I quattro pilastri per uno studio
| Obbligo | Che cosa significa in pratica |
|---|---|
| Base giuridica | Il trattamento dei documenti dei clienti rientra di norma nell'esecuzione dell'incarico professionale — va detto chiaramente nell'informativa. |
| DPA con i fornitori (art. 28) | Chi tratta documenti per conto vostro — archiviazione, gestione documentale, servizi esterni — deve firmare un accordo sul trattamento PRIMA di iniziare. |
| Minimizzazione e retention | Conservare ciò che serve, per il tempo che serve (gli obblighi professionali fissano già molti termini), e saperlo dimostrare. |
| Sicurezza dimostrabile | Accessi controllati, copie di sicurezza, canali di invio sensati: WhatsApp personale per le buste paga non è una strategia. |
Il punto che quasi tutti saltano
Il DPA con i fornitori. Se un servizio esterno tocca i documenti dei vostri clienti, l'accordo ex art. 28 non è un optional gentile: è la condizione per lavorare. Diffidate di chi vi mette all'opera «e poi vediamo per le carte».
Per questo in Vetta il DPA precompilato arriva prima che Clara tocchi un solo documento, e il trattamento parte solo dopo la vostra conferma scritta. I dettagli tecnici — server dedicato in UE, accessi, registro — sono pubblici nella pagina sicurezza.
Una checklist da mezz'ora
- L'informativa ai clienti copre il trattamento documentale?
- Ogni fornitore che tocca documenti ha un DPA firmato, con data?
- Sapete dire dove vivono fisicamente i documenti (server, paese, backup)?
- Esiste un termine di conservazione scritto, anche solo nel manuale interno?
- I canali di ricezione sono definiti — o «dove capita»?
Fonti ufficiali: Regolamento (UE) 2016/679 (GDPR), in particolare artt. 5, 6, 28 e 32 — testo su EUR-Lex; provvedimenti e guide del Garante per la protezione dei dati personali (gpdp.it). Questo articolo è divulgazione operativa, non consulenza legale.
Di Reinier Berrillo, fondatore di Vetta Milano · 18 luglio 2026 · chi scrive