2° Contenuto: Tutto Quesiti: Come gestire la privacy nello Studio professionale e presso i clienti secondo il GDPR

CIRCOLARE TUTTOQUESITI

Le risposte alle domande dei professionisti

DI CARLA DE LUCA | 18 NOVEMBRE 2025

Si presentano le riposte ai quesiti pervenuti in occasione del Webinar “Come fare” dal titolo “Come gestire la privacy nello Studio professionale e presso i clienti secondo il GDPR”.
Il Corso, una guida operativa e concreta, illustra come gestire gli adempimenti privacy in studio e presso i clienti secondo le ultime evoluzioni normative (GDPR, NIS 2 e AI Act). Attraverso un percorso strutturato che alterna teoria e pratiche operative, vengono illustrate tecniche di audit, redazione e manutenzione dei registri dell’accountability, gestione delle misure di sicurezza, e soluzioni per affrontare situazioni di data breach e le nuove sfide poste dall’intelligenza artificiale. Sono presenti anche modelli e check-list, esempi di modulistica e flussi operativi, con l’obiettivo di trasformare la compliance privacy in valore aggiunto per la professione, rafforzando il ruolo del commercialista nella governance dei dati e nella consulenza alle imprese.

Quesito n. 1 – Conservazione dei dati

Domanda

Sia per gli studi professionali, che per le imprese, come si coniuga l’obbligo di distruzione dei dati al completamento dell’incarico/prestazione/fornitura con la normativa civilistica (come la conservazione della corrispondenza, ad esempio, mail) o fiscale (ad esempio termini per accertamento)?

Risposta

La conservazione dei documenti fiscali e contabili è prevista per 10 anni dalla cessazione del rapporto o dall’operazione, in base al Codice civile e alle norme fiscali.

Al contempo, i dati personali devono essere conservati solo per il tempo necessario per le finalità di trattamento, come previsto dal GDPR e dal D.Lgs. n. 231/2007, con una valutazione caso per caso della base legale e delle finalità.

Una volta decorso il periodo di conservazione previsto per ciascun tipo di documento o dato, vanno attuate misure di cancellazione o anonimizzazione, con registrazione delle tempistiche nei registri di trattamento. La distruzione deve mantenere la tracciabilità e, dove richiesto, permette la ricostruzione delle operazioni in caso di controlli.

La conservazione e la sicurezza dei dati devono rispettare sia le disposizioni privacy (GDPR e normativa italiana) sia i requisiti contabili/fiscali. La mancata conservazione o una conservazione irregolare espone a sanzioni amministrative o eventuali responsabilità civili, oltre a possibili conseguenze penali in caso di violazioni gravi.

Se esistono specifiche esigenze di archiviazione storica o attività contabili particolari, possono emergere eccezioni o diverse prescrizioni, ma spesso si applicano principi di conservazione differenziati per categorie di documenti.

Quindi, per perseguire le finalità fiscali/contabili, la conservazione deve avvenire per 10 anni dalla cessazione dell’incarico o dall’operazione, per consentire eventuali verifiche o accertamenti futuri.
Per le finalità di trattamento dati personali, la conservazione va proporzionata al fine perseguito (es. gestione del cliente, adempimenti normativi), con periodi non superiori al necessario; indicare i tempi nel registro dei trattamenti o nell’informativa.

Violazioni della conservazione o del trattamento possono implicare sanzioni GDPR (fino a 20 milioni o 4% del fatturato globale, a seconda di quale sia più alto) e sanzioni amministrative sotto il D.Lgs. n. 231/2007, con importi variabili in base alla gravità.

Quesito n. 2 – Chiarimenti sul ruolo di auditor

Domanda

Il ruolo di auditor si applica solo al commercialista o anche al tributarista?

Risposta

La funzione di audit privacy può essere svolta non solo dal data protection officer (DPO) ma anche da professionisti che possiedono competenze in privacy, sicurezza delle informazioni e gestione del rischio. In pratica, sia i commercialisti sia i tributaristi possono assumere ruoli di audit privacy se hanno le conoscenze tecniche, le certificazioni appropriate e sono designati formalmente all’interno dell’organizzazione o in relazione con il cliente. Tuttavia, la designazione ufficiale di figure come DPO è soggetta alle condizioni del GDPR e alle scelte dell’organizzazione, e non è automaticamente assegnata a una specifica categoria professionale.

Relativamente all’audit privacy, i commercialisti sono spesso coinvolti come “architetti della conformità” o come consulenti che coordinano misure di protezione dati, gestiscono registri di trattamenti, verificano la coerenza tra policy interne e normativa, e occasionally ricoprono funzioni di consulente DPO o di supporto al DPO, soprattutto in studi multiprofessionali o in aziende con strutture complesse. La novella normativa e le linee guida degli ordini professionali sottolineano la necessità di competenze specifiche in privacy e di una governance adeguata.

Anche i tributaristi comunque possono operare in tema privacy, in particolare dove gestiscono dati sensibili dei clienti nell’ambito delle pratiche fiscali. Se assumono funzioni che includono audit privacy o gestione di DPIA, devono comunque dimostrare competenze adeguate in privacy e conformità, e rispettare le stesse responsabilità di trattamento e registrazioni richieste dal GDPR. In molti contesti è comune che tributaristi si appoggino a figure interne o esterne con competenze privacy per garantire conformità.

Quesito n. 3 – Iterazione tra responsabile privacy e responsabile della conservazione a norma

Domanda

Come interagisce il responsabile privacy con il responsabile della conservazione a norma?

Risposta

L’interazione tra il responsabile privacy (RPD o altro responsabile per la protezione dei dati) e il responsabile della conservazione a norma è definita da una governance chiara e da norme GDPR/italiane: il titolare designa per scritto i ruoli, delimita compiti e responsabilità, e stabilisce linee di reporting e coordinamento operativo tra le due figure. Non è automatico che una persona svolga entrambi i ruoli; spesso sono figure distinte ma coordinate, soprattutto in contesti con sistemi di conservazione sostitutiva o archiviazione digitale.

Quesito n. 4 – Inserimento di collaboratori esterni nell’organigramma privacy dello studio

Domanda

Lo studio che si avvale della collaborazione di un professionista esterno con cui ha una convenzione per la gestione di attività da svolgersi presso lo studio con le dotazioni dello studio (senza però alcun vincolo di orario né di dipendenza) deve inserire tale collaboratore nel proprio organigramma?

Risposta

L’organigramma privacy deve riflettere i ruoli chiave:

  • titolare del trattamento,
  • responsabile del trattamento (interno o esterno),
  • responsabile della conservazione e
  • autorizzati al trattamento (dipendenti, collaboratori, tirocinanti, collaboratori esterni designati).

Un collaboratore esterno che opera nello studio può essere inserito nell’organigramma se è formalmente designato a specifiche funzioni all’interno della governance dello studio (con mandato chiaro, tempi, responsabilità e criteri di responsabilità) in via continuativa. 
È necessario a tal proposito stabilire in modo chiaro chi riferisce a chi. 
Prevedere flussi di comunicazione, reporting e gestione di incidenti; aggiornare il registro dei trattamenti (art. 30 RGPD) per includere i trattamenti affidati all’esterno e specificare basi giuridiche, finalità, categorie di dati, luoghi di trattamento e tempi di conservazione; adottare lettere di incarico o mandati per gli incaricati esterni, definendo ambito, strumenti, misure di sicurezza, risoluzione, e obblighi di riservatezza.

Quesito n. 5 – Obblighi privacy per le ASD che volgono attività con minori

Domanda

Le ASD che svolgono attività con i minori hanno obblighi specifici? Che adempimenti devono seguire?

Risposta

Di base, per le ASD/SSD e per le loro attività con minori, gli obblighi privacy principali si allineano a quelli generali del GDPR ma includono specifiche competenze e procedure legate alla tutela del minore e alla gestione del consenso informato. Infatti, va fatta la nomina obbligatoria di un responsabile della tutela dei minori (safeguarding) per prevenire abusi e discriminazioni e gestire segnalazioni. È un ruolo chiave per la sicurezza dei minori nello sport, spesso con scadenze stabilite dalle Federazioni/CONI.

Il safeguarding va integrato nei modelli organizzativi e nel codice di condotta interno, con procedure di segnalazione chiare e riservatezza.

trattamenti di dati relativi a minori richiedono misure di minimizzazione, trasparenza verso i genitori/tutori, consenso, quando necessario, e registri di trattamento aggiornati. È necessario predisporre o aggiornare: codice di condotta, protocolli di segnalazione, modelli di tutela, e registri delle attività di trattamento. Verificare conformità con normative regionali e linee guida federative.

Va pubblicata la nomina del safeguarding, conservare evidenze e assicurare indipendenza e trasparenza nel ruolo.

Va fatta formazione: si deve prevedere un training periodico per staff, volontari e responsabili coinvolti, inclusi aspetti di privacy, sicurezza e tutela minori.

Possibili sanzioni amministrative, revoche di affiliazione o altre conseguenze regolamentari in caso di mancato adempimento.

Quesito n. 6 – Obblighi privacy per i piccoli studi

Domanda

Un piccolo studio formato da due professionisti (individuali, no studio associato, no STP) con un dipendente, quali registri deve obbligatoriamente tenere con un pacchetto clienti minori di n. 100?

Risposta

Tutti i trattamenti di dati personali devono rispettare i principi di liceità, finalità, minimizzazione, trasparenza e sicurezza. Inoltre, per i trattamenti rilevanti, è utile o necessario tenere registri e documenti di governance privacy (registro delle attività, DPIA se richiesto, informative).

Ruoli chiave da considerare:

  • Il titolare del trattamento è lo studio o i due professionisti singoli che determinano finalità e mezzi del trattamento.
  • Il responsabile del trattamento: chi tratta i dati per conto dello studio (dipendente o collaboratore esterno) con istruzioni specifiche.
  • Responsabile della conservazione: incaricato della gestione sicura della conservazione e distruzione dei dati.
  • DPO o referente privacy: consigliato in piccole realtà se la complessità o il rischio lo giustificano; può essere interno o esterno.

Registri e documenti chiave – va tenuto il registro delle attività di trattamento: per descrivere le operazioni sui dati (finalità, categorie di dati, soggetti interessati, basi giuridiche, tempi di conservazione, misure di sicurezza). Va tenuto aggiornato e disponibile su richiesta.

Informative ai soggetti interessati: fornire informativa adeguata sull’uso dei dati, adattata ai minori quando necessario, e ai genitori/tutori per i dati dei minori.

Consenso: se richiesto, predisporre moduli di consenso per il trattamento dei dati dei minori e per l’uso di immagini/video, distinguendo consenso del minore (ove legittimo) da consenso dei genitori/tutori.

DPIA: se il trattamento comporta rischi elevati per i diritti e le libertà delle persone, eseguire una valutazione d’impatto sulla protezione dei dati (DPIA) e conservarne la documentazione.

Sicurezza e accesso: definire policy di accesso ai dati, log di accesso, backup sicuri, cifratura dove opportuno, e gestione delle vulnerabilità.

Organigramma privacy: mantenere chiari ruoli e responsabilità, inclusi eventuali collaboratori esterni che trattano dati dei minori, con linee di reporting al titolare e al referente privacy.

Contratti e clausole: stipulare accordi/mandati chiari con eventuali collaboratori esterni o fornitori, incluso obbligo di riservatezza, sicurezza e gestione dei dati.

Gestione incidenti: predisporre procedure di gestione delle violazioni di dati, con tempi di notifica e piano di comunicazione agli interessati e all’Autorità, se richiesto.

Formazione: formare periodicamente staff e collaboratori su privacy, protezione dei minori e sicurezza informatica.

Cosa fare subito (check-priorità):

  • Verificare se serve nominare o designare un referente privacy o DPO, anche solo a livello di persona interna.
  • Aggiornare o costruire il registro delle attività di trattamento includendo trattamenti relativi ai minori.
  • Preparare informativa adeguata per i minori e i genitori/tutori; predisporre eventuali moduli di consenso.
  • Valutare la necessità di una DPIA e, se sì, avviare la DPIA e documentarne i risultati.
  • Definire o rivedere gli accordi con eventuali collaboratori esterni, includendo clausole su sicurezza, responsabilità e gestione dei dati.

Quesito n. 7 – Nuovi clienti e informativa privacy: tempi e modalità di consegna

Domanda

Ogni volta che abbiamo a che fare con un nuovo cliente (che sia una società per tenuta contabilità o un privato per la redazione della dichiarazione dei redditi), dobbiamo fornirgli l’informativa privacy?

Risposta

In generale, l’informativa privacy deve essere fornita all’interessato prima o al momento della raccolta dei dati personali.

Per i nuovi clienti, l’informativa va consegnata al momento dell’inizio dell’incarico o del primo contatto che comporta il trattamento dei dati (es. redazione della dichiarazione dei redditi o gestione contabile). L’obiettivo è rendere chiaro chi è il titolare del trattamento, quali dati sono raccolti, per quali finalità, quali basi giuridiche, quali destinatari, i tempi di conservazione, i diritti dell’interessato e i contatti del titolare. Quindi sì, è opportuno fornire l’informativa al nuovo cliente prima o al primo trattamento dei dati. Se i dati arrivano da terzi, l’informativa va fornita al momento della raccolta o al primo contatto utile e, in ogni caso, entro un periodo ragionevole.

Quesito n. 8 – Misure preventive e di mitigazione a seguito di una comunicazione di violazione dei dati personali (data breach)

Domanda

Un soggetto persona fisica che ha ricevuto una comunicazione di data breach da parte del proprio fornitore di energia elettrica con la quale il fornitore avvisava che i dati trafugati potevano essere utilizzati impropriamente da chicchessia, cosa può fare per prevenire in anticipo tale utilizzo improprio?

Risposta

Va verificata la portata dell’esposizione: identifica quali dati potrebbero essere stati rubati o compromessi (tipologie di dati, categorie di soggetti interessati, canale utilizzato dal fornitore). Questo aiuta a valutare il livello di rischio e le contromisure necessarie. Vanno aggiornate le credenziali e rafforzata la sicurezza: cambia password, abilita l’autenticazione a due fattori su account associati al servizio energetico o a servizi collegati, evita riutilizzi di password tra siti differenti.

Se i dati riservati o finanziari sono stati potenzialmente esposti, monitora conti bancari, crediti ed eventuali addebiti non autorizzati. Considera l’attivazione di avvisi su transazioni e movimenti sospetti.

Non rispondere a email o messaggi sospetti che chiedono dati o password; contatta direttamente la società fornitrice attraverso canali ufficiali per confermare l’autenticità della comunicazione.

Se non è già predisposto, definisci una procedura interna che includa chi coordina la gestione, contatti con l’Autorità di protezione dati, registri degli eventi e tempi di comunicazione agli interessati.

A lungo termine, valuta se i trattamenti di dati correlati al contratto di fornitura o all’uso dei servizi energetici comportano rischi significativi; se sì, effettua una DPIA o una rivalutazione dei rischi e adotta misure di mitigazione adeguate.

Verifica che i fornitori attuino adeguate misure di sicurezza (clausole contrattuali su protezione dati, trasferimenti internazionali, incident response). Predici una procedura per gestire eventuali violazioni che coinvolgono fornitori terzi.

Assicurati che le politiche di conservazione dei dati, i processi di gestione degli accessi e le procedure di notifica siano aggiornate e comunicate a chi di competenza. Realizza audit periodici di conformità.

Se la violazione riguarda dati di clienti o persone interessate, informa gli interessati in modo trasparente, fornendo indicazioni sui diritti che possono esercitare e sulle misure che hai adottato per mitigare gli effetti; valuta se è necessaria una comunicazione all’Autorità competente.

Controllare se i dati di minorenni sono coinvolti e, in tal caso, coinvolgere i genitori/tutori in modo appropriato, spiegando quali dati sono stati potenzialmente esposti e quali misure sono state prese.

Prestare particolare attenzione a eventuali immagini o contenuti che richiedono consenso esplicito, assicurandosi che i diritti del minore siano rispettati e che la comunicazione sia chiara per i tutori.

Quesito n. 9 – Quali sanzioni si rischiano in caso di mancata formazione privacy?

Domanda

Qual è l’importo minimo delle sanzioni se manca la formazione?

Risposta

Le sanzioni per mancata formazione o per violazioni legate all’adeguamento possono variare. In scenari tipici, possono arrivare fino a decine di migliaia di euro per piccoli gruppi o imprese, e salire in casi di violazioni gravi o sistematiche, con soglie che possono toccare milioni di euro o percentuali del fatturato nell’ambito delle violazioni gravi. Per il contesto italiano, le scale sanzionatorie del GDPR prevedono massime elevate (fino a 20 milioni di euro o fino al 4% del fatturato globale annuo dell’impresa nei casi più gravi) se si applica l’ipotesi di violazioni gravi legate a diritti degli interessati, mancata notifica, o mancanza di misure organizzative essenziali.

Fattori che influenzano l’importo sono: la dimensione dell’azienda, numero di dipendenti, gravità della violazione, natura dei dati trattati (dati comuni VS dati sensibili o dati di minori), presenza di una DPIA o di un piano di gestione degli incidenti, ripetitività della violazione e l’esistenza di misure preventive implementate (policy, formazione, controlli di accesso, registri delle attività).

Contesto pratico per le piccole realtà: anche per studi o piccole imprese, la mancata formazione può esporre a sanzioni, soprattutto se durante un controllo emergono lacune evidenti nel piano formativo o nelle prove di formazione. È utile documentare la formazione erogata, conservare prove di partecipazione e aggiornare periodicamente i piani formativi e i registri di conformità.

Quesito n. 10 – Come impostare una valutazione del rischio privacy

Domanda

Come si determina il rischio privacy?

Risposta

Determinare il rischio privacy significa quantificare la probabilità che si verifichi un danno ai diritti e alle libertà degli interessati a seguito di un trattamento di dati personali, e valutare l’impatto potenziale di tale danno. Questo processo permette di identificare le misure necessarie per ridurre il rischio residuo a livelli accettabili.

Come impostare una valutazione del rischio privacy:

  1. Identificare i trattamenti: mappa ogni trattamento di dati personali svolto dall’organizzazione (dati di clienti, fornitori, dipendenti, partner). Per ciascun trattamento, descrivere finalità, categorie di dati, basi giuridiche, soggetti a cui i dati sono comunicati e luoghi di trattamento.
  2. Individuare minacce e vulnerabilità: elencare possibili scenari di rischio (accesso non autorizzato, perdita di dati, divulgazione, distruzione accidentale, violazioni da parte di terzi) e le vulnerabilità associate (poteri di accesso, sicurezza informatica, gestione delle password, backup, governance dei fornitori).
  3. Valutare probabilità e impatto: assegnare una probabilità (es. 1-5) che ciascuna minaccia si realizzi e un livello di impatto (es. 1-4 o 1-5) sui diritti e libertà degli interessati. La combinazione di probabilità e impatto determina il livello di rischio per ogni minaccia.
  4. Assegnare livelli di rischio: convertire i punteggi in una classificazione (Basso, Medio, Alto, Molto alto) e identificare quali rischi richiedono misure immediate o DPIA.
  5. Definire misure di mitigazione: per ogni rischio elevato si elaborano controlli specifici (riduzione di accessi, cifratura, segmentazione dei dati, monitoraggio, DPIA, formazione, policy di retention, contratti con fornitori, notifiche di violazione).
  6. Documentare e monitorare: mantenere un documento ufficiale della valutazione del rischio, includendo l’elenco dei rischi, le misure implementate, i responsabili e le tempistiche.
  7. Effettuare revisioni periodiche e aggiornarlo con eventuali cambiamenti nei trattamenti o nelle minacce.

Quesito n. 11 – Ruolo del commercialista nel trattamento dei dati: titolare, contitolare o responsabile esterno?

Domanda

Il commercialista è responsabile esterno per i dati dei clienti?

Risposta

Un commercialista può essere sia titolare del trattamento sia responsabile esterno, a seconda della realtà concreta. Se agisce su istruzioni del cliente e non decide finalità o mezzi del trattamento, è tipicamente responsabile esterno del trattamento. Se invece esercita controllo autonomo su finalità e mezzi (per esempio trattando dati di proprietà del cliente o di terzi come proprio incarico principale), può essere titolare del trattamento o contitolare.

La differenza non dipende dalla forma contrattuale ma dalla sostanza del rapporto e dalle responsabilità assegnate.

Il contenuto di questa newsletter è strettamente riservato e destinato esclusivamente ai destinatari autorizzati.
È espressamente vietata la condivisione totale o parziale di questa comunicazione su qualsiasi piattaforma pubblica o privata, inclusi (ma non limitati a):
• Gruppi e canali Telegram
• Chat di gruppo o broadcast su WhatsApp
• Post o storie su Facebook, Instagram, X (Twitter), LinkedIn, o altri social network.

Ogni violazione di questa norma potrà comportare l’esclusione immediata dalla lista dei destinatari e, nei casi più gravi, azioni legali.