L’informativa privacy per commercialisti è il documento con cui lo studio spiega in modo chiaro come raccoglie, usa, conserva e protegge i dati personali, in conformità al GDPR e alla normativa italiana. Indica chi è il titolare, le finalità e le basi giuridiche del trattamento, i tempi di conservazione, con chi i dati possono essere condivisi e se vi sono trasferimenti fuori dallo SEE, oltre ai diritti degli interessati e alle modalità per esercitarli. Serve a garantire trasparenza e fiducia verso clienti e fornitori, a dimostrare accountability, e a ridurre rischi e sanzioni. È anche uno strumento operativo che organizza i flussi informativi interni e uniforma le comunicazioni dello studio.
Come scrivere Informativa privacy commercialisti
Un’informativa privacy per uno studio di commercialisti deve rispettare i principi di trasparenza, correttezza e chiarezza previsti dagli articoli 12–14 del GDPR e dalla normativa italiana, e dunque spiegare in modo comprensibile chi tratta i dati, per quali finalità, su quali basi giuridiche, per quanto tempo e con quali diritti per gli interessati. Deve innanzitutto identificare con precisione il titolare del trattamento, specificando se si tratta di un professionista individuale, di uno studio associato, di una società tra professionisti o di una rete; vanno indicati la sede, i recapiti, compresa un’email o PEC per le richieste privacy, e, se nominato, il contatto del Responsabile della protezione dei dati. Se nello studio esistono contitolarità, va resa nota l’essenza dell’accordo tra contitolari che disciplina le rispettive responsabilità nei confronti degli interessati.
È necessario descrivere quali categorie di dati vengono trattate e da dove provengono. Per l’ordinaria gestione del mandato professionale rientrano dati identificativi e di contatto, informazioni fiscali, contabili e bancarie, comunicazioni e documentazione di lavoro. Se lo studio svolge adempimenti in materia di lavoro e paghe per conto dei clienti, può trattare dati dei dipendenti dei clienti, anche rientranti nelle categorie particolari come dati sanitari o sindacali, e in alcuni casi dati giudiziari, sempre con le garanzie richieste dalla legge. In ambito antiriciclaggio vengono trattati dati e documenti per l’adeguata verifica della clientela, compresi documenti di identità e informazioni sull’assetto proprietario; è opportuno chiarire che i dati possono provenire anche da fonti pubbliche, registri, banche dati istituzionali e da terzi legittimamente autorizzati.
Le finalità e le basi giuridiche vanno illustrate con precisione. Il trattamento è necessario per l’esecuzione di misure precontrattuali e del contratto di incarico con il cliente, per adempiere a obblighi legali in materia fiscale, contabile, societaria, previdenziale e antiriciclaggio, e per la gestione della responsabilità professionale e della difesa in giudizio. Possono essere invocati interessi legittimi per la sicurezza dei sistemi, la prevenzione di frodi e l’organizzazione interna, nonché per inviare aggiornamenti tecnico-normativi a clienti attivi in un’ottica di relazione professionale, fermo restando il diritto di opposizione. Il consenso è richiesto solo per trattamenti non necessari, come comunicazioni promozionali o inviti a eventi rivolti a non clienti o contenuti non strettamente attinenti al mandato. Se vengono trattate categorie particolari di dati per servizi di amministrazione del personale, la base giuridica discende dalle specifiche norme di diritto del lavoro e di sicurezza sociale o dalla necessità di accertare o difendere un diritto in sede giudiziaria; per dati giudiziari occorrono i presupposti di legge e adeguate garanzie.
È opportuno chiarire se vi sono processi decisionali automatizzati o profilazioni. Di norma gli studi non adottano decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici; se si applicano metodologie di valutazione del rischio ai fini antiriciclaggio, va spiegata in sintesi la logica utilizzata e le conseguenze previste, precisando che non si tratta di decisioni autonome su persone ma di supporti alla conformità normativa.
L’informativa deve indicare chi può ricevere i dati. All’interno dello studio accedono solo soggetti autorizzati e istruiti, vincolati alla riservatezza. All’esterno possono essere coinvolti fornitori nominati responsabili del trattamento, come società IT, gestionali in cloud, servizi di conservazione e distruzione documenti, consulenti e collaboratori, sostituti in caso di impedimento, corrieri e servizi postali. Vanno menzionati i destinatari autonomi quando la comunicazione discende dalla legge o è necessaria all’incarico, come amministrazioni e autorità, Agenzia delle Entrate, INPS e INAIL, Camere di Commercio, banche, assicurazioni per la polizza professionale, notai e avvocati, nonché l’Ordine professionale nei limiti delle proprie funzioni. Se i dati vengono trasferiti fuori dallo Spazio Economico Europeo, ad esempio perché alcuni servizi cloud hanno sedi extra UE, occorre indicare il meccanismo di trasferimento utilizzato, come decisioni di adeguatezza o clausole contrattuali standard, e come ottenere una copia delle garanzie.
I tempi di conservazione devono essere specifici e giustificati. La documentazione civilistica e fiscale connessa all’incarico è di norma conservata per dieci anni dalla cessazione del rapporto o dai termini di legge; gli obblighi antiriciclaggio impongono la conservazione dei dati di adeguata verifica per dieci anni dalla conclusione del rapporto continuativo o dell’operazione; la corrispondenza precontrattuale è conservata per un periodo limitato orientato alla gestione dei contatti; i dati necessari alla difesa in giudizio sono conservati sino alla definizione del contenzioso e allo spirare dei termini di prescrizione; i curricula ricevuti nell’ambito di selezioni sono mantenuti per un periodo coerente con il processo di ricerca, generalmente non oltre dodici mesi, salvo consenso alla conservazione prolungata; i dati trattati per newsletter o inviti sono conservati fino alla revoca del consenso o all’opposizione.
Devono essere spiegati i diritti riconosciuti agli interessati, cioè accesso, rettifica, cancellazione nei limiti di legge, limitazione, portabilità quando applicabile, opposizione ai trattamenti basati sull’interesse legittimo o su finalità di marketing, e il diritto di revocare il consenso senza pregiudicare la liceità dei trattamenti effettuati prima della revoca. Vanno illustrate le modalità per esercitarli e i tempi di risposta, e indicato il diritto di proporre reclamo al Garante per la protezione dei dati personali. È utile chiarire la natura obbligatoria o facoltativa del conferimento dei dati, evidenziando che quelli necessari all’esecuzione del mandato e all’adempimento degli obblighi legali sono indispensabili e il mancato conferimento può impedire l’assunzione o la prosecuzione dell’incarico, mentre i dati destinati a finalità ulteriori sono facoltativi.
Nel contesto professionale è importante precisare i ruoli. Lo studio agisce normalmente come titolare nei confronti dei dati dei propri clienti e per gli adempimenti che la legge pone direttamente in capo al commercialista. Quando svolge attività per conto del cliente in cui quest’ultimo determina finalità e mezzi, come la gestione paghe o il trattamento dei dati dei dipendenti del cliente, lo studio opera come responsabile del trattamento sulla base di un accordo scritto con il cliente-titolare; in tali casi l’informativa ai dipendenti spetta al datore di lavoro, mentre lo studio applica le istruzioni ricevute. Se più professionisti condividono mezzi e finalità come in uno studio associato, l’informativa deve chiarire la contitolarità e come gli interessati possano esercitare i propri diritti.
La sezione sulla sicurezza deve descrivere, senza compromettere le misure stesse, che sono in atto misure tecniche e organizzative adeguate al rischio, come controlli di accesso, autenticazioni robuste, cifratura e backup, politiche per la gestione dei documenti cartacei e delle credenziali, formazione del personale, accertamento dell’affidabilità dei fornitori, registri dei trattamenti e, quando richiesto, valutazioni d’impatto. Va inoltre richiamato che, per legge, in ambito antiriciclaggio possono applicarsi limiti a taluni diritti e agli obblighi di informazione, ad esempio quando la comunicazione all’interessato potrebbe pregiudicare la prevenzione o l’accertamento di reati o violazioni; è bene far presente che la normativa antiriciclaggio vieta di informare il cliente dell’eventuale invio di una segnalazione di operazione sospetta.
Se i dati non sono ottenuti direttamente dall’interessato, l’informativa deve chiarire quali categorie di dati sono acquisite e da quali fonti, entro quali termini viene resa l’informazione e in quali circostanze la legge consente di non fornirla perché impossibile o tale da compromettere le finalità del trattamento. Qualora lo studio raccolga dati tramite il sito web, occorre coordinare l’informativa generale con l’informativa del sito e la cookie policy, indicando strumenti di tracciamento utilizzati, basi giuridiche e tempi di conservazione.
Infine è buona prassi indicare la data di aggiornamento dell’informativa, spiegare come verranno comunicate eventuali modifiche sostanziali e conservare versioni storicizzate, in modo che clienti e interessati possano verificarne l’evoluzione nel tempo. Questa struttura consente a un commercialista di soddisfare gli obblighi informativi, adattando il contenuto alle attività effettivamente svolte e ai flussi di dati dello studio.
Esempio Informativa privacy commercialisti
Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e della normativa nazionale applicabile, La/Vi informiamo quanto segue.
Titolare del trattamento
– Denominazione/Ragione sociale: _______________
– Sede legale/operativa: _______________
– C.F./P.IVA: _______________
– Rappresentante legale: _______________
– Contatti (telefono): _______________
– Email: _______________
– PEC: _______________
Dati di contatto del Responsabile della Protezione dei Dati (se nominato)
– Nome/Cognome o Denominazione: _______________
– Email/PEC: _______________
– Telefono: _______________
Categorie di interessati
– Clienti persone fisiche e ditte individuali.
– Referenti, legali rappresentanti e dipendenti di clienti/fornitori persone giuridiche.
– Dipendenti/collaboratori dei clienti per i servizi di amministrazione del personale e paghe.
– Soggetti terzi i cui dati siano contenuti nella documentazione fornita ai fini dell’incarico professionale.
Tipologie di dati trattati
– Dati anagrafici e di contatto (nome, cognome, C.F., P.IVA, indirizzo, email, telefono).
– Dati fiscali, contabili e previdenziali; dati bancari e di pagamento.
– Dati relativi a rapporti di lavoro (inquadramento, retribuzioni, presenze, infortuni).
– Dati relativi a provvedimenti sanzionatori e contenziosi, se rilevanti ai fini dell’incarico.
– Dati particolari ex art. 9 GDPR eventualmente trattati nell’ambito paghe/HR (es. appartenenza sindacale, dati idonei a rivelare lo stato di salute relativi a certificazioni di malattia/infortunio) nei limiti di necessità.
– Dati giudiziari ex art. 10 GDPR se richiesti da obblighi di legge o per la difesa in giudizio.
– Dati di navigazione e log telematici per l’uso di portali/aree riservate, se attivati.
Finalità e basi giuridiche del trattamento
– Esecuzione di misure precontrattuali e del contratto professionale (consulenza contabile, fiscale, societaria, paghe, adempimenti e deleghe): art. 6, par. 1, lett. b) GDPR.
– Adempimento di obblighi di legge e regolamentari (fiscali, contabili, previdenziali, antiriciclaggio ai sensi del D.Lgs. 231/2007, comunicazioni a PA/Autorità): art. 6, par. 1, lett. c) GDPR; per dati particolari art. 9, par. 2, lett. b) GDPR.
– Gestione dell’antiriciclaggio (adeguata verifica della clientela, conservazione e segnalazioni): art. 6, par. 1, lett. c) GDPR; D.Lgs. 231/2007.
– Difesa di un diritto in sede giudiziaria o stragiudiziale: art. 6, par. 1, lett. f) GDPR; per dati particolari art. 9, par. 2, lett. f) GDPR.
– Gestione organizzativa e di sicurezza dei sistemi (log, backup, business continuity): art. 6, par. 1, lett. f) GDPR.
– Invio di comunicazioni di aggiornamento normativo e di cortesia su servizi analoghi a quelli già acquistati (soft opt-in, ove applicabile): art. 6, par. 1, lett. f) GDPR, con facoltà di opposizione.
– Marketing diretto e newsletter, se attivati: art. 6, par. 1, lett. a) GDPR (consenso). Facoltativo e revocabile.
– Se previsto, formazione e seminari: art. 6, par. 1, lett. b) o a) GDPR.
Origine dei dati
– Direttamente dall’interessato o dal cliente.
– Da banche dati pubbliche, registri e PA (es. Agenzia delle Entrate, CCIAA, INPS).
– Da professionisti/consulenti del cliente o terzi legittimamente autorizzati.
– Se i dati non provengono dall’interessato (art. 14 GDPR), le categorie riguardano: dipendenti/collaboratori dei clienti, familiari a carico, delegati, controparti e relativi referenti.
Natura del conferimento
– Necessaria per le finalità di cui a esecuzione del contratto e obblighi di legge; il mancato conferimento può rendere impossibile l’instaurazione o la prosecuzione del rapporto professionale.
– Facoltativa per finalità di marketing e comunicazioni non obbligatorie; il mancato conferimento non pregiudica i servizi principali.
Modalità del trattamento e misure di sicurezza
– Trattamento con strumenti cartacei e informatici, secondo principi di liceità, correttezza, trasparenza, minimizzazione e sicurezza.
– Adozione di misure tecniche e organizzative adeguate (controllo accessi, cifratura/ pseudonimizzazione ove opportuno, backup, tracciatura, formazione del personale).
– Accesso ai dati consentito a persone autorizzate e istruite.
Destinatari o categorie di destinatari
– Soggetti esterni che svolgono per conto del Titolare attività ausiliarie o connesse (responsabili del trattamento ex art. 28 GDPR), tra cui: fornitori IT, servizi cloud, portali paghe, software gestionali, servizi di archiviazione, consulenti, revisori, assicurazioni, professionisti.
– Pubbliche Amministrazioni e Autorità competenti (Agenzia delle Entrate, INPS, INAIL, CCIAA, Ispettorati, Autorità giudiziaria, UIF, Guardia di Finanza) nei limiti degli obblighi di legge.
– Istituti di credito e intermediari di pagamento per l’esecuzione dei pagamenti.
– Ordini professionali e organismi di vigilanza, ove richiesto.
– L’elenco aggiornato dei responsabili del trattamento è disponibile su richiesta a: _______________
Trasferimenti verso Paesi extra UE/SEE
– Eventuali trasferimenti avverranno verso Paesi: _______________ (se applicabile).
– In presenza di trasferimenti, saranno adottate garanzie adeguate ai sensi degli artt. 45-49 GDPR (decisioni di adeguatezza, Clausole Contrattuali Standard, misure supplementari). Informazioni dettagliate disponibili su richiesta.
Periodo di conservazione
– Documentazione contabile e fiscale: 10 anni dalla chiusura dell’esercizio/cessazione del rapporto, fatti salvi termini di legge ulteriori.
– Dati antiriciclaggio: 10 anni dall’esecuzione dell’operazione o dalla cessazione del rapporto continuativo (D.Lgs. 231/2007).
– Dati relativi a paghe e HR trattati per conto dei clienti: per la durata dell’incarico e, successivamente, secondo i termini civilistici/fiscali applicabili o le istruzioni del cliente.
– Log tecnici e sicurezza: _______________.
– Marketing/newsletter: 24 mesi dall’ultimo contatto utile o fino a revoca/opposizione.
– Contenzioso: per tutta la durata dello stesso e fino alla definizione dei termini di impugnazione/prescrizione.
Profilazione e decisioni automatizzate
– Non si effettuano processi decisionali automatizzati né profilazione che producano effetti giuridici sull’interessato, salvo eventuali strumenti di scoring antifrode/antiriciclaggio nei limiti di legge e senza effetti esclusivamente automatizzati.
Diritti dell’interessato
– Diritto di accesso, rettifica, aggiornamento, integrazione, cancellazione, limitazione, opposizione al trattamento, e portabilità dei dati (artt. 15-22 GDPR).
– Diritto di revocare in ogni momento il consenso prestato, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.
– Per esercitare i diritti: _______________ (email/PEC dedicata) o indirizzo postale: _______________.
Reclamo all’Autorità di controllo
– L’interessato ha diritto di proporre reclamo al Garante per la protezione dei dati personali: www.garanteprivacy.it – Piazza Venezia 11, 00187 Roma – PEC: protocollo@pec.gpdp.it.
Contitolarità/Responsabili indipendenti (se applicabile)
– In caso di contitolarità: estremi dell’accordo ex art. 26 GDPR e riparto delle responsabilità disponibili a richiesta presso: _______________.
– In caso di trattamento per conto di clienti in qualità di responsabile ex art. 28 GDPR, il trattamento avviene secondo istruzioni documentate del cliente.
Comunicazioni e canali digitali
– Per la navigazione sul sito/portali dello Studio e l’uso di cookie o strumenti analoghi, si rinvia alla cookie policy disponibile qui: _______________.
Informazioni ulteriori per dati di terzi forniti dal cliente
– Il cliente garantisce la liceità della comunicazione di dati di terzi (es. dipendenti, collaboratori, familiari a carico) e s’impegna a fornire loro la presente informativa ai sensi degli artt. 13-14 GDPR.
Contatti privacy dello Studio
– Referente privacy: _______________
– Email/PEC: _______________
– Indirizzo: _______________
– Telefono: _______________
Aggiornamenti
– La presente informativa potrà essere soggetta a modifiche. Ultimo aggiornamento: _______________.