supersqualo
Architetti

Privacy GDPR clienti architetto: dati progetto e modulistica consenso con IA

Conservi planimetrie, dati catastali, foto di interni, codici fiscali. Sei titolare del trattamento. Il GDPR si applica a te eccome. Come gestisci tutto senza affogare nei moduli.

Di Super Squalo·5 min lettura·

Cliente nuovo. Ti manda via WhatsApp la planimetria della casa, una foto del suo soggiorno, il codice fiscale per la pratica catastale, il numero di telefono della moglie per gli appuntamenti. Tu salvi tutto nella cartella del progetto su Google Drive. Mai gli hai chiesto un consenso, mai gli hai dato un'informativa, mai hai scritto una riga sul registro dei trattamenti. Hai gia tre violazioni GDPR. Sanzioni potenziali: fino al 4% del fatturato annuo.

L'IA non ti salva dal Garante. Ti aiuta solo a costruire la modulistica e a tenere ordinata la documentazione. Il resto e responsabilita tua.

Il problema: l'architetto e titolare del trattamento, sempre

Quando un cliente ti affida un progetto, tratti i suoi dati personali. Dati identificativi (nome, indirizzo, codice fiscale), dati catastali (proprieta immobili, valori), dati patrimoniali (per pratiche bancarie/mutui), foto degli ambienti (dati che possono identificare lo stile di vita). Il GDPR (Reg. UE 2016/679) ti qualifica come titolare del trattamento ex art. 4. Hai obblighi precisi: informativa, base giuridica, sicurezza, registro trattamenti, gestione data breach, eventualmente DPIA.

Il Garante italiano ha sanzionato studi professionali (avvocati, commercialisti, architetti) per cifre tra 2.000 e 50.000 euro. Le ispezioni partono spesso da segnalazioni di ex clienti scontenti.

Come si fa: modulistica essenziale generata con IA

L'IA ti aiuta a generare i template. Tu li adatti al tuo studio specifico. Ecco il prompt che funziona.

Sei un consulente privacy esperto di GDPR italiano e Codice Privacy (D.Lgs 196/2003 aggiornato). Generami per uno studio di architettura italiano: 1) informativa privacy per cliente persona fisica (art. 13 GDPR), 2) modulo consenso fotografie immobile per portfolio (consenso revocabile), 3) bozza registro dei trattamenti ex art. 30 GDPR adattata a studio architetti con elenco categorie tipiche (dati cliente, dati immobile, comunicazioni a Comuni e ASL), 4) procedura interna gestione data breach. Lingua italiana, riferimenti normativi precisi, niente clausole vessatorie nascoste. Non sostituisci il DPO se necessario.

Quello che esce e una bozza. La rivedi tu o il tuo consulente privacy. La adatti ai tuoi flussi reali. La fai firmare al cliente al primo incontro, non a meta progetto.

I dati che non devi mai caricare su IA pubbliche

ChatGPT free, Claude free, Gemini gratuito: i dati che gli passi possono essere usati per addestramento (a meno che tu non abbia disabilitato esplicitamente l'opzione). Mai caricare:

  • Planimetrie con dati catastali del cliente identificabili
  • Codici fiscali, dati anagrafici, indirizzi privati
  • Foto di interni con elementi identificativi (volti, quadri di valore, documenti)
  • Contratti e preventivi firmati con nomi reali
  • Comunicazioni avvocato-cliente in caso di contenziosi

Se devi usare l'IA per lavorare su una pratica: anonimizza prima. Sostituisci nomi con "Cliente X", indirizzi con "Via Generica 1", codici fiscali rimuovi del tutto. Vedi la voce dizionario su anonimizzazione.

I 4 errori GDPR che vedo in studio

  • Cartelle condivise senza controllo accessi. Drive aziendale con tutti i clienti, tutti i collaboratori vedono tutto. Violazione del principio di minimizzazione.
  • WhatsApp come canale ufficiale. Va bene per coordinamento veloce, mai per scambio documenti sensibili. Usa canali con cifratura end-to-end e cancellazione programmata.
  • Nessuna informativa firmata al primo incontro. La firmi sempre, prima di qualsiasi raccolta dati. Doppia copia, una al cliente.
  • Conservazione dati oltre il necessario. Finito il progetto + termini di legge per la conservazione professionale (10 anni civilistici), cancelli o anonimizzi. Non tieni tutto per sempre.

Deontologia: segreto professionale e GDPR

Il Codice Deontologico CNAPPC all'art. 14 ti impone il segreto professionale. Il GDPR rinforza questo obbligo con sanzioni amministrative. I due piani convivono: violare il segreto professionale e illecito disciplinare (sanzione dell'Ordine) e illecito GDPR (sanzione Garante). Doppio rischio.

Esempio: un collega ti chiede info su un progetto che hai fatto per il tuo vicino. Glielo racconti al bar. Violazione segreto professionale ex art. 14 Codice CNAPPC + potenziale comunicazione non autorizzata di dati personali ex GDPR. Vedi anche cosa non fare con l'IA in studio.

Il registro dei trattamenti: lo strumento che salva

Il registro ex art. 30 GDPR e obbligatorio salvo eccezioni molto limitate (organizzazioni sotto 250 dipendenti senza trattamenti a rischio, condizione difficilmente verificata per architetti che trattano dati patrimoniali e catastali). Pratico: foglio Excel o file Word strutturato. Lo aggiorni a ogni nuovo trattamento o modifica. Ti permette in caso di ispezione di rispondere in mezz'ora invece di andare nel panico.

Contenuti minimi del registro: tipologie di interessati (clienti, fornitori, dipendenti), categorie di dati trattati, finalita, basi giuridiche, destinatari, eventuali trasferimenti extra-UE, tempi di conservazione, misure di sicurezza. L'IA ti genera la struttura. Tu la riempi con i dati del tuo studio.

Il data breach: cosa fare nelle prime 72 ore

Ti rubano il portatile con tutti i dati clienti dentro. Hai 72 ore per notificare al Garante (art. 33 GDPR) e potenzialmente agli interessati (art. 34 GDPR). Procedura interna pronta: 1) blocco accessi, 2) valutazione gravita, 3) compilazione modulistica online Garante, 4) comunicazione clienti coinvolti se il rischio e elevato. Senza procedura, le 72 ore evaporano e ti becchi sanzione doppia (per il breach e per la mancata notifica).

Domande frequenti

Devo nominare un DPO se sono uno studio piccolo?

In generale no, il DPO e obbligatorio solo per trattamenti su larga scala o dati particolari. Studio individuale o piccolo team: non obbligato. Consigliato comunque un consulente privacy esterno annuale.

Posso pubblicare foto dei miei lavori sul portfolio web?

Solo con consenso scritto del cliente. Anche se la casa e tua opera intellettuale (diritto d'autore ti tutela art. 2 L. 633/1941), gli interni sono privacy del cliente. Consenso esplicito, revocabile.

Le mail con il cliente devo conservarle per quanto?

Termini di prescrizione contrattuale: 10 anni dalla chiusura del rapporto per documentazione tecnica e contabile. Dopo, cancelli o archivi in modo cifrato e accesso limitato.

Se uso un cloud americano (Google Drive, Dropbox) violo il GDPR?

Non automaticamente, dipende dalle clausole contrattuali e dal trasferimento dati extra-UE. Dopo Schrems II il quadro e complesso: i fornitori americani devono offrire garanzie aggiuntive (clausole tipo, Privacy Framework UE-USA 2023). Per studi piccoli soluzione semplice: usa account business con server europei dichiarati. Per dati sensibili: cloud europei (es. provider italiani con server in UE).

Posso registrare le riunioni con il cliente per appunti automatici?

Solo con consenso esplicito documentato. La registrazione e dato personale e biometrico (voce). Servono base giuridica chiara (consenso art. 6 GDPR) e informativa specifica. Senza consenso: illecito GDPR + potenziale violazione art. 615-bis c.p. (interferenze illecite vita privata).

Devo conservare le mail dei clienti su server italiani?

Non obbligatoriamente in Italia, ma in territorio UE o paesi con decisione di adeguatezza UE. Provider business europei (Aruba, Register.it, OVH Cloud con server UE) garantiscono compliance senza complicazioni. Server americani richiedono garanzie aggiuntive (clausole standard, Privacy Framework UE-USA).

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza