Perché lo studio commercialista è un caso particolare per il GDPR
Quasi tutte le attività di uno studio commercialista ruotano attorno a dati personali. La contabilità, le dichiarazioni, le buste paga, gli adempimenti societari, l'antiriciclaggio: ogni pratica significa trattare nomi, codici fiscali, redditi, situazioni familiari, in alcuni casi dati sanitari. Lo studio gestisce non solo i dati dei propri clienti, ma anche quelli di soggetti terzi che il cliente gli affida: i dipendenti dell'azienda cliente, i fornitori, i soci, gli eredi.
La particolarità giuridica dello studio è che assume contemporaneamente due ruoli diversi previsti dal GDPR, su insiemi di dati distinti:
- Titolare del trattamento (Art. 4 n. 7 GDPR) — per i dati che tratta per finalità proprie: i dati dei propri dipendenti e collaboratori, e i dati anagrafici e di contatto dei clienti diretti gestiti per il rapporto contrattuale, la fatturazione, le comunicazioni.
- Responsabile del trattamento (Art. 4 n. 8 e Art. 28 GDPR) — per i dati che tratta per conto del cliente, sulla base delle istruzioni di quest'ultimo: il caso tipico sono i dati dei dipendenti dell'azienda cliente quando lo studio elabora le buste paga e gli adempimenti del personale. Quei dipendenti non sono clienti dello studio: il loro datore di lavoro è il titolare, lo studio è il responsabile esterno.
Capire in quale veste si sta agendo per ogni categoria di dati è il primo passo: cambia chi deve fare l'informativa, chi nomina chi, chi notifica un eventuale data breach. Confondere i due ruoli è l'errore più frequente — e quello da cui derivano le contestazioni del Garante.
Riferimenti normativi essenziali
Regolamento (UE) 2016/679 (GDPR); D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato e integrato dal D.Lgs. 101/2018; Provvedimenti e linee guida del Garante per la protezione dei dati personali (incluse le indicazioni su designazioni, registro dei trattamenti e violazioni); linee guida e documenti del CNDCEC in materia di adempimenti privacy per gli studi professionali. La valutazione resta sempre caso per caso e non sostituisce il parere di un consulente privacy.
Titolare vs responsabile: la nomina ex Art. 28
Quando lo studio tratta dati per conto del cliente, il GDPR impone che il rapporto sia regolato da un contratto o altro atto giuridico scritto ai sensi dell'Art. 28 GDPR (il cosiddetto data processing agreement, o atto di nomina a responsabile esterno). Non è una formalità: è il documento che definisce oggetto, durata, natura e finalità del trattamento, tipi di dati e categorie di interessati, e gli obblighi del responsabile.
Il flusso delle responsabilità si articola su tre livelli:
- Il cliente nomina lo studio responsabile esterno del trattamento per le pratiche che gli affida (es. elaborazione paghe). È il cliente, in quanto titolare, a dover predisporre o sottoscrivere la nomina; nella pratica spesso è lo studio a fornire il modello.
- Lo studio, a sua volta, autorizza i propri collaboratori al trattamento (Art. 29 GDPR): i dipendenti e i praticanti che accedono ai dati operano "sotto l'autorità" dello studio, con istruzioni e ambiti di accesso definiti.
- Lo studio nomina i propri sub-responsabili (Art. 28 par. 2 e 4 GDPR): tipicamente il fornitore del software gestionale in cloud, il provider di posta, il consulente del lavoro esterno. Il ricorso a un sub-responsabile richiede l'autorizzazione, anche generale, del titolare cliente.
| Ruolo | Chi è | Atto richiesto |
|---|---|---|
| Titolare | Lo studio per i dati dei propri dipendenti e dei clienti diretti; il cliente per i dati dei propri dipendenti | Determina finalità e mezzi del trattamento; rende l'informativa; tiene il proprio registro |
| Responsabile (Art. 28) | Lo studio quando elabora paghe e adempimenti per conto del cliente | Atto di nomina scritto (DPA) ricevuto dal cliente titolare; tratta solo su istruzioni documentate |
| Soggetto autorizzato (Art. 29) | Dipendenti, praticanti e collaboratori dello studio che accedono ai dati | Designazione/autorizzazione interna con istruzioni e ambito di accesso |
| Sub-responsabile (Art. 28 par. 4) | Fornitore software cloud, provider email, servizi esterni dello studio | Contratto con garanzie analoghe; autorizzazione (anche generale) del titolare cliente |
Il registro dei trattamenti (Art. 30)
L'Art. 30 GDPR prevede formalmente un'esenzione dall'obbligo del registro per le organizzazioni con meno di 250 dipendenti. Ma l'esenzione non si applica quando il trattamento non è occasionale, quando riguarda categorie particolari di dati (Art. 9) o dati relativi a condanne penali (Art. 10), o quando può presentare un rischio per i diritti e le libertà degli interessati. Lo studio commercialista tratta dati in modo sistematico e continuativo e gestisce dati particolari nelle buste paga: rientra quindi nelle eccezioni e il registro è, di fatto, obbligatorio.
Il registro deve contenere, per ciascuna tipologia di trattamento, almeno:
- Finalità del trattamento
- Categorie di interessati e categorie di dati personali
- Categorie di destinatari a cui i dati sono comunicati
- Eventuali trasferimenti verso Paesi terzi e relative garanzie
- Termini previsti per la cancellazione delle diverse categorie di dati
- Descrizione generale delle misure di sicurezza tecniche e organizzative
Va distinto il registro tenuto come titolare (dati dei dipendenti dello studio, dei clienti diretti) dal registro tenuto come responsabile (Art. 30 par. 2), che elenca le categorie di trattamenti svolti per conto di ciascun cliente titolare. Sono due documenti con contenuti e logiche diverse, entrambi richiesti allo studio nella sua doppia veste.
Informativa e basi giuridiche (Art. 13-14, Art. 6)
Come titolare, lo studio deve fornire l'informativa agli interessati: ai clienti diretti (Art. 13, dati raccolti presso l'interessato) e ai propri dipendenti. Quando i dati sono raccolti presso terzi e non direttamente dall'interessato si applica l'Art. 14. L'informativa deve indicare titolare, finalità, basi giuridiche, destinatari, tempi di conservazione e diritti dell'interessato.
Ogni trattamento deve poggiare su una base giuridica dell'Art. 6 GDPR. Per lo studio le più ricorrenti sono:
- Esecuzione del contratto (Art. 6.1.b) — per la gestione del mandato professionale con il cliente
- Obbligo legale (Art. 6.1.c) — per gli adempimenti fiscali, contabili, antiriciclaggio e per la conservazione imposta dalla legge
- Legittimo interesse (Art. 6.1.f) — solo dopo un bilanciamento documentato, per finalità accessorie
- Consenso (Art. 6.1.a) — dove serve davvero, ad esempio per attività di marketing non collegate al rapporto contrattuale
Attenzione ai dati particolari (Art. 9 GDPR): nelle buste paga e negli adempimenti del personale possono comparire dati sanitari (certificati di malattia, condizioni di disabilità, idoneità, infortuni) e dati che rivelano l'appartenenza sindacale (trattenute sindacali). Il loro trattamento richiede una delle condizioni dell'Art. 9 par. 2 — tipicamente l'assolvimento degli obblighi in materia di diritto del lavoro e sicurezza sociale (Art. 9.2.b) — e impone cautele rafforzate.
Misure di sicurezza (Art. 32)
L'Art. 32 GDPR impone misure tecniche e organizzative adeguate al rischio. Non esiste un elenco rigido valido per tutti: lo studio deve valutare la natura dei dati trattati e adottare misure proporzionate. Per uno studio commercialista le misure tipiche sono:
- Controllo degli accessi — credenziali individuali, autenticazione forte, profili di accesso differenziati per ruolo
- Cifratura dei dati a riposo e in transito, in particolare per dati particolari e backup
- Backup regolari e testati, con procedura di ripristino verificata
- Segregazione dei dati per cliente — separazione logica così che ogni operatore acceda solo alle pratiche di propria competenza
- Log degli accessi e tracciamento delle operazioni, per garantire l'accountability e ricostruire chi ha fatto cosa
- Formazione del personale e istruzioni operative per i soggetti autorizzati (Art. 29)
- Gestione dei dispositivi — policy su laptop, smartphone, supporti rimovibili, lavoro da remoto, dismissione sicura
Nota operativa sulle misure di sicurezza
I software gestionali multi-tenant con segregazione dei dati per studio e per cliente e con log degli accessi tracciati sono oggi lo standard per dimostrare l'accountability richiesta dall'Art. 32 e dall'Art. 5 par. 2 GDPR. Affidarsi a cartelle condivise o a fogli locali senza controllo degli accessi rende quasi impossibile provare quali misure erano in atto in caso di contestazione.
Data breach: notifica entro 72 ore (Art. 33-34)
Un data breach è una violazione di sicurezza che comporta, in modo accidentale o illecito, la distruzione, la perdita, la modifica, la divulgazione o l'accesso non autorizzato a dati personali. Per uno studio può essere un ransomware, un laptop rubato, una email con allegati inviata al destinatario sbagliato, un accesso abusivo al gestionale.
Gli obblighi del titolare in caso di violazione sono scanditi dal GDPR:
- Notifica al Garante (Art. 33) — senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare ne è venuto a conoscenza, salvo che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.
- Comunicazione agli interessati (Art. 34) — quando la violazione è suscettibile di presentare un rischio elevato, gli interessati vanno informati senza ingiustificato ritardo, con linguaggio chiaro.
- Registro delle violazioni (Art. 33 par. 5) — il titolare documenta tutte le violazioni, comprese quelle non notificate, con circostanze, effetti e provvedimenti adottati.
Se lo studio agisce come responsabile e la violazione riguarda dati trattati per conto del cliente, non notifica direttamente al Garante: deve informare il cliente titolare senza ingiustificato ritardo (Art. 33 par. 2), affinché sia quest'ultimo ad assolvere i propri obblighi di notifica. La catena di comunicazione va prevista nell'atto di nomina.
Il DPO (Responsabile della protezione dei dati)
Il DPO (Data Protection Officer, in italiano Responsabile della protezione dei dati) è obbligatorio nei tre casi tassativi dell'Art. 37 GDPR:
- Il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico
- Le attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico su larga scala degli interessati
- Le attività principali consistono nel trattamento su larga scala di categorie particolari di dati (Art. 9) o di dati relativi a condanne penali (Art. 10)
La maggior parte degli studi di piccole e medie dimensioni non rientra automaticamente nell'obbligo: il trattamento di dati particolari nelle paghe esiste, ma va valutato se raggiunge la soglia della "larga scala" e se costituisce l'attività principale. La valutazione è caso per caso, in base a volume, varietà e durata dei trattamenti. Per studi grandi o molto strutturati la nomina di un DPO — anche su base volontaria — può comunque essere opportuna come presidio di accountability.
Conservazione e cancellazione
Il principio di limitazione della conservazione (Art. 5.1.e GDPR) impone di conservare i dati per il tempo strettamente necessario alle finalità per cui sono trattati. Per lo studio questo non significa cancellare presto: i dati vanno conservati finché sussistono obblighi di legge, e questo termine va coordinato con gli altri tempi di conservazione.
- Scritture contabili e documenti fiscali — 10 anni (Art. 2220 c.c.) e termini fiscali correlati
- Fascicolo antiriciclaggio — 10 anni dalla cessazione del rapporto professionale
- Dati non più necessari — vanno cancellati o anonimizzati una volta esauriti gli obblighi
Il diritto alla cancellazione dell'interessato (Art. 17 GDPR) non è assoluto: non opera quando il trattamento è necessario per l'adempimento di un obbligo legale o per l'accertamento, l'esercizio o la difesa di un diritto in giudizio. Lo studio può quindi legittimamente rifiutare una richiesta di cancellazione finché è tenuto per legge a conservare i documenti, motivando la risposta all'interessato.
Il coordinamento tra GDPR, conservazione civilistico-fiscale e antiriciclaggio è delicato: vedi anche la nostra guida sulla conservazione AgID e quella sull'antiriciclaggio, che approfondiscono i termini decennali e le modalità di archiviazione a norma.
Sanzioni
Il regime sanzionatorio del GDPR è strutturato su due fasce di sanzioni amministrative pecuniarie, applicate dal Garante in base alla gravità della violazione.
| Fascia | Esempi di violazioni | Sanzione |
|---|---|---|
| Art. 83.4 | Carenze nel registro dei trattamenti, nelle nomine dei responsabili, nelle misure di sicurezza, negli obblighi del responsabile | fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo, se superiore |
| Art. 83.5 | Violazione dei principi, delle basi giuridiche, delle condizioni del consenso, dei diritti degli interessati, dei trasferimenti | fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo, se superiore |
Oltre la sanzione amministrativa
Alle sanzioni pecuniarie si aggiungono il danno reputazionale — per uno studio professionale, la fiducia è il capitale — e la responsabilità civile verso gli interessati: l'Art. 82 GDPR riconosce a chi subisce un danno materiale o immateriale il diritto al risarcimento dal titolare o dal responsabile. Una violazione mal gestita può tradursi non solo in una sanzione del Garante, ma anche in cause di risarcimento da parte dei soggetti coinvolti.
Come digitalizzare la compliance privacy nello studio
La privacy gestita su carta — informative firmate e archiviate in faldoni, nomine sparse nelle email, nessun registro aggiornato — è ingestibile per uno studio con decine di clienti. Il problema non è solo l'adempimento iniziale: è il mantenimento nel tempo e la capacità di dimostrare l'accountability se arriva un controllo o una richiesta di un interessato.
Digitalizzare significa centralizzare e rendere tracciabile l'intero ciclo:
- Gestione centralizzata di nomine e informative — modelli standard, raccolta firme digitale, archiviazione collegata a ciascun cliente
- Registro dei trattamenti aggiornato — come titolare e come responsabile, mantenuto allineato ai servizi effettivamente erogati
- Segregazione dei dati per cliente — ogni operatore accede solo alle pratiche di competenza
- Log degli accessi — tracciamento di chi accede a cosa, requisito chiave per l'Art. 32 e l'accountability
- Gestione del consenso e delle richieste degli interessati — accesso, rettifica, cancellazione, con risposte documentate nei termini di legge
Optlyx Prisma è una piattaforma multi-tenant con dati segregati per studio, accessi tracciati e conservazione a norma. La segregazione dei dati per cliente e i log degli accessi supportano direttamente le misure di sicurezza dell'Art. 32 e l'accountability dell'Art. 5 par. 2; la conservazione a norma (vedi la guida sulla conservazione AgID) gestisce il coordinamento con i termini decennali. La privacy smette di essere un faldone fermo e diventa un processo vivo dentro il software che lo studio usa ogni giorno.
Checklist operativa GDPR
- Hai mappato i ruoli distinguendo dove sei titolare e dove sei responsabile (Art. 28)?
- Hai ricevuto o predisposto le nomine a responsabile per le pratiche svolte per conto dei clienti?
- Hai autorizzato i collaboratori al trattamento (Art. 29) con istruzioni e ambiti di accesso?
- Hai i contratti con i sub-responsabili (software cloud, email, servizi esterni)?
- Tieni il registro dei trattamenti aggiornato, come titolare e come responsabile (Art. 30)?
- Hai informative aggiornate per clienti e dipendenti, con basi giuridiche corrette (Art. 6, 13-14)?
- Hai adottato misure di sicurezza adeguate — accessi, cifratura, backup, segregazione, log (Art. 32)?
- Hai una procedura di data breach pronta, con il vincolo delle 72 ore e il registro delle violazioni (Art. 33-34)?
- Hai valutato l'obbligo o l'opportunità del DPO (Art. 37)?
- Hai una policy di conservazione e cancellazione coordinata con Art. 2220 c.c. e antiriciclaggio?
Conclusione
La privacy nello studio commercialista non è un modulo da far firmare e dimenticare. È un sistema che attraversa ogni pratica, che cambia veste — titolare o responsabile — a seconda dei dati, e che deve essere dimostrabile in qualsiasi momento. Il GDPR non chiede solo di essere a norma: chiede di poterlo provare, con registri aggiornati, nomine in ordine, log degli accessi, procedure di breach pronte.
Le sanzioni fino a 20 milioni di euro fanno notizia, ma la ragione più concreta per gestire bene la privacy è un'altra: lo studio risponde personalmente, e il danno reputazionale di una violazione mal gestita pesa più di molte multe. La digitalizzazione del processo è ciò che rende l'accountability sostenibile invece di un peso burocratico.
Optlyx Prisma nasce multi-tenant, con dati segregati per studio, accessi tracciati e conservazione a norma: le fondamenta tecniche che l'Art. 32 e l'accountability dell'Art. 5 par. 2 richiedono, integrate con la gestione di mandati, nomine, informative e conservazione. La compliance privacy smette di vivere nei faldoni e diventa parte del software che lo studio usa ogni giorno.
Metti la privacy dentro il software.
Demo 15 minuti: come la segregazione dei dati per cliente, i log degli accessi e la conservazione a norma supportano l'accountability GDPR dello studio. Niente faldoni, processo tracciabile dall'informativa alla cancellazione.
Prenota demoDomande frequenti su GDPR e studio commercialista
Lo studio commercialista è titolare o responsabile del trattamento?
Entrambi, su dati diversi. È titolare (Art. 4 n. 7) per i dati dei propri dipendenti e dei clienti diretti, trattati per finalità proprie. È responsabile (Art. 28) per i dati trattati per conto del cliente sulla base delle sue istruzioni, tipicamente i dati dei dipendenti dell'azienda cliente quando elabora le buste paga. Lo stesso studio è quindi titolare e responsabile contemporaneamente.
Il registro dei trattamenti è obbligatorio per lo studio?
Di fatto sì. L'Art. 30 GDPR esonera le organizzazioni sotto i 250 dipendenti, ma l'esenzione decade se il trattamento non è occasionale, riguarda categorie particolari di dati (Art. 9) o presenta un rischio. Lo studio tratta dati in modo sistematico e gestisce dati particolari nelle paghe, quindi deve tenere il registro, sia come titolare sia come responsabile.
Cosa fare in caso di data breach?
Il titolare notifica la violazione al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla conoscenza (Art. 33), salvo che sia improbabile un rischio per gli interessati. Se il rischio è elevato, informa anche gli interessati (Art. 34) e documenta tutto nel registro delle violazioni. Se lo studio agisce come responsabile, informa senza ritardo il cliente titolare.
Lo studio commercialista deve nominare un DPO?
Non sempre. L'Art. 37 GDPR lo rende obbligatorio per gli enti pubblici, per il monitoraggio regolare e sistematico su larga scala e per il trattamento su larga scala di dati particolari o penali. Molti studi di piccole e medie dimensioni non rientrano automaticamente nell'obbligo, ma la valutazione va fatta caso per caso; per studi strutturati può comunque essere opportuno.
Quanto si conservano i dati dei clienti?
Per il tempo necessario alle finalità (Art. 5.1.e), coordinato con gli obblighi di legge: 10 anni per le scritture contabili (Art. 2220 c.c.) e 10 anni per il fascicolo antiriciclaggio dalla cessazione del rapporto. Scaduti i termini, i dati non più necessari vanno cancellati o anonimizzati, fatto salvo il diritto alla cancellazione quando non sussistono obblighi di conservazione.
Quali sanzioni rischia uno studio per violazioni GDPR?
Due fasce: fino a 10 milioni di euro o 2% del fatturato mondiale annuo per le violazioni meno gravi (Art. 83.4); fino a 20 milioni o 4% del fatturato per le violazioni più gravi (Art. 83.5). A ciò si aggiungono il danno reputazionale e la responsabilità civile verso gli interessati (Art. 82).