Un avvocato che usa Gmail o Hotmail per comunicare con i clienti trasferisce dati personali a provider extra-UE senza le garanzie richieste dal GDPR, esponendosi a sanzioni del Garante e a responsabilità disciplinare. Il Regolamento UE 2016/679 impone al titolare del trattamento di adottare misure tecniche adeguate, e un account gratuito su server americani non lo è. La soluzione minima è un indirizzo su dominio proprietario con hosting in UE e crittografia end-to-end attiva.
Punti chiave
- Punto 1 — Gmail e Hotmail trasferiscono dati verso server USA senza garanzie GDPR adeguate per gli studi legali.
- Punto 2 — Il Garante può sanzionare lo studio fino a 20 milioni di euro o il 4% del fatturato globale annuo.
- Punto 3 — Un dominio proprietario con hosting UE risolve il problema e migliora la percezione professionale del cliente.
Usare un account Gmail o Hotmail per la corrispondenza con i clienti non è una scelta neutrale: è una scelta che può costare cara. I provider gratuiti americani trattano i dati degli utenti — e di conseguenza quelli dei tuoi assistiti — su server soggetti alla legislazione statunitense, incluso il CLOUD Act del 2018, che consente alle autorità USA di accedere ai dati archiviati da società americane ovunque nel mondo. Per uno studio legale, che tratta per definizione dati sensibili e informazioni coperte da segreto professionale, questo scenario non è teorico.
Il tema è tornato all’attenzione dopo un articolo pubblicato da StudioCataldi, che ricostruisce i profili di rischio legali e reputazionali per gli studi che ancora oggi affidano le proprie comunicazioni a indirizzi su dominio gratuito.
Il contesto normativo
Il Regolamento UE 2016/679 (GDPR), all’art. 32, impone al titolare del trattamento di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio. L’art. 44 vieta il trasferimento di dati personali verso paesi terzi privi di decisione di adeguatezza, salvo garanzie specifiche. Con la sentenza Schrems II (Corte di Giustizia UE, causa C-311/18, 16 luglio 2020), la Corte ha invalidato il Privacy Shield USA-UE, lasciando i trasferimenti verso provider americani in una zona grigia che le Standard Contractual Clauses coprono solo parzialmente. In parallelo, il Codice deontologico forense (art. 28) impone all’avvocato di adottare ogni cautela per tutelare la riservatezza delle comunicazioni con il cliente: usare un’infrastruttura non adeguata integra potenzialmente una violazione deontologica, oltre che regolatoria.
Cosa cambia per lo studio
- Migra su dominio proprietario. Un indirizzo come avvocato@nomestudio.it su hosting europeo certificato ISO 27001 soddisfa i requisiti dell’art. 32 GDPR e trasmette al cliente una percezione professionale immediata. I costi partono da circa 5-15 euro al mese per un piano business base.
- Verifica dove risiedono fisicamente i server. Non basta il nome europeo del provider: controlla che i data center siano in UE e che il contratto includa le clausole contrattuali standard (SCC) aggiornate al modello della Commissione del giugno 2021.
- Firma un DPA con il tuo provider di posta. Il Data Processing Agreement è obbligatorio ai sensi dell’art. 28 GDPR ogni volta che affidi dati personali a un soggetto esterno. Con Gmail gratuito, Google non offre un DPA: con Google Workspace Business (a pagamento) sì, ma i dati restano su infrastruttura USA.
- Attiva la crittografia end-to-end per le comunicazioni riservate. La PEC garantisce integrità e data certa, ma non crittografia del contenuto. Per documenti particolarmente sensibili, valuta soluzioni come S/MIME o servizi di messaggistica cifrata conformi GDPR.
- Aggiorna il Registro dei trattamenti. Se usi provider diversi per email diverse (studio, personale, newsletter), ogni flusso va censito nel registro ex art. 30 GDPR con indicazione del trasferimento verso paesi terzi, se presente.
Attenzione a
Non confondere PEC e email ordinaria. La PEC ha valore legale per le notifiche, ma molti studi la usano solo per gli atti e continuano a usare Gmail per i rapporti con il cliente. Questa doppia modalità espone comunque i dati del cliente ai rischi descritti, perché la parte non formale della comunicazione — spesso la più ricca di informazioni — viaggia sul canale non protetto.
Attenzione alle sanzioni del Garante. Il Garante Privacy ha già irrogato sanzioni a studi professionali italiani per violazioni dell’art. 32 GDPR legate a misure di sicurezza inadeguate. Le sanzioni possono arrivare fino a 10 milioni di euro per le violazioni degli obblighi di sicurezza (art. 83, par. 4, GDPR), e la dimensione ridotta dello studio non è di per sé un’esimente, ma solo un parametro di commisurazione.
Domande frequenti
Un avvocato che usa Gmail viola il GDPR?
Sì, potenzialmente. Gmail gratuito trasferisce dati verso server USA senza le garanzie richieste dagli artt. 44 e seguenti del GDPR. Dopo la sentenza Schrems II (CGUE, C-311/18), i trasferimenti verso provider americani richiedono misure supplementari che Gmail gratuito non offre. Il rischio è una violazione dell’art. 32 GDPR e una potenziale sanzione del Garante.
Qual è il provider email più sicuro per uno studio legale italiano?
Un provider con data center fisicamente in UE, certificazione ISO 27001, DPA conforme al modello SCC 2021 e crittografia in transito e a riposo. Tra le soluzioni usate in Italia: ProtonMail Business (server svizzeri), Tutanota Business (server tedeschi), o hosting italiano con configurazione adeguata. Google Workspace a pagamento offre DPA ma mantiene i dati su infrastruttura USA.
La PEC sostituisce l’email ordinaria per la comunicazione con i clienti?
No. La PEC garantisce valore legale, data certa e integrità del messaggio, ma non crittografa il contenuto: un amministratore di sistema o un provider può leggere il testo. Per comunicazioni riservate con il cliente serve una soluzione aggiuntiva di cifratura end-to-end, come S/MIME o piattaforme dedicate alla messaggistica legale cifrata.
Fonte di riferimento: StudioCataldiNotizie