Ti arriva una mail il lunedì mattina: "Buongiorno, sono l'avvocato del Suo cliente Mario Rossi. Le chiedo copia di tutti i trattamenti dati che effettuate sui suoi dati personali ai sensi dell'art. 15 GDPR." Tu apri il cassetto del registro trattamenti. Dentro c'è un foglio Excel del 2019 mai più aggiornato, con nomi delle aziende invece dei trattamenti, e una colonna "finalità" tutta uguale: "adempimenti fiscali".
Sudi. Hai 30 giorni per rispondere. E hai il Garante in agguato se non rispondi bene.
Il GDPR (Reg. UE 679/2016) non è una pratica da fare una volta e dimenticare. È una vita parallela dello studio. L'IA generativa ti aiuta a tenerla in piedi senza impazzire, ma solo se usata bene.
Il problema: il GDPR fatto male è peggio del GDPR non fatto
Vedo studi con registro trattamenti finto, informativa privacy copiata dal sito di un'altra società, nessuna DPIA, nessuna procedura data breach. Quando arriva il problema (e arriva), la sanzione è doppia: per la violazione e per la documentazione raffazzonata che mostra mancanza di accountability.
L'art. 5 GDPR richiede il principio di accountability: devi essere in grado di dimostrare la conformità. Se la dimostrazione è un foglio Excel del 2019, sei nei guai.
Come si fa davvero: il prompt per il registro trattamenti
Il registro trattamenti (art. 30 GDPR) è il documento base. Ecco il prompt per costruirlo, senza dati reali nel chat:
Ruolo: Sei un DPO esperto in studi professionali commercialistici italiani, conoscenza approfondita del GDPR (Reg. UE 679/2016) e delle linee guida EDPB.
Compito: Genera la struttura completa del registro dei trattamenti per uno studio commercialistico tipo, da personalizzare poi sul caso concreto.
Profilo studio: Studio commercialista, 3 professionisti, 2 dipendenti, circa 200 clienti tra persone fisiche e società.
Output richiesto, per ogni trattamento:
- Nome del trattamento
- Finalità
- Base giuridica (art. 6 GDPR)
- Categorie di interessati
- Categorie di dati trattati (compresi eventuali dati ex art. 9)
- Destinatari
- Trasferimenti extra-UE
- Termini di conservazione
- Misure di sicurezza tecniche e organizzative
Trattamenti minimi da includere: tenuta contabilità, consulenza fiscale, gestione paghe, adempimenti AML, gestione PEC, marketing dello studio, gestione fornitori, gestione dipendenti dello studio.
Formato: Tabella strutturata, italiano professionale.
Output che ti dà la struttura. Tu la adatti al tuo studio, la firmi, la conservi. Aggiornamento annuale minimo, o ogni volta che introduci un nuovo trattamento (esempio: hai iniziato a usare l'IA per le risposte AdE? Nuovo trattamento da aggiungere).
I 5 errori che fai sicuramente
- Hai un'informativa privacy unica per tutti i clienti. Sbagliata. Il cliente persona fisica e il cliente società hanno informative diverse, anche se simili.
- Non hai mai fatto la DPIA (valutazione d'impatto). Per attività ad alto rischio (es. trattamenti su larga scala di dati particolari) è obbligatoria.
- Non hai una procedura data breach scritta. Quando succede (chiavetta USB persa, mail mandata al destinatario sbagliato, PEC compromessa), 72 ore per notificare al Garante. Non si improvvisa.
- Non hai nominato i responsabili del trattamento (art. 28). Il fornitore del software gestionale, il fornitore dei servizi cloud, l'azienda della conservazione digitale: vanno tutti nominati con contratto art. 28.
- Stai usando ChatGPT consumer su dati reali dei clienti senza DPA. Quel ChatGPT è un responsabile esterno senza contratto, in USA, fuori dalle garanzie GDPR.
Privacy: l'IA stessa è un trattamento da registrare
Questa è la cosa che il 90% degli studi non sa. Se usi ChatGPT, Claude o Gemini per lavorare sui dati dei clienti, stai introducendo un nuovo trattamento e un nuovo responsabile esterno. Devi:
- Aggiungere il trattamento al registro
- Firmare il DPA (Data Processing Agreement) col fornitore - disponibile per le versioni Enterprise/Team
- Aggiornare l'informativa privacy al cliente menzionando l'uso di strumenti di IA
- Valutare se serve DPIA specifica (probabilmente sì se uso massivo)
Per la versione Enterprise di OpenAI, Anthropic e Google esistono DPA standard scaricabili dal portale del fornitore. Senza DPA, non lavorate su dati personali.
Riferimenti normativi che devi conoscere
- Reg. UE 679/2016 (GDPR): in particolare art. 5 (principi), art. 6 (base giuridica), art. 13-14 (informativa), art. 28 (responsabile), art. 30 (registro), art. 32 (sicurezza), art. 33-34 (data breach), art. 35 (DPIA).
- D.Lgs 196/2003 (Codice Privacy) come modificato dal D.Lgs 101/2018: normativa nazionale di adeguamento al GDPR.
- Provvedimenti del Garante Privacy: in particolare quelli specifici su studi professionali e quelli recenti sull'uso dell'IA generativa (provvedimento OpenAI marzo 2023 e successive interlocuzioni).
Per il collegamento tra GDPR e AML vedi antiriciclaggio e KYC con l'IA. Per la gestione delle PEC in entrata che possono contenere dati sensibili vedi PEC massiva con l'IA.
Domande frequenti
Devo nominare un DPO per il mio studio commercialistico?
Dipende dalla scala. La nomina del DPO è obbligatoria per soggetti che effettuano trattamenti su larga scala di dati particolari (art. 37 GDPR). Studio medio commercialistico tipicamente non ha obbligo, ma è buona pratica per studi grandi o multi-sede. Verifica caso per caso, anche con interpello al Garante se hai dubbi.
Posso usare l'IA per gestire le richieste di esercizio dei diritti (art. 15-22 GDPR)?
Per redigere la risposta tipo, sì. Per istruire la pratica concreta sui dati del cliente specifico, no se non hai ambiente sicuro (Enterprise + DPA). Il cliente che chiede l'accesso ai propri dati merita risposta umana e verificata.
Il consenso al trattamento serve sempre per i miei clienti?
No. Per le finalità di esecuzione del contratto di prestazione professionale e per gli adempimenti di legge (fiscali, AML), la base giuridica è l'art. 6.1.b e 6.1.c GDPR, non il consenso. Il consenso serve per finalità ulteriori, tipo marketing dei tuoi servizi accessori.
Sul mio canale Telegram Squalogruppo parliamo di GDPR applicato vero, niente moduli scaricati a 9,90€ che non servono a nulla.