2° Contenuto Riservato: L’approfondimento dei Commercialisti sulla privacy negli studi professionali

CIRCOLARE MONOGRAFICA

Analisi del recente strumento operativo per gestire in modo consapevole e organizzato i principali adempimenti in materia di protezione dei dati personali

DI STUDIO TRIBUTARIO GAVIOLI & ASSOCIATI | 1 APRILE 2026

La crescente digitalizzazione dei processi professionali e l’evoluzione del quadro normativo europeo hanno reso la protezione dei dati personali una componente strutturale dell’organizzazione e dello svolgimento dell’attività professionale. Con il presente Documento dei Commercialisti si intende offrire agli studi professionali uno strumento operativo per gestire in modo consapevole e organizzato i principali adempimenti in materia di protezione dei dati personali, valorizzando al contempo le opportunità offerte dagli standard internazionali di riferimento.

Il recente Documento sulla gestione della privacy negli studi professionali

“La gestione della privacy negli studi professionali alla luce della normativa ISO/IEC 27701:2025” è il titolo del Documento pubblicato il 23 marzo 2026 sul portale del Consiglio Nazionale dei Dottori Commercialisti ed Esperti Contabili; la finalità del Documento è quella di offrire ai professionisti uno strumento operativo per strutturare la compliance in materia di protezione dei dati personali.

Il Documento dei Commercialisti evidenzia che occorre sempre tenere presente che gli studi professionali si caratterizzano per una notevoleeterogeneità organizzativa: accanto a strutture di dimensioni medio grandi, dotate di articolazioni interne e processi più complessi, operano numerosi studi di dimensioni ridotte o individuali, nei quali l’attività professionale si svolge attraverso assetti organizzativi più snelli e semplificati.

In tale prospettiva, gli strumenti e i modelli proposti devono essere letti come riferimenti metodologici flessibili, che possono essere adattati in modo proporzionato alla struttura, ai rischi e al volume dei trattamenti effettuati dallo studio.

L’esercizio della professione di commercialista implica strutturalmente il trattamento di ingenti flussi di dati personali afferenti a clienti e soggetti terzi. Tale operatività impone il rigoroso rispetto del quadro normativo delineato dal Regolamento UE n. 2016/679 (GDPR).

Il sistema della protezione dei dati si fonda sul principio di responsabilità generale (accountability) del titolare, il quale risponde di ogni operazione di trattamento effettuata direttamente o per il tramite di soggetti esterni qualificati come responsabili del trattamento.

Lo studio professionale, a seconda del contesto operativo e della natura della prestazione, può assumere la veste giuridica di titolare o di responsabile, con la conseguente e precisa ripartizione delle obbligazioni legali.

In virtù di tale ruolo, il titolare è tenuto a implementare misure tecniche e organizzative adeguate ed efficaci, volte a garantire la sicurezza e a comprovare la conformità delle attività di trattamento (onere della prova).

Parallelamente, il responsabile del trattamento è vincolato all’assolvimento di compiti istruttori e operativi da cui derivano precise responsabilità contrattuali e di legge.

Entrambe le figure sono soggette ai poteri ispettivi e sanzionatori dell’Autorità garante per la protezione dei dati personali.

La mancata conformità espone lo studio a sanzioni amministrative, provvedimenti inibitori e, non da ultimo, ad azioni risarcitorie per i danni cagionati agli interessati.

In tale scenario, la corretta gestione dei diritti degli interessati, richieste di accesso, rettifica, cancellazione, limitazione, opposizione e portabilità, rappresenta un elemento critico della gestione del rischio professionale.

Il quadro normativo

Evidenzia lo Studio dei Commercialisti che il quadro normativo in materia di protezione dei dati personali si caratterizza per la coesistenza di norme giuridicamente vincolanti e di standard volontari, che operano su piani distinti ma tra di loro integrabili.

In tale contesto si colloca il rapporto tra il GDPR e gli standard internazionali di riferimento.

Il GDPR costituisce la norma che prescrive principi e responsabilità obbligatorie per chi tratta dati di persone fisiche, mentre gli standard ISO/IEC, quali le certificazioni 27001, 27002 e 27701, offrono linee guida volontarie e certificabili per tradurre quei principi in procedure concrete di gestione e controllo.

Integrare questi due livelli consente di costruire un sistema di gestione della privacy robusto, che unisce conformità legale e migliori pratiche organizzative.

Entrambi gli strumenti richiedono una gestione dei dati personali basata su un approccio risk-based e promuovono la consapevolezza della responsabilità dei titolari e dei responsabili del trattamento.

La nuova versione della ISO 27701 introduce innovazioni strutturali rilevanti, tra cui l’autonomia dello standard, l’allineamento al modello Annex SL e la semplificazione del quadro dei riferimenti normativi.

Tale innovazione rappresenta un’evoluzione significativa nel panorama degli standard internazionali per la protezione dei dati personali, segnando il passaggio dello standard da semplice strumento aggiuntivo a vero e proprio standard autonomo e certificabile in modo indipendente.

Già a partire dal titolo, “Information security, cybersecurity and privacy protection – Privacy information management systems (PIMS) – Requirements and guidance”, la ISO 27701 riconosce il ruolo della protezione dei dati personali come disciplina gestionale a sé stante e completa, nonostante continui a mantenere una forte integrazione con i sistemi di sicurezza tecnica delle informazioni.

Il valore della certificazione come strumento di accountability

La certificazione ISO 27701 costituisce, nel quadro del GDPR, uno strumento concreto di attuazione dell’accountability, agevolando sia la conformità alla disciplina in materia di protezione dei dati sia la dimostrazione del suo effettivo rispetto.

Infatti, l’adozione di un PIMS (Privacy Information Management System) certificato implica che l’organizzazione consideri la privacy come pratica integrata nella propria governance, coinvolgendo i vertici gerarchici e attribuendo le responsabilità operative in modo netto, chiarendo:

• l’ambito di applicazione del sistema;
• i ruoli e le responsabilità in materia di protezione dei dati;
• i processi decisionali e di controllo relativi ai trattamenti.

Il valore della certificazione si manifesta, quindi, nel superamento di un approccio esclusivamente documentale alla conformità legale.

Impostazione del sistema di gestione privacy

La politica per la protezione delle informazioni (privacy information) costituisce un documento programmatico che funge da vera e propria guida per l’intera organizzazione dello studio professionale ed è fondamentale non confonderla con la semplice informativa fornita ai clienti e terzi, in quanto si tratta di un’assunzione di responsabilità scritta e approvata dal professionista o dagli associati.

Il vertice dello studio professionale ha il compito di stabilire gli obiettivi di privacy in modo chiaro e quantificabile, affinché siano specifici, misurabili, raggiungibili, rilevanti e definiti nel tempo.

L’efficacia di questi obiettivi viene misurata attraverso indicatori chiave di prestazione (KPI) specifici.

Ecco alcuni esempi pratici di obiettivi privacy di uno studio professionale
tempestività operativa: ridurre il tempo di risposta alle richieste degli interessati (DSAR) al di sotto dei 15 giorni lavorativi, migliorando significativamente il limite legale di 30 giorni;
competenza: assicurare che il 100% dei collaboratori completi una formazione specifica su sicurezza dei dati e rischi di phishing entro il primo semestre di ogni anno;
resilienza tecnica: puntare ad azzerare i data breach dovuti a errori umani o configurazioni errate, implementando l’autenticazione multi-fattore (MFA) su tutti gli accessi remoti;
analisi preventiva: condurre una valutazione d’impatto (DPIA) per ogni nuova tecnologia o software che tratti dati sensibili o giudiziari dei clienti prima della sua adozione.

Responsabilità dei titolari, dei responsabili (e del DPO)

Per poter garantire la conformità normativa di uno studio professionale, uno dei passaggi essenziali è rappresentato dalla corretta individuazione dei soggetti che intervengono nel trattamento dei dati personali.

Il titolare del trattamento

Il titolare del trattamento è la persona fisica o la persona giuridica che determina le finalità e le modalità del trattamento dei dati personali; semplificando e sintetizzando il concetto, potremmo sostenere che il titolare è colui che decide “perché” e “come” i dati devono essere trattati.

Nel contesto dello studio professionale, risulta evidente che il ruolo di titolare è assunto dal commercialista quando opera con autonomia decisionale e non si limita a svolgere attività meramente esecutive per conto del cliente.

In particolare, nel caso di uno studio con un solo professionista, il titolare del trattamento sarà quest’ultimo mentre nel caso di uno studio associato/società tra professionisti, il titolare sarà l’organizzazione e, quindi, i singoli professionisti non saranno mai considerati titolari.

Dovendo essere in grado di dimostrare la conformità al GDPR, il titolare mantiene una responsabilità generale di accountability; in particolare le sue principali responsabilità possono essere riassunte schematicamente come segue:

• adozione di adeguate misure tecniche e organizzative;
• stesura e consegna dell’informativa privacy agli interessati;
• gestione delle basi giuridiche del trattamento (incluso il consenso quando necessario);
• tenuta del registro dei trattamenti;
• designazione di eventuali responsabili e autorizzati;
• formazione del personale;
• gestione e registrazione di eventuali data breach.

Il responsabile del trattamento

Il responsabile del trattamento è il soggetto che tratta dati personali per conto del titolare sulla base di un contratto (o altro atto giuridico) che ne disciplina puntualmente compiti, limiti e istruzioni operative. Il commercialista assume questo ruolo quando opera senza autonomia decisionale, limitandosi a eseguire le istruzioni dettagliate del cliente: è il caso, per esempio, dell’attività di elaborazione dati e cedolini paga.

L’atto di nomina, tra le altre cose, deve specificare:

• durata, natura e finalità del trattamento;
• tipologia di dati trattati e categorie di interessati;
• obblighi e diritti del titolare;
• misure di sicurezza da adottare.

Sulla base di quanto stabilito sopra, il responsabile è pertanto tenuto a:

• trattare i dati in base alle istruzioni documentate impartite dal titolare;
• garantire la riservatezza da parte del personale autorizzato;
• adottare adeguate misure di sicurezza;
• assistere il titolare nell’adempimento degli altri obblighi previsti dal GDPR;
• cancellare o restituire i dati al termine del proprio incarico.

Gli autorizzati al trattamento

Gli autorizzati al trattamento, che nel precedente quadro normativo venivano denominati “incaricati”, sono rappresentati dai dipendenti, collaboratori o praticanti dello studio, i quali operano sotto l’autorità del titolare o del responsabile.

Gli autorizzati, pertanto:

1. agiscono entro i confini ricevuti dal titolare e/o responsabile;
2. devono essere adeguatamente formati;
3. sono anch’essi vincolati all’obbligo della riservatezza;
4. contribuiscono all’attuazione delle misure di sicurezza.

Pur non avendo alcuna autonomia decisionale, il loro operato incide direttamente sul livello di compliance dell’organizzazione, motivo per cui è fondamentale una chiara definizione dei profili autorizzativi.

Il DPO/RPD (ove previsto)

Il responsabile della protezione dei dati, ove previsto, svolge una funzione di supporto, consulenza e sorveglianza sull’osservanza della normativa privacy.

In particolare, il DPO:

1. informa e consiglia il titolare o il responsabile;
2. sorveglia l’osservanza del GDPR e delle policy interne;
3. fornisce pareri sulla valutazione d’impatto (DPIA);
4. coopera con l’Autorità di controllo;
5. funge da punto di contatto per gli interessati.

La sua nomina non è sempre obbligatoria: nel caso di uno studio individuale, in linea generale, non è richiesta, mentre per studi associati o società tra professionisti l’obbligo va valutato anche in base alla dimensione e alla natura dei trattamenti effettuati.

La responsabilità del DPO, oltre a quella legale, è anche di tipo contrattuale nei confronti del soggetto per cui opera.

Il DPO non è comunque personalmente responsabile per una violazione dei dati, la quale resta comunque in capo al titolare; eventualmente è responsabile degli adempimenti dei compiti di vigilanza e consulenza che gli sono stati assegnati.

I programmi di formazione continua

Lo Studio dei Commercialisti evidenzia che la preparazione del personale chiamato a dare applicazione pratica alle regole e alle procedure codificate a tutela dei dati personali rappresenta una componente essenziale della “architettura privacy” in grado di suggellare o, al contrario, vanificare gli interventi tecnici e organizzativi progettati.

La formazione svolge, quindi, un ruolo centrale e strategico per gli studi professionali, costituendo uno degli strumenti principali per garantire un trattamento dei dati personali lecito, corretto e sicuro. È essenziale, infatti, che le persone coinvolte nel processo di trattamento dei dati personali comprendano pienamente il valore dei dati trattati, i rischi associati e le responsabilità individuali che derivano dalle loro attività quotidiane.

In particolar modo, quando il trattamento ha ad oggetto dati particolari (ad es. dati relativi alla salute, dati giudiziari, etc.) la consapevolezza del personale non è solo una misura organizzativa raccomandata, ma un vero e proprio presidio di sicurezza.

La maggior parte delle violazioni di dati deriva, infatti, da errori umani, comportamenti negligenti o scarsa conoscenza delle regole applicabili.

Riferimenti normativi:

• D.Lgs. 10 agosto 2018, n. 101;
• D.Lgs. 30 giugno 2003, n. 196;
• Regolamento 27 aprile 2016, n. 2016/679; 
• CNDCEC, Documento di studio 23 marzo 2026, “La gestione della privacy negli studi professionali alla luce della normativa ISO/IEC 27701:2025”. 

Il contenuto di questa newsletter è strettamente riservato e destinato esclusivamente ai destinatari autorizzati.
È espressamente vietata la condivisione totale o parziale di questa comunicazione su qualsiasi piattaforma pubblica o privata, inclusi (ma non limitati a):
• Gruppi e canali Telegram
• Chat di gruppo o broadcast su WhatsApp
• Post o storie su Facebook, Instagram, X (Twitter), LinkedIn, o altri social network.

Ogni violazione di questa norma potrà comportare l’esclusione immediata dalla lista dei destinatari e, nei casi più gravi, azioni legali.

Grazie per il rispetto delle regole e per contribuire a mantenere la riservatezza delle informazioni condivise