Uno studio di dottori commercialisti tratta ogni giorno enormi quantità di dati personali — buste paga dei dipendenti dei clienti, dati fiscali, movimenti bancari, dati dei soci — e la domanda che definisce tutti gli obblighi è una sola: lo studio agisce come titolare o come responsabile del trattamento? La risposta corretta, sostenuta dal CNDCEC, è che il commercialista è titolare autonomo quando eroga la propria prestazione professionale nell’esercizio di una funzione riservata (revisione, consulenza, adempimenti fiscali propri), ed è invece responsabile ex art. 28 GDPR quando elabora dati per conto del cliente seguendone le istruzioni, tipicamente nell’elaborazione delle paghe. Da questa qualificazione discendono la nomina, il registro dei trattamenti e i tempi di conservazione. Questa guida chiarisce ruoli, obblighi documentali e i punti dove il Garante concentra i controlli.
Punti chiave
- Il commercialista è titolare autonomo per la consulenza professionale e responsabile ex art. 28 quando gestisce paghe e adempimenti per conto del cliente.
- Il cliente-azienda deve nominare lo studio con un atto scritto ex art. 28, par. 3, del Regolamento (UE) 2016/679; lo studio a sua volta nomina i propri software house e portali.
- Le scritture contabili vanno conservate 10 anni (art. 2220 c.c. e art. 22 D.P.R. 600/1973): la conservazione è un obbligo legale, non un abuso del principio di limitazione.
- Gli obblighi antiriciclaggio (D.Lgs. 231/2007) impongono la conservazione decennale dei dati di adeguata verifica: una base giuridica distinta dal GDPR ma da coordinare con esso.
- Lo studio deve tenere il registro delle attività di trattamento anche sotto i 250 dipendenti, perché tratta categorie particolari e dati non occasionali.
Titolare o responsabile: la qualificazione che decide tutto
La distinzione non è teorica. Quando lo studio determina finalità e mezzi del trattamento — per esempio decide come organizzare l’archivio clienti, quali software usare, come gestire la propria attività di consulenza — è titolare del trattamento. Quando invece esegue istruzioni del cliente su dati che restano nella titolarità di quest’ultimo — l’elaborazione mensile delle buste paga dei dipendenti dell’azienda cliente — lo studio è responsabile del trattamento.
Il CNDCEC (Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili) ha chiarito che la maggior parte delle attività dello studio ricade nella titolarità autonoma, perché il professionista opera con indipendenza tecnica e nell’ambito di funzioni riservate dalla legge. L’elaborazione dei cedolini è il caso tipico in cui la qualifica di responsabile è più difendibile, poiché lo studio agisce per conto del datore di lavoro.
La conseguenza pratica: per le attività da responsabile serve la nomina ex art. 28; per quelle da titolare servono informativa propria, base giuridica propria e registro proprio. Per orientarsi nella distinzione dei ruoli è utile la guida alla nomina del responsabile del trattamento ex art. 28.
La nomina ex art. 28: chi nomina chi
Nel rapporto con l’azienda cliente si crea una catena di nomine che lo studio deve governare:
| Rapporto | Ruolo dello studio | Atto necessario |
|---|---|---|
| Azienda cliente → studio (paghe) | Responsabile | Nomina ex art. 28 dal cliente allo studio |
| Studio → software house gestionale | Titolare/Responsabile | Nomina ex art. 28 dallo studio al fornitore |
| Studio → portale trasmissione telematica | Responsabile o autonomo titolare | DPA o valutazione caso per caso |
| Studio → collaboratori interni | Titolare | Autorizzazione al trattamento ex art. 29 |
Molte aziende clienti dimenticano di nominare lo studio: è lo studio, per tutelarsi, a dover proporre e formalizzare l’atto di nomina. Allo stesso tempo lo studio deve nominare i propri fornitori — gestionale paghe, cloud, portali — perché ogni anello della catena tratta dati per suo conto. La nomina deve contenere gli otto obblighi tassativi dell’art. 28, par. 3: istruzioni documentate, riservatezza, misure di sicurezza ex art. 32, ricorso a sub-responsabili, assistenza al titolare, cancellazione o restituzione dei dati a fine rapporto, audit.
Conservazione: dieci anni, ma non per tutto
Il principio di limitazione della conservazione (art. 5, par. 1, lett. e, GDPR) impone di non conservare i dati oltre il necessario. Ma “necessario” per un commercialista significa spesso dieci anni, perché lo impongono altre norme:
- Scritture contabili: 10 anni ex art. 2220 c.c. e art. 22 D.P.R. 600/1973;
- Documentazione fiscale: fino alla decadenza dell’accertamento;
- Dati di adeguata verifica antiriciclaggio: 10 anni ex art. 31 D.Lgs. 231/2007;
- CV e candidature spontanee: 6-24 mesi secondo la prassi del Garante;
- Dati marketing dello studio: fino a revoca del consenso.
La chiave è distinguere i termini per categoria, come previsto dall’art. 5 del Regolamento (UE) 2016/679. Non si conserva tutto dieci anni: i dati di un candidato non assunto, o di un contatto marketing, seguono termini diversi da quelli delle scritture. Per costruire uno schema coerente conviene partire da una tabella dei tempi di conservazione per categoria e mappare ogni termine alla sua base normativa.
Antiriciclaggio e GDPR: due obblighi da coordinare
Gli obblighi antiriciclaggio del D.Lgs. 231/2007 impongono al commercialista adeguata verifica della clientela, conservazione dei dati e segnalazione delle operazioni sospette all’UIF. Questi trattamenti hanno base giuridica nell’obbligo legale (art. 6, par. 1, lett. c, GDPR): non serve consenso e i dati vanno conservati dieci anni. Il punto delicato è la segnalazione di operazione sospetta, che per legge non può essere comunicata all’interessato — una deroga ai diritti che va gestita nell’informativa e nel registro.
Il registro dei trattamenti è obbligatorio anche per lo studio piccolo
L’esenzione dell’art. 30, par. 5, per le realtà sotto i 250 dipendenti non si applica quasi mai a uno studio: si trattano dati non occasionali e categorie particolari (dati sanitari nelle buste paga, dati giudiziari nei contenziosi). Il registro va tenuto, distinguendo i trattamenti in cui lo studio è titolare da quelli in cui è responsabile. Si può partire da un modello di registro dei trattamenti e adattarlo alle attività dello studio.
Sul fronte sicurezza, lo studio deve predisporre una procedura di gestione delle violazioni: in caso di attacco ransomware o esfiltrazione, scatta l’obbligo di notifica della violazione al Garante entro 72 ore quando c’è rischio per gli interessati. Per gestire registro, nomine e data breach senza fogli Excel dispersi, molti studi valutano un software GDPR pensato per le PMI — utile a mantenere la documentazione ordinata e aggiornata quando i clienti crescono.
Cosa controlla il Garante negli studi professionali
Il Garante per la protezione dei dati personali interviene ricorrentemente su tre fronti: informative incomplete verso clienti e dipendenti, assenza di nomine nella catena dei fornitori, conservazione indeterminata dei dati senza termini documentati. Le decisioni e i modelli ufficiali sono pubblicati su garanteprivacy.it. Uno studio conforme dimostra, con documenti alla mano, di aver mappato ruoli, basi giuridiche e termini di conservazione.
FAQ
Il commercialista deve nominare un DPO?
Non c’è un obbligo automatico. Il DPO è obbligatorio ex art. 37 GDPR solo se l’attività principale consiste in trattamenti su larga scala di categorie particolari o in monitoraggio sistematico. Uno studio medio raramente vi rientra, ma la designazione volontaria è consigliabile quando si gestiscono molti clienti con dati sensibili. Vedi la guida agli obblighi e ai compiti del DPO.
Lo studio è titolare o responsabile per le buste paga?
Nella prassi più difendibile lo studio è responsabile del trattamento ex art. 28 quando elabora le paghe seguendo le istruzioni del datore di lavoro, che resta titolare. Serve quindi l’atto di nomina dal cliente allo studio. Per la consulenza fiscale autonoma, invece, lo studio è titolare.
Quanto vanno conservate le scritture contabili sotto il GDPR?
Dieci anni, in forza dell’art. 2220 c.c. e dell’art. 22 D.P.R. 600/1973. Il GDPR non riduce questo termine: la conservazione ha base giuridica nell’obbligo legale. Al termine, i dati vanno cancellati o anonimizzati se non sussistono altri obblighi.
Serve il consenso dei clienti per gli adempimenti fiscali?
No. Gli adempimenti fiscali e contributivi hanno base giuridica nell’obbligo legale e nel contratto (art. 6, par. 1, lett. b e c, GDPR). Il consenso serve solo per attività ulteriori e facoltative, come il marketing dello studio.
Vedi anche: il GDPR per gli studi legali, professione con obblighi documentali analoghi, e per le banche, con cui si scambiano dati finanziari dei clienti.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial