obblighi fiscali e contabili, conservazione documentale imposta da legge.
• Finalità promozionali (newsletter, auguri, eventi) → art. 6.1.a: consenso facoltativo, separato e revocabile.

Il consenso resta rilevante, ma per finalità ulteriori e distinte dal mandato. La raccolta di quel consenso non si fa dentro l'informativa: si fa con un documento a parte, di cui parliamo nella guida sul modulo di consenso privacy per studio legale.

I dati particolari e giudiziari del fascicolo (art. 9 e art. 10)

Gli studi legali trattano abitualmente dati che il GDPR colloca in categorie speciali. Distinguere le condizioni applicabili è essenziale per redigere un'informativa corretta.

Le categorie particolari ex art. 9 GDPR (stato di salute, orientamento sessuale, opinioni, appartenenza sindacale) compaiono spesso nelle cause: separazioni, controversie di lavoro, contenzioso medico-legale. Per questi dati la condizione che legittima il trattamento connesso alla difesa è, di norma, quella prevista dall'art. 9.2.f: il trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria.

I dati relativi a condanne penali e reati sono disciplinati dall'art. 10 GDPR e dalle norme nazionali. Anche qui, nel contesto del mandato difensivo, la legittimazione non passa dal consenso ma dalla funzione di tutela del diritto.

L'informativa al cliente deve quindi:

• Indicare che lo studio può trattare categorie particolari di dati e dati giudiziari quando necessari alla difesa.
• Richiamare le condizioni applicabili (art. 9.2.f e art. 10 GDPR) senza ridurre tutto a un consenso che non è la base corretta.
• Precisare che il rifiuto di fornire i dati indispensabili può rendere impossibile l'assolvimento del mandato.

Segreto forense: il limite alla trasparenza e ai diritti dell'interessato

A differenza di un'azienda, lo studio legale deve conciliare la trasparenza del GDPR con il segreto professionale sancito dal Codice Deontologico Forense (art. 28). È un'asimmetria legittima: l'avvocato non può sempre rivelare quali informazioni tratta su un determinato soggetto, perché potrebbe ledere i diritti di un terzo o compromettere la strategia difensiva del proprio cliente.

Questo si riflette sui diritti dell'interessato (artt. 15-22 GDPR). Il diritto di accesso (art. 15) può incontrare limiti quando la comunicazione dei dati pregiudica diritti di terzi o lo svolgimento di un procedimento, nei limiti consentiti dall'art. 23 GDPR e dalla normativa nazionale. L'informativa deve dichiarare apertamente questo limite, con una formula del tipo:

"L'esercizio dei diritti previsti dagli artt. 15-22 GDPR può essere limitato quando la comunicazione delle informazioni pregiudichi il segreto professionale, i diritti e le libertà di terzi o lo svolgimento di procedimenti giudiziari, ai sensi dell'art. 23 GDPR e della normativa nazionale applicabile."

Questo contenuto è divulgativo e non costituisce parere legale. Il segreto forense e i suoi limiti vanno valutati caso per caso: confrontati con il tuo Ordine prima di applicare clausole che incidono sui diritti dell'interessato.

Cosa deve contenere l'informativa: gli elementi dell'art. 13

L'art. 13 GDPR elenca le informazioni che vanno fornite all'interessato. Per uno studio legale, la struttura raccomandata è la seguente.

Destinatari e responsabili del trattamento (art. 28)

Ogni soggetto esterno che tratta dati per conto dello studio è un responsabile del trattamento ai sensi dell'art. 28 GDPR, e con lui va stipulato un accordo (Data Processing Agreement). L'informativa al cliente deve indicare le categorie di destinatari, non necessariamente i nomi.

Tra i destinatari tipici di uno studio legale:

• Soggetti coinvolti nel procedimento: CTU, periti, domiciliatari, altri legali coinvolti nella difesa.
• Fornitori tecnici: provider del gestionale di studio, hosting del sito, posta elettronica, fatturazione elettronica, consulenti IT.
• Soggetti a cui la comunicazione è imposta dalla legge (autorità, obblighi fiscali e antiriciclaggio).

Per i fornitori tecnici vale una regola operativa: prima di adottare un nuovo software verifica che metta a disposizione una DPA e che, in caso di trasferimenti extra-UE, esistano garanzie adeguate. Lo stesso principio guida la scelta del gestionale e degli strumenti cloud, un tema che approfondiamo nella guida su GDPR e gestionale dello studio.

Un tool gratuito privo di accordo ex art. 28 non è un risparmio: è un rischio di compliance che ricade sul titolare, cioè sullo studio. La verifica della DPA va fatta prima dell'adozione, non dopo.

Il Registro delle attività di trattamento (art. 30)

Accanto all'informativa, lo studio legale ha quasi sempre l'esigenza di tenere il Registro delle attività di trattamento (art. 30 GDPR). L'obbligo è ancorato, tra l'altro, ai trattamenti che non sono occasionali e a quelli relativi a categorie particolari di dati: condizioni che ricorrono nell'attività forense.

Il registro non è pubblico né va consegnato al cliente, ma deve essere disponibile su richiesta del Garante e dovrebbe documentare, per ciascuna attività:

• Titolare e, se nominato, DPO.
• Finalità del trattamento.
• Categorie di interessati e di dati.
• Categorie di destinatari ed eventuali trasferimenti extra-UE.
• Termini o criteri di cancellazione.
• Misure di sicurezza adottate.

Informativa e registro sono coerenti tra loro: le finalità e le basi giuridiche che dichiari al cliente devono ritrovarsi, con lo stesso impianto, nel registro interno.

Conservazione dei dati del fascicolo: criteri, non numeri

Il GDPR non fissa un termine unico di conservazione per i fascicoli legali. Il principio è quello di limitazione della conservazione (art. 5.1.e): i dati vanno conservati per il tempo necessario alle finalità, integrato dagli obblighi di legge.

Nell'informativa è preferibile indicare criteri anziché un numero secco non giustificato: per esempio il rispetto degli obblighi fiscali e contabili, la necessità di gestire eventuali contestazioni entro i termini di prescrizione applicabili, gli obblighi documentali imposti da norme di settore. Verifica le regole specifiche per il tipo di fascicolo, perché variano in base alla materia.

Template ragionato: come impostare l'informativa al cliente

Di seguito una traccia narrativa per costruire l'informativa. Adattala alla tua realtà: non è un modulo da copiare, ma uno schema da personalizzare.

1. Titolare e contatti

Ragione sociale dello studio o nome dell'avvocato, codice fiscale/partita IVA, sede, indirizzo email dedicato alla privacy. Per gli studi associati, chiarisci se i soci sono contitolari o se uno è il titolare designato.

2. Finalità e basi giuridiche

Una tabella è il formato più leggibile. Per ogni finalità: descrizione, dati coinvolti, base giuridica (art. 6.1.b per il mandato, art. 6.1.c per gli obblighi di legge, art. 6.1.a per le finalità promozionali), ed eventuale richiamo all'art. 9.2.f o all'art. 10 per dati particolari e giudiziari.

3. Categorie di dati e natura del conferimento

Distingui i dati comuni dai dati particolari e giudiziari. Precisa che il conferimento dei dati indispensabili è necessario per l'esecuzione del mandato e che il rifiuto può impedire la prestazione.

4. Destinatari e responsabili

Elenca le categorie (CTU, periti, domiciliatari, fornitori IT come responsabili ex art. 28). Per i trasferimenti extra-UE indica il meccanismo di garanzia.

5. Conservazione

Indica criteri e obblighi di legge che determinano i tempi, anziché un numero generico.

6. Diritti dell'interessato e limiti

Artt. 15-22 e diritto di reclamo al Garante. Aggiungi la clausola sui limiti legati al segreto forense e all'art. 23 GDPR.

7. Aggiornamenti

Inserisci la data dell'ultima revisione e l'impegno a comunicare modifiche sostanziali.

Una volta pronta l'informativa, ricorda che è solo uno dei documenti privacy dello studio: il sito richiede la propria privacy policy e, dove servono finalità facoltative, il modulo di consenso. Se stai impostando o rifacendo il sito, è il momento giusto per allineare tutto: trovi i criteri nella guida al sito web per uno studio legale e nei nostri servizi di realizzazione siti per studi professionali.

In sintesi

L'informativa privacy al cliente di uno studio legale è un documento ex art. 13 GDPR, distinto dalla privacy policy del sito. La sua base giuridica è l'esecuzione del mandato (art. 6.1.b), non il consenso. I dati particolari e giudiziari del fascicolo si trattano in forza dell'art. 9.2.f e dell'art. 10, e i diritti dell'interessato vanno bilanciati con il segreto forense (art. 28 CDF e art. 23 GDPR).

I passaggi fondamentali: identificare correttamente le basi giuridiche, dichiarare con trasparenza categorie di dati e destinatari, parametrare la conservazione a criteri e obblighi di legge, e mantenere coerenza tra informativa e Registro delle attività di trattamento. In un settore in cui la fiducia è il capitale principale, un'informativa chiara e corretta è parte della reputazione professionale.