Gli studi legali sono titolari del trattamento ai sensi del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018: devono tenere il registro delle attività di trattamento, adottare misure tecniche e organizzative adeguate e notificare all’Autorità Garante ogni violazione di dati entro 72 ore dalla scoperta. Il segreto professionale non sostituisce né deroga a nessuno di questi obblighi, che si applicano a qualsiasi studio — monocratico o associato — che tratti dati personali di clienti, controparti e collaboratori.
Punti chiave
- Ogni studio legale è titolare del trattamento e deve redigere il registro ex art. 30 GDPR.
- La notifica di un data breach al Garante deve avvenire entro 72 ore dalla scoperta (art. 33 GDPR).
- Il segreto professionale non esonera dallo GDPR: i due obblighi coesistono senza deroga.
- Le sanzioni per violazioni gravi arrivano fino a 20 milioni di euro o al 4% del fatturato globale.
Cos’è GDPR e privacy negli studi legali: definizione e quadro normativo
Il Regolamento UE 2016/679 (GDPR), direttamente applicabile in Italia dal 25 maggio 2018, qualifica lo studio legale come titolare del trattamento ogni volta che determina le finalità e i mezzi con cui tratta dati personali di clienti, controparti, testimoni, collaboratori e dipendenti (art. 4, n. 7, GDPR). Non conta la dimensione dello studio: anche l’avvocato in forma individuale rientra nell’ambito soggettivo del Regolamento.
Il quadro normativo italiano si compone del GDPR, del D.Lgs. 196/2003 (Codice Privacy) come riscritto dal D.Lgs. 101/2018 di adeguamento, e dei provvedimenti del Garante per la protezione dei dati personali. Le Linee guida del CNF del 2018 chiariscono che il segreto professionale ex art. 6 della L. 247/2012 (Legge professionale forense) non crea un’esenzione dal GDPR: le due discipline operano su piani distinti e si integrano senza deroga reciproca.
Lo studio legale tratta categorie ordinarie di dati (nome, indirizzo, codice fiscale) e spesso categorie particolari ai sensi dell’art. 9 GDPR: dati sulla salute in cause di risarcimento del danno, dati relativi a condanne penali e reati ex art. 10 GDPR in materia penalistica, dati di minori nelle separazioni. Per queste categorie il Regolamento impone basi giuridiche specifiche e misure di sicurezza rafforzate.
La base giuridica prevalente per il trattamento è l’art. 6, par. 1, lett. b) GDPR (esecuzione del contratto di prestazione d’opera intellettuale) e, per i dati particolari, l’art. 9, par. 2, lett. f) GDPR (accertamento, esercizio o difesa di diritti in sede giudiziaria). L’informativa ai sensi degli artt. 13 e 14 GDPR va rilasciata al momento della raccolta dei dati — non è sufficiente inserirla genericamente nel sito web dello studio.
Come funziona in pratica
Scenario 1 — Il fascicolo del cliente nella causa di separazione
L’avvocato Rossi gestisce una causa di separazione conflittuale. Il fascicolo contiene referti medici del coniuge assistito, certificati psicologici dei figli minori e estratti conto bancari. Tutti questi documenti contengono dati particolari (salute) e dati di soggetti terzi (i minori e il coniuge avversario). Rossi deve indicare nel registro dei trattamenti (art. 30 GDPR) la finalità «assistenza legale in procedimento di separazione», la categoria di dati «dati relativi alla salute», le misure di sicurezza adottate e il termine di conservazione.
Il termine di conservazione non è libero: il Garante, nel provvedimento del 24 maggio 2018 (doc. web n. 8998694), indica che i dati del fascicolo vanno conservati per il tempo necessario all’adempimento dell’incarico e, successivamente, per il periodo di prescrizione ordinaria decennale ex art. 2946 c.c., salvo eccezioni. Al termine, Rossi deve procedere alla cancellazione sicura — non il semplice spostamento nel cestino del computer, ma la sovrascrittura o la distruzione fisica dei supporti.
L’informativa ex art. 13 GDPR va consegnata al cliente al momento del conferimento del mandato, insieme all’eventuale nomina dell’avvocato a responsabile del trattamento se il cliente è a sua volta un titolare (ad esempio, una società). Il documento non può essere incorporato silenziosamente nel contratto di prestazione: deve essere autonomo, chiaro e facilmente accessibile.
Scenario 2 — L’attacco ransomware allo studio
Lo studio associato Bianchi & Verdi subisce un attacco ransomware alle 9:00 di lunedì mattina: i server interni vengono cifrati e i fascicoli di 200 clienti diventano inaccessibili. I soci si rendono conto alle 10:30 che i dati sono stati anche esfiltrati (l’attaccante minaccia di pubblicarli). Questo è un data breach ai sensi dell’art. 4, n. 12, GDPR: una violazione della sicurezza che compromette riservatezza, integrità e disponibilità dei dati personali.
L’art. 33 GDPR impone la notifica al Garante entro 72 ore dalla scoperta — quindi entro giovedì mattina alle 10:30 al più tardi. La notifica si effettua tramite il portale telematico del Garante (https://www.gpdp.it) e deve contenere: natura della violazione, categorie e numero approssimativo di interessati, dati di contatto del DPO o del responsabile interno, probabili conseguenze e misure adottate o proposte. Se lo studio non ha nominato un DPO (cosa frequente per gli studi di piccole dimensioni, dove non è obbligatorio), indica il referente privacy interno.
Se la violazione rischia di causare un danno elevato agli interessati — e l’esfiltrazione di fascicoli legali quasi sempre lo è — scatta anche l’obbligo di comunicazione diretta ai clienti ex art. 34 GDPR «senza ingiustificato ritardo». Lo studio Bianchi & Verdi deve quindi inviare una comunicazione individuale a ciascuno dei 200 clienti, spiegando cosa è successo, quali dati sono stati coinvolti e cosa fare per proteggersi (ad esempio, monitorare i propri dati bancari o cambiare password).
Il registro dei trattamenti: come compilarlo davvero
L’art. 30 GDPR obbliga il titolare a tenere un registro scritto (anche elettronico) dei trattamenti. Per uno studio legale, le attività tipiche da registrare includono almeno: gestione dei fascicoli clienti, gestione del personale dipendente, contabilità e fatturazione, comunicazioni di marketing (newsletter, inviti a convegni), videosorveglianza (se presente). Per ogni attività il registro deve indicare finalità, categorie di dati, categorie di destinatari, trasferimenti verso paesi terzi, termini di cancellazione e misure di sicurezza (art. 30, par. 1, lett. a-g, GDPR).
| Attività di trattamento | Base giuridica | Categorie di dati | Termine conservazione |
|---|---|---|---|
| Gestione fascicoli clienti | Art. 6(1)(b) + art. 9(2)(f) GDPR | Ordinari + particolari (salute, penali) | Durata incarico + 10 anni (art. 2946 c.c.) |
| Gestione personale dipendente | Art. 6(1)(b)(c) GDPR + D.Lgs. 196/2003 | Ordinari + salute (certificati malattia) | 10 anni dalla cessazione del rapporto |
| Fatturazione e contabilità | Art. 6(1)(c) GDPR + D.P.R. 633/1972 | Ordinari (dati fiscali) | 10 anni (art. 2220 c.c.) |
| Newsletter e comunicazioni | Art. 6(1)(a) GDPR (consenso) | Ordinari (email, nome) | Fino alla revoca del consenso |
| Videosorveglianza locali | Art. 6(1)(f) GDPR (legittimo interesse) | Immagini (dati biometrici potenziali) | 24-72 ore (Provvedimento Garante 8/4/2010) |
Gli errori più comuni e come evitarli
-
Non tenere affatto il registro dei trattamenti.
Molti studi piccoli ritengono che l’obbligo riguardi solo le grandi aziende. L’art. 30, par. 5, GDPR prevede un’esenzione solo per organizzazioni con meno di 250 dipendenti che trattano dati solo occasionalmente e senza rischi elevati per i diritti degli interessati. Uno studio legale tratta dati in modo sistematico e spesso categorie particolari: l’esenzione non si applica quasi mai. Soluzione: redigere subito il registro, anche in formato Excel o Word, mappando le attività reali dello studio. Il Garante ha pubblicato un modello orientativo sul proprio sito. -
Usare l’informativa privacy generica scaricata da internet.
L’informativa deve essere specifica per lo studio, indicare le finalità reali del trattamento, i tempi di conservazione effettivi e i dati di contatto del titolare. Un’informativa copiata e incollata che non menziona le categorie di dati particolari trattate (salute, penali) è non conforme all’art. 13 GDPR e può essere sanzionata. Soluzione: redigere un’informativa su misura per ogni tipologia di cliente (privato, società, minore assistito tramite genitore) e aggiornarla ogni volta che cambia una finalità di trattamento. -
Non regolarizzare i rapporti con i fornitori IT come responsabili del trattamento.
Il provider del gestionale dello studio, il cloud dove si conservano i fascicoli, la piattaforma di posta elettronica: tutti trattano dati personali per conto dello studio. L’art. 28 GDPR impone di stipulare con ciascuno un contratto scritto che regoli istruzioni, misure di sicurezza, sub-appalto e audit. Senza questo contratto, lo studio è esposto a sanzioni. Soluzione: verificare se il provider ha già un DPA (Data Processing Agreement) standard e, in caso contrario, predisporne uno e farlo firmare prima di qualsiasi trasferimento di dati. -
Ignorare il data breach o ritardarne la notifica.
Un furto di laptop, un’email inviata per errore al destinatario sbagliato con documenti riservati allegati, una cartella condivisa cloud accessibile pubblicamente per una configurazione errata: tutti sono potenziali data breach. Lo studio spesso li gestisce internamente senza notificare il Garante, sperando che non emergano. Il termine di 72 ore dell’art. 33 GDPR è perentorio. Soluzione: adottare una procedura interna scritta che definisca chi deve essere informato in caso di violazione, chi effettua la valutazione del rischio e chi invia la notifica al Garante. -
Non formare il personale dello studio.
Segretari, praticanti e collaboratori sono i primi punti di contatto con i dati dei clienti. Un praticante che risponde a una richiesta via WhatsApp con documenti del fascicolo, o una segretaria che lascia incustodito il registro delle udienze in uno spazio comune, genera un rischio reale. L’art. 29 GDPR impone che chi tratta dati lo faccia solo su istruzione del titolare. Soluzione: organizzare almeno una sessione formativa annuale, documentarla e far firmare agli incaricati una lettera di incarico che definisce i dati a cui possono accedere e le modalità di trattamento. -
Usare strumenti cloud esteri senza verificare la conformità al trasferimento internazionale.
Dropbox, Google Drive, Microsoft 365 o strumenti di videoconferenza con server fuori SEE impongono valutazioni ai sensi degli artt. 44-49 GDPR e del meccanismo EU-US Data Privacy Framework (decisione di adeguatezza della Commissione del 10 luglio 2023). Molti studi li usano senza aver verificato se il provider aderisce al Framework o ha adottato le Clausole Contrattuali Standard (SCC) aggiornate dalla decisione 2021/914/UE. Soluzione: consultare il registro del provider e, se necessario, completare una Transfer Impact Assessment (TIA) prima di affidare dati sensibili a servizi con server extra-UE.
Riferimenti normativi e giurisprudenziali
| Norma / Provvedimento | Contenuto rilevante per gli studi legali |
|---|---|
| Regolamento UE 2016/679 (GDPR), artt. 4, 6, 9, 13, 28, 30, 33, 34, 83 | Definizioni, basi giuridiche, obblighi del titolare, registro, notifica data breach, sanzioni fino a 20 milioni € o 4% fatturato globale |
| D.Lgs. 196/2003 (Codice Privacy) come mod. da D.Lgs. 101/2018 | Disciplina nazionale di adeguamento al GDPR; norme specifiche su dati giudiziari (art. 2-octies) e trattamenti a fini di giustizia (art. 2-duodecies) |
| Provvedimento Garante 24 maggio 2018, doc. web n. 8998694 | Linee guida sul trattamento dei dati personali nell’ambito dei rapporti di lavoro e, per analogia, sui termini di conservazione dei fascicoli professionali |
| Decisione Commissione UE 2021/914/UE (Clausole Contrattuali Standard) | Moduli SCC aggiornati per trasferimenti verso paesi terzi; obbligatori per contratti con fornitori cloud extra-SEE stipulati o rinnovati dopo il 27 dicembre 2022 |
| Decisione Commissione UE del 10 luglio 2023 (EU-US Data Privacy Framework) | Adeguatezza USA per trasferimenti verso operatori certificati DPF; sostituisce lo Shield invalidato dalla sentenza Schrems II (CGUE, C-311/18, 16 luglio 2020) |
| Garante, provvedimento n. 9892277 del 9 giugno 2022 (sanzione a studio professionale) | Il Garante ha sanzionato uno studio per mancata adozione di misure tecniche adeguate e assenza di registro dei trattamenti: conferma che gli studi professionali non sono esenti dagli obblighi GDPR |
| L. 247/2012 (Ordinamento professionale forense), art. 6 | Segreto professionale: obbligo che coesiste con il GDPR senza deroga; le informazioni coperte da segreto restano protette anche nell’ambito della gestione privacy |
Domande frequenti
Gli studi legali con meno di 250 dipendenti devono tenere il registro dei trattamenti?
Sì, quasi sempre. L’art. 30, par. 5, GDPR prevede un’esenzione per le organizzazioni sotto i 250 dipendenti solo se il trattamento non è sistematico, non riguarda categorie particolari di dati e non comporta rischi per i diritti degli interessati. Uno studio legale tratta dati in modo continuativo, spesso include dati sulla salute o dati giudiziari, e gestisce fascicoli con informazioni sensibili: le condizioni per l’esenzione non si verificano nella pratica quotidiana di nessuno studio attivo.
Cosa succede se non notifico un data breach al Garante entro 72 ore?
Il mancato rispetto del termine di 72 ore dall’art. 33 GDPR espone il titolare a sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo (art. 83, par. 4, GDPR). Il Garante valuta anche se il ritardo ha aggravato il danno agli interessati. In caso di notifica tardiva, è comunque obbligatorio effettuarla indicando i motivi del ritardo: una notifica tardiva è meglio dell’omissione totale, che può far scattare la soglia sanzionatoria massima dell’art. 83, par. 5, GDPR.
Lo studio legale deve nominare un DPO (Data Protection Officer)?
L’obbligo di nomina del DPO ex art. 37 GDPR scatta per i soggetti pubblici, per chi effettua monitoraggio sistematico su larga scala o tratta categorie particolari su larga scala. Un piccolo studio legale individuale o associato non rientra normalmente in queste categorie e non è obbligato alla nomina. È però consigliabile designare un referente interno per la privacy, documentare tale designazione e, per studi di medie dimensioni con molti fascicoli sensibili, valutare la nomina volontaria di un DPO esterno.
Come devo gestire la privacy quando utilizzo ChatGPT o altri strumenti AI per redigere atti?
Se inserisci dati personali dei clienti (nomi, fatti di causa, dati fiscali) nei prompt di strumenti AI come ChatGPT in versione consumer, stai trasferendo quei dati a un soggetto terzo senza base giuridica adeguata e senza contratto ex art. 28 GDPR. Devi anonimizzare i dati prima di inserirli nel prompt oppure utilizzare versioni enterprise del servizio (es. ChatGPT Enterprise, Microsoft Copilot con tenant aziendale) che offrono un DPA e garantiscono che i dati non vengano usati per addestrare i modelli.