GDPR per studi professionali: come gestire dati clienti in cloud
Le regole GDPR concrete che uno studio professionale italiano deve seguire quando gestisce dati clienti in cloud. Pratico, non teorico.
Il GDPR è in vigore dal 2018 ma per molti studi professionali italiani continua ad essere visto come un adempimento formale (l'informativa, il registro trattamenti, la nomina DPO). La sostanza spesso resta scoperta: dove sono i dati dei clienti? Chi vi accede? Cosa succede se ti chiedono cancellazione?
Vediamo le 8 domande concrete che un titolare di studio deve sapersi rispondere oggi.
1. Dove sono fisicamente i dati dei tuoi clienti?
Il GDPR distingue chiaramente tra trattamento in UE e trattamento con trasferimento extra-UE. Per ogni servizio cloud che usi (gestionale, posta, storage), devi sapere:
Se un fornitore non risponde chiaramente a queste 4 domande, non è un fornitore GDPR-compliant per uno studio italiano: è un fornitore che ti farà avere problemi.
Cloud USA · attenzione
Dopo la sentenza Schrems II (2020) e il successivo Data Privacy Framework (2023), trasferimenti USA sono possibili ma richiedono che il provider sia certificato. Verifica la certificazione DPF prima di affidare dati personali italiani a un provider USA.
2. Hai una DPA firmata con ogni fornitore?
Il Data Processing Agreement è il contratto tra te (titolare del trattamento) e il fornitore cloud (responsabile del trattamento). Senza DPA, il fornitore non può legalmente trattare i dati dei tuoi clienti.
Tipici fornitori che richiedono DPA:
Conserva le DPA firmate in un fascicolo aggiornato: in caso di ispezione del Garante, è la prima cosa che chiedono.
3. Hai un registro dei trattamenti aggiornato?
Il registro dei trattamenti (art. 30 GDPR) è obbligatorio per studi sopra una certa soglia di trattamenti (in pratica: quasi tutti gli studi professionali ci entrano). Deve elencare:
- Finalità di ciascun trattamento (es. tenuta contabilità, dichiarazione redditi, gestione paghe)
- Categorie di dati trattati (anagrafici, fiscali, sanitari, ecc.)
- Categorie di interessati (clienti, dipendenti, fornitori)
- Eventuali trasferimenti extra-UE
- Tempi di conservazione
- Misure di sicurezza adottate
Non deve essere un capolavoro letterario, ma deve esistere e essere aggiornato.
4. Hai una procedura per le richieste di accesso e cancellazione?
L'interessato (cliente) ha diritto di:
- Sapere quali dati hai su di lui
- Riceverne copia
- Chiederne la rettifica
- Chiederne la cancellazione (con limiti: alcuni dati vanno conservati per obblighi fiscali)
- Limitarne il trattamento
- Portabilità (in formato strutturato)
Devi rispondere entro 30 giorni. Se non hai una procedura, te la chiederanno proprio quando è scomodo (cliente in lite, ispezione, contestazione).
5. Hai cifrato i dati sensibili?
La cifratura non è esplicitamente obbligatoria, ma il GDPR richiede "misure tecniche adeguate al rischio". Per categorie particolari di dati (sanitari, biometrici, dati di minori) la cifratura at-rest è ormai standard di mercato.
Categorie particolari · art. 9 GDPR
Dati su salute, orientamento sessuale, opinioni politiche, fede religiosa, appartenenza sindacale: richiedono base giuridica più stringente (consenso esplicito) e misure di sicurezza rafforzate.
Per credenziali (password, codici fiscali in chiaro, IBAN) la cifratura at-rest è la prassi: se non lo fai tu, ti aspettano i tuoi fornitori di farlo per te.
6. Hai un piano per data breach?
Articolo 33 GDPR: in caso di violazione che comporta rischio per i diritti dell'interessato, devi notificare al Garante entro 72 ore. Se non lo fai, la sanzione si moltiplica.
Devi avere chiaro:
- Chi rileva il breach (tu, il fornitore, un cliente che si accorge di accessi anomali)
- Chi decide se notificare (tu come titolare, eventualmente con DPO se nominato)
- Come si redige la notifica (template disponibili sul sito Garante)
- Come si comunica agli interessati (quando dovuto)
Anche solo avere un foglio "procedura data breach" in cui annoti i passi, è meglio che non avere nulla.
7. Quanto conservi i dati?
Periodi di conservazione tipici:
| Tipo di dato | Periodo minimo | Note |
|---|---|---|
| Documenti fiscali | 10 anni | Art. 2220 c.c. + DPR 600/73 |
| Dati antiriciclaggio | 10 anni | D.lgs. 231/2007 |
| Dati lavoro / paghe | 10 anni | Art. 2220 c.c. |
| Dati sanitari studio medico | 10 anni dopo ultima visita | Indicazione Garante |
| Dati dichiarativi | 5 anni post-dichiarazione | Termini accertamento |
| CV candidati non assunti | 24 mesi max | Provv. Garante 2022 |
Dopo la scadenza: cancellazione o anonimizzazione. Tenere "tutto per sempre per sicurezza" è una violazione, non una prudenza.
8. Hai formato il personale?
Un'eccezione fatta da un assistente di studio costa allo studio in solidarietà. Una formazione base in ingresso (1-2 ore) e un refresher annuale (1 ora) coprono il 90% dei rischi operativi:
- Non si parla di clienti per nome in aree pubbliche
- Non si lasciano fascicoli sulla scrivania durante la pausa
- Non si scrivono email a "rispondi a tutti" non necessari
- Non si usano dispositivi personali per dati di clienti
- Non si condividono password tra colleghi
Sintesi pratica
Il GDPR non è uno spauracchio: è un quadro di disciplina che, se interpretato bene, rende lo studio più ordinato e protegge sia te che i tuoi clienti.
Team Allega
Pubblicato il 02 maggio 2026
Continua a leggere