Protezione dei dati

GDPR per studi legali: obblighi privacy dell'avvocato

GDPR per studi legali: segreto professionale, dati giudiziari art. 10, registro e DPO, PEC e cloud. Guida agli obblighi privacy dell'avvocato in Italia.

Also available in:Français·Deutsch

Un avvocato è titolare del trattamento dei dati dei propri assistiti e, come tale, soggetto al GDPR: nessuna esenzione professionale lo esonera. La particolarità dello studio legale è che tratta, per definizione, dati giudiziari — quelli relativi a condanne penali e reati disciplinati dall’art. 10 del Regolamento (UE) 2016/679 (GDPR) e dall’art. 2-octies del Codice Privacy — e opera sotto il segreto professionale, che va tenuto insieme, non in opposizione, agli obblighi privacy. Questa guida mette in fila gli adempimenti reali dello studio: basi giuridiche, registro, DPO, conservazione, e i due punti deboli pratici — PEC e cloud.

Punti chiave

  • L’avvocato è titolare del trattamento; il GDPR si applica a prescindere dalle dimensioni dello studio.
  • I dati giudiziari (art. 10 GDPR) sono trattabili solo nei limiti dell’art. 2-octies del Codice Privacy.
  • Il segreto professionale è complementare al GDPR, non alternativo.
  • Lo studio deve tenere il registro dei trattamenti anche sotto i 250 dipendenti.
  • I punti deboli concreti sono la gestione della PEC e la scelta dei fornitori cloud (responsabili ex art. 28).

Segreto professionale e GDPR: due obblighi, non un conflitto

Molti avvocati vivono il rapporto tra segreto professionale e GDPR come una tensione. In realtà i due piani si rafforzano a vicenda. Il segreto professionale forense tutela la riservatezza del rapporto tra difensore e assistito; il GDPR impone misure tecniche e organizzative per proteggere i dati personali. Rispettare il GDPR — controllo degli accessi, cifratura, conservazione limitata — è anche il modo tecnico per onorare il segreto.

Il segreto incide, semmai, sulla modulazione di alcuni obblighi: l’art. 9, par. 3 e l’art. 90 GDPR riconoscono la rilevanza degli obblighi di segretezza professionale, e l’art. 2-undecies del Codice Privacy prevede limitazioni all’esercizio dei diritti degli interessati quando ciò sia necessario per lo svolgimento delle investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria. Un avvocato può quindi legittimamente opporsi a una richiesta di accesso della controparte che comprometta la strategia difensiva del proprio assistito, motivando il diniego.

I dati giudiziari e la base giuridica del mandato

Il trattamento tipico dello studio riguarda dati relativi a condanne penali e reati (art. 10 GDPR). Il loro trattamento è ammesso solo se autorizzato dal diritto dell’Unione o nazionale che preveda garanzie appropriate: in Italia il perno è l’art. 2-octies del Codice Privacy, che demanda a norme di legge o a provvedimenti del Garante l’individuazione delle condizioni. Per l’attività forense, il fondamento pratico è lo svolgimento del mandato difensivo e l’esercizio del diritto di difesa (art. 24 Costituzione), che consente il trattamento anche di dati giudiziari e particolari nella misura necessaria alla tutela dei diritti in sede giudiziaria.

La base giuridica per i dati «ordinari» dell’assistito è l’esecuzione del contratto (il mandato, art. 6, par. 1, lett. b) e gli obblighi di legge (antiriciclaggio, fatturazione). Il consenso non è la base del mandato: l’assistito conferisce un incarico, non «acconsente» al trattamento come farebbe con una newsletter. Chiedere il consenso dove opera il mandato è, anche qui, un errore concettuale che confonde l’interessato.

Registro, DPO e conservazione

Registro dei trattamenti. Nonostante lo studio abbia quasi sempre meno di 250 dipendenti, l’esenzione dell’art. 30, par. 5 non opera: lo studio tratta in modo non occasionale categorie particolari e dati giudiziari. Il registro dei trattamenti è quindi dovuto. Va costruito per attività: gestione delle pratiche, contabilità, gestione del personale di studio, sito web e marketing.

DPO. L’avvocato singolo o il piccolo studio, di regola, non è obbligato a nominare il DPO: l’attività forense non costituisce «trattamento su larga scala» ai sensi dell’art. 37, salvo strutture di dimensioni davvero rilevanti. Resta possibile una nomina volontaria. Per capire quando scatta l’obbligo, vedi la guida sul Responsabile della protezione dei dati (RPD/DPO).

Conservazione. I fascicoli non si tengono per sempre. Il termine va ancorato alla durata del mandato, ai termini di prescrizione per eventuali contestazioni professionali e agli obblighi fiscali (dieci anni per la documentazione contabile). Superati i termini, i dati vanno cancellati o archiviati con accesso limitato: il tema è trattato nella guida sulla conservazione dei dati e limitazione temporale.

I due punti deboli: PEC e cloud

Nella pratica, le vulnerabilità degli studi non stanno nei grandi principi ma in due strumenti quotidiani.

La PEC. La posta elettronica certificata è il canale principale con tribunali, controparti e clienti. Contiene atti pieni di dati particolari e giudiziari. I rischi: caselle condivise senza tracciabilità di chi le usa, credenziali deboli, invio a destinatario errato, archiviazione non protetta. L’invio di un atto alla PEC sbagliata è una violazione di dati a tutti gli effetti, spesso con rischio elevato. Servono credenziali robuste, accessi tracciati e attenzione operativa negli invii.

Il cloud e i fornitori. Gestionali di studio, servizi di archiviazione documentale, software di fatturazione, piattaforme di firma: sono tutti responsabili del trattamento ex art. 28 e vanno nominati con un DPA che disciplini sicurezza, sub-responsabili e collocazione dei dati. Un fornitore che conserva i fascicoli su server extra-UE senza garanzie adeguate (artt. 44-49) espone lo studio. La scelta del fornitore è una scelta di conformità: vedi la nostra guida al software GDPR per PMI e piccole organizzazioni e le regole della nomina del responsabile del trattamento.

Impostare la conformità dello studio senza appesantirsi

La conformità di uno studio legale non richiede apparati sproporzionati, ma ordine: informativa agli assistiti, registro dei trattamenti, nomine dei fornitori come responsabili, istruzioni ai collaboratori come autorizzati, termini di conservazione dei fascicoli, procedura minima per le violazioni. Mantenere questi elementi coerenti, mentre si lavora sulle cause, è la difficoltà reale. Strumenti come Legiscope permettono di generare registro e informative a partire da un questionario e di tenere sotto controllo i contratti con i fornitori, così che lo studio resti conforme senza sottrarre tempo all’attività forense.

Per approfondire: il testo dell’art. 10 GDPR su EUR-Lex, il Codice Privacy su Normattiva per gli artt. 2-octies e 2-undecies, e le indicazioni del Garante per la protezione dei dati personali.

Domande frequenti

Un avvocato deve chiedere il consenso privacy all’assistito?

Di regola no. La base giuridica del trattamento è il mandato (esecuzione del contratto, art. 6, par. 1, lett. b) e, per i dati giudiziari e particolari, l’esercizio del diritto di difesa nei limiti dell’art. 2-octies e dell’art. 2-undecies del Codice Privacy. Va invece resa l’informativa (art. 13). Il consenso può servire solo per attività accessorie e facoltative, come una newsletter dello studio.

Uno studio legale deve tenere il registro dei trattamenti?

Sì. L’esenzione per le organizzazioni sotto i 250 dipendenti (art. 30, par. 5) non si applica perché lo studio tratta in modo non occasionale dati particolari e giudiziari. Il registro è quindi obbligatorio e va costruito per attività di trattamento (pratiche, contabilità, personale, sito web).

L’avvocato deve nominare un DPO?

In genere no. L’attività dei singoli professionisti o dei piccoli studi non integra un «trattamento su larga scala» ai sensi dell’art. 37 GDPR, salvo strutture di dimensioni particolarmente rilevanti. La nomina resta possibile su base volontaria. Va invece sempre valutata caso per caso in presenza di trattamenti massivi o sistematici.

Come deve gestire lo studio i fornitori software e cloud?

Come responsabili del trattamento ex art. 28 GDPR: ogni fornitore che tratta dati per conto dello studio (gestionale, archiviazione, cloud, firma digitale) va nominato con un contratto che disciplini misure di sicurezza, sub-responsabili e localizzazione dei dati. Occorre verificare che eventuali trasferimenti extra-UE siano assistiti da garanzie adeguate (artt. 44-49). È il punto in cui si concentra gran parte del rischio pratico.

Vedi anche: una tabella dei tempi di conservazione per i fascicoli e il GDPR per i commercialisti, professione con obblighi affini.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →