Adempimenti · Risorse

GDPR e documenti dei clienti:
cosa serve davvero, senza panico.

Uno studio professionale tratta dati personali ogni giorno: buste paga, estratti conto, contratti. Il GDPR non chiede il panico — chiede ordine e alcuni documenti firmati al posto giusto.

Di Reinier Berrillo · 18 luglio 2026

I quattro pilastri per uno studio

ObbligoChe cosa significa in pratica
Base giuridicaIl trattamento dei documenti dei clienti rientra di norma nell'esecuzione dell'incarico professionale — va detto chiaramente nell'informativa.
DPA con i fornitori (art. 28)Chi tratta documenti per conto vostro — archiviazione, gestione documentale, servizi esterni — deve firmare un accordo sul trattamento PRIMA di iniziare.
Minimizzazione e retentionConservare ciò che serve, per il tempo che serve (gli obblighi professionali fissano già molti termini), e saperlo dimostrare.
Sicurezza dimostrabileAccessi controllati, copie di sicurezza, canali di invio sensati: WhatsApp personale per le buste paga non è una strategia.

Il punto che quasi tutti saltano

Il DPA con i fornitori. Se un servizio esterno tocca i documenti dei vostri clienti, l'accordo ex art. 28 non è un optional gentile: è la condizione per lavorare. Diffidate di chi vi mette all'opera «e poi vediamo per le carte».

Per questo in Vetta il DPA precompilato arriva prima che Clara tocchi un solo documento, e il trattamento parte solo dopo la vostra conferma scritta. I dettagli tecnici — server dedicato in UE, accessi, registro — sono pubblici nella pagina sicurezza.

Una checklist da mezz'ora

Fonti ufficiali: Regolamento (UE) 2016/679 (GDPR), in particolare artt. 5, 6, 28 e 32 — testo su EUR-Lex; provvedimenti e guide del Garante per la protezione dei dati personali (gpdp.it). Questo articolo è divulgazione operativa, non consulenza legale.

Di Reinier Berrillo, fondatore di Vetta Milano · 18 luglio 2026 · chi scrive