Gentile utente ti informiamo che questo sito utilizza cookie di profilazione di terze parti. Se decidi di continuare la navigazione accetti l'uso dei cookie.
x Chiudi
Consulenza.it - L'informazione integrata per professionisti e aziende
Consulenza Buffetti - il portale dei professionisti e delle aziende
Ricerca avanzata

News

Privacy
torna alle news

Dati personali negli studi professionali. Dalla compliance alla governance. Le linee guida del CNDCEC

Negli ultimi anni, la gestione della privacy è diventata un elemento cruciale per gli studi professionali, in particolare per consulenti come avvocati e commercialisti, chiamati a trattare quotidianamente grandi quantità di dati personali, spesso anche sensibili.

L’evoluzione normativa e tecnologica richiede oggi un approccio più strutturato rispetto al passato, in linea con quanto previsto dal Regolamento (UE) 2016/679 (GDPR) e con gli standard internazionali più avanzati, tra cui la norma ISO/IEC 27701:2025.

Non si tratta più, pertanto, di un adempimento meramente formale, ma di costruire un vero e proprio modello gestionale che incide sull’intera struttura dello studio.

Gli studi professionali, ed in particolare gli studi di avvocati e commercialisti, operano prevalentemente in qualità di:

  • titolari del trattamento, con riferimento ai dati dei propri clienti e dipendenti;
  • responsabili del trattamento ex art. 28 GDPR, quando trattano dati per conto dei clienti.

Tale duplice qualificazione implica la necessità di adottare assetti organizzativi differenziati, nonché di disciplinare contrattualmente i rapporti con i clienti mediante accordi di nomina a responsabile.

Ne deriva una complessità gestionale che richiede strumenti strutturati di governance del dato.

Con l’obiettivo di far acquisire maggiore consapevolezza sulla necessaria implementazione di misure tecniche e organizzative adeguate e l’impiego di un programma strutturato che preveda l’utilizzo di protocolli, in grado di prevenire l’errore umano, mitigare le vulnerabilità tecniche e contrastare minacce cibernetiche, partendo da principi quali privacy by design e default, il consiglio Nazionale dei dottori commercialisti ed esperti contabili ha pubblicato un nuovo documento, con cui fornisce indicazioni pratiche su come gestire i dati personali, nell’ambito dello studio professionale, alla luce dei nuovi standard introdotti dalla recente norma UNI CEI EN ISO/IEC 27701:2025 (di seguito anche, ISO 27701), che definisce i requisiti per un moderno Privacy Information Management System (PIMS). 

La ISO/IEC 27701:2025 e il PIMS

Il documento delinea brevemente la norma ISO/IEC 27701:2025 che introduce il Privacy Information Management System (PIMS), un sistema di gestione dedicato alla protezione dei dati personali.

Essa rappresenta un’estensione dei sistemi di gestione della sicurezza delle informazioni (come la ISO/IEC 27001) e consente di integrare, in modo sistematico, le misure di tutela della privacy nei processi organizzativi.

Attraverso il PIMS, gli studi professionali possono:

  • identificare e gestire i dati personali trattati;
  • valutare e mitigare i rischi;
  • implementare controlli tecnici e organizzativi adeguati;
  • dimostrare la conformità al GDPR,

La versione 2025 rafforza, in particolare, gli aspetti legati alla governance, alla gestione del rischio e alla documentazione.

Il Privacy Information Management System (PIMS) rappresenta, quindi, il miglioramento dei classici sistemi di gestione della sicurezza delle informazioni; si configura come un framework organico costituito da governance, procedure e controlli e finalizzato a trattare le informazioni personali (PII) in modo sistematico; coniuga i controlli della sicurezza informatica con i requisiti specifici per la protezione della privacy, adottando la metodologia del miglioramento continuo (Ciclo PDCA - Plan-Do-Check-Act).

Nella nuova norma ISO, la protezione dei dati personali si trasforma in uno standard autonomo e certificabile in modo indipendente, finendo di essere così un componente meramente aggiuntivo.

Ne è prova il nuovo titolo utilizzato: Information security, cybersecurity and privacy protection – Privacy information management systems (PIMS) – Requirements and guidance, la ISO 27701 che riconosce l’importanza della protezione dei dati personali, qualificandola come disciplina gestionale autonoma e completa, pur sempre integrata ai sistemi di sicurezza tecnica delle informazioni.

In buona sostanza, mentre l’edizione del 2019 era nata come sviluppo delle ISO 27001 e 27002, ipotizzando l’esistenza di un sistema di gestione della sicurezza delle informazioni (ISMS), la nuova versione dello standard permette alle organizzazioni di utilizzare un sistema di Privacy Information Management System (PIMS), anche senza disporre di altre certificazioni.

La protezione dei dati personali, pertanto, diventa un sistema di gestione con propri ruoli, responsabilità, finalità, tutto orientato alla protezione dei diritti e alle libertà degli interessati.

Lo standard offerto da ISO, dunque, consente oggi anche a quelle organizzazioni non interessate alla certificazione, di strutturare un sistema di gestione delle informazioni personali sicuro e aderente alla disciplina normativa in materia di privacy.  

La ISO/IEC 27701 introduce un modello di gestione della privacy basato sul ciclo Plan-Do-Check-Act (PDCA), già proprio dei sistemi ISO.

Il PIMS si articola in:

  • identificazione e classificazione dei trattamenti (data mapping);
  • valutazione dei rischi per i diritti e le libertà degli interessati;
  • implementazione di controlli tecnici e organizzativi;
  • monitoraggio, audit e miglioramento continuo.

La versione 2025 rafforza in particolare:

  • l’integrazione con il risk management aziendale;
  • la tracciabilità delle decisioni;
  • la documentazione delle misure adottate;
  • la gestione dei rapporti con terze parti.

Uno studio professionale, seguendo lo standard ISO proposto nella nuova versione, al di là della certificazione, può pertanto strutturare un framework privacy adeguato al proprio contesto di trattamento dei dati personali, soddisfacendo il principio di accountability come richiesto dal GDPR.

L’approccio basato sul rischio

Uno dei principi cardine sia del GDPR sia della ISO 27701, rammenta il documento dei commercialisti, è il cosiddetto risk-based approach.

Ciò implica che ogni studio debba:

  1. individuare i rischi connessi al trattamento dei dati;
  2. valutarne probabilità e impatto;
  3. adottare misure proporzionate per ridurli.

Tra i principali rischi rientrano:

  • accessi non autorizzati;
  • perdita o distruzione dei dati;
  • utilizzi impropri delle informazioni;
  • violazioni di sicurezza (data breach).

Nei casi in cui il trattamento presenti un rischio elevato, è obbligatoria la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) ai sensi dell’art. 35 GDPR.

Questo approccio consente di superare una logica standardizzata, adattando le misure alla realtà concreta dello studio.

Strumenti operativi e adempimenti

Per una gestione efficace della privacy, la Fondazione dei commercialisti evidenzia nel suo documento, l’importanza di dotarsi di strumenti operativi adeguati. Ricordando la documentazione essenziale ai fini della compliance GDPR.

Documentazione essenziale

Tra i principali adempimenti rientrano:

  • registro dei trattamenti;
  • nomine e designazioni dei soggetti autorizzati;
  • registro dei data breach;
  • policy interne e procedure operative.

Misure organizzative e tecniche

Gli studi devono inoltre implementare:

  • sistemi di controllo degli accessi;
  • procedure di backup e recupero dati;
  • gestione degli incidenti;
  • programmi di formazione del personale.

Tutte queste attività devono essere documentate, aggiornate e verificabili nel tempo.

Audit e nuova centralità del commercialista

Il PIMS prevede attività strutturate di:

  • audit interni, per verificare la conformità ai requisiti normativi e agli standard;
  • riesame della direzione, per valutare l’efficacia del sistema;
  • azioni correttive, in caso di non conformità.

Questo approccio consente di trasformare la compliance privacy in un processo dinamico, orientato al miglioramento continuo.

Il documento sottolinea il ruolo sempre più strategico del commercialista, che non si limita alla gestione contabile, ma assume anche funzioni di:

  • consulente in materia di protezione dei dati;
  • supporto alla compliance normativa;
  • oggetto coinvolto in attività di audit e verifica.

Tale evoluzione richiede competenze interdisciplinari, che integrino profili giuridici, organizzativi e tecnologici. 

I vantaggi di un sistema strutturato

L’adozione di un sistema di gestione della privacy conforme alla ISO/IEC 27701 comporta numerosi benefici:

  • maggiore fiducia da parte di clienti e partner;
  • riduzione del rischio di sanzioni;
  • monitoraggio dei processi interni;
  • capacità di dimostrare la conformità alle norme.

Si tratta, quindi, non solo di adempiere ad un obbligo normativo, ma anche di un’opportunità strategica.

Conclusioni

La corretta gestione della privacy negli studi professionali richiede oggi un approccio evoluto, fondato su organizzazione, consapevolezza e controllo continuo.

L’integrazione tra GDPR e standard internazionali come la ISO/IEC 27701:2025 consente di trasformare la protezione dei dati da semplice adempimento formale a vero e proprio assett.

In questo scenario, il professionista è chiamato a svolgere un ruolo centrale, contribuendo attivamente alla costruzione di modelli organizzativi affidabili, sicuri e conformi alla normativa vigente.

In questo contesto, acquisire consapevolezza in materia di privacy diventa un elemento di valore per la professione.

Di seguito il documento: