Entra nella community

Professionisti e privacy

Regole, responsabilità e nuove sfide dell'IA

Nel mondo delle professioni intellettuali la fiducia tra professionista e cliente è da sempre il fondamento del rapporto.

Fiducia nelle competenze, nel giudizio, nella riservatezza.

Oggi però quel pilastro è messo alla prova da due forze nuove:

  • la trasformazione digitale (cloud, strumenti online, software gestionali, IA)
  • un quadro normativo che pretende trasparenza, responsabilità e consapevolezza.

Il GDPR ha imposto ai professionisti un cambio di mentalità: non basta “avere a cuore la riservatezza”, bisogna dimostrarla, organizzarla e documentarla.

La tutela del dato è diventata parte della qualità professionale, al pari di tecnica, etica e competenza.

A questo scenario si aggiunge la Legge 23 settembre 2025, n. 132, che disciplina l’uso dell’Intelligenza Artificiale (anche) nelle professioni e introduce un principio netto: il cliente deve essere informato quando il professionista utilizza sistemi di IA.

Da questa cornice nascono due domande chiave:

  • cosa significa oggi essere un professionista conforme, consapevole e coerente con GDPR, deontologia e nuove tecnologie?
  • quali obblighi restano e quali nuovi equilibri vanno costruiti?

 

Gli effetti del GDPR sui professionisti: un cambiamento sostanziale

Con il GDPR, il professionista ha dovuto rivedere la propria organizzazione interna.

Il Regolamento non è un elenco di adempimenti, ma una logica: il professionista, in quanto titolare del trattamento, deve dimostrare di gestire i dati in modo conforme e consapevole e questo ha richiesto di:

  • analizzare i dati trattati e capire quali categorie siano gestite, soprattutto se sensibili o giudiziari;
  • verificare finalità e basi giuridiche, assicurando liceità, correttezza, adeguatezza e minimizzazione;
  • regolare ruoli e responsabilità, tramite nomine e istruzioni;
  • predisporre informative chiare e procedure interne, incluse le modalità di gestione delle richieste degli interessati.

A questo si aggiungano i due principi cardine che hanno cambiato definitivamente l’approccio alla tutela dei dati (e al lavoro):

  • privacy by design e by default: protezione del dato fin dalla progettazione;
  • accountability: non basta fare, bisogna saper dimostrare.

 

Ruoli e responsabilità: titolare, contitolare, responsabile

Nel contesto professionale, la regola è chiara: il professionista è titolare del trattamento, perché definisce finalità e mezzi. Il GDPR, però, impone di valutare caso per caso la struttura organizzativa dello studio.

Se più professionisti operano insieme all’interno della stessa realtà e decidono congiuntamente scopi e modalità del trattamento, occorre applicare l’art. 26 GDPR sulla contitolarità e formalizzare un accordo interno che definisca ruoli, responsabilità, obblighi e gestione delle richieste degli interessati. Al contrario, quando ciascun professionista gestisce in autonomia i dati relativi ai propri incarichi, ognuno è titolare indipendente e risponde personalmente del trattamento.

Lo studio deve però anche:

  • designare gli autorizzati al trattamento: fornendo istruzioni e formazione;
  • nominare come responsabili esterni: i fornitori che trattano dati “per conto del titolare” (cloud, hosting, gestionali, IT).

Questo meccanismo di definizione di ruoli, nel GDPR, non serve a mettere etichette ma a determinare i confini delle diverse responsabilità.

 

Archivi cartacei e digitali: la privacy non vive solo nei database

Il GDPR non riguarda solo i database informatici. Anche il semplice fascicolo cartaceo su un cliente, contenente documenti, appunti o corrispondenza, costituisce a tutti gli effetti un trattamento di dati personali. Così come una PEC, un gestionale o un file nel cloud.

Per questo lo studio deve disciplinare la gestione degli archivi digitali e non: dalla conservazione alla protezione fisica, fino alla cancellazione o distruzione sicura.

L’esito della mappatura dei trattamenti e delle scelte organizzative dovrebbe (deve) confluire nel Registro delle attività di trattamento che, seppur non obbligatorio per tutti i professionisti, è raccomandato dal Garante perché è uno strumento di governo, prima ancora che un adempimento.

 

Misure di sicurezza: la tutela dei dati passa anche dalla tecnologia

Accanto agli obblighi organizzativi e documentali, il professionista deve considerare un ulteriore pilastro della compliance: la sicurezza tecnica dei dati.

Il GDPR richiede l’adozione di misure tecniche e organizzative adeguate al rischio così da garantire disponibilità, integrità e riservatezza delle informazioni e prevenire accessi non autorizzati, perdita, divulgazione o alterazioni.

Password robuste, backup, cifratura, aggiornamenti, controlli sugli accessi e procedure in caso di data breach non sono optional, ma parte della responsabilità professionale.

Misure che non basta però avere scritte, ma che vanno testate nel tempo attraverso verifiche periodiche di efficacia.

La sicurezza, come l’etica professionale, è un obbligo permanente.

 

Trasparenza sull’uso dell’IA: novità L. 132/2025 — e il nodo più delicato

Nel nuovo scenario delineato dalla L. 23 settembre 2025, n. 132, l’art. 13 introduce un principio molto chiaro: se un professionista utilizza sistemi di intelligenza artificiale nello svolgimento dell’incarico, deve informare il cliente con linguaggio chiaro, semplice ed esaustivo.

Il legislatore, quindi, rafforza il rapporto fiduciario e impone trasparenza sugli strumenti utilizzati, esattamente come accade per qualsiasi altro trattamento di dati personali ai sensi degli artt. 13 e 14 GDPR.

Ma la norma può essere letta anche con un altro messaggio: l’IA è ammessa come strumento di supporto, non come sostituzione dell’attività intellettuale, e il cliente ha diritto di sapere che esiste nel processo.

Ma qui nasce la riflessione più scomoda — e più attuale:

Informare significa chiedere consenso? Il cliente può opporsi all’uso dell’IA?

Personalmente, ritengo di no.

L’obbligo di trasparenza non può trasformarsi in un potere di veto: il professionista è titolare del trattamento e deve restare autonomo nelle scelte tecniche e metodologiche.

Diversamente, avremmo un paradosso: il cliente che “comanda gli strumenti” e il professionista ridotto ad esecutore.

L’obbligo è di trasparenza, non di subordinazione tecnica. Se il cliente potesse “vietare uno strumento”, inciderebbe sull’autonomia professionale, minando quel rapporto fiduciario che la stessa legge vuole preservare.

L’IA, dunque, si inserisce come strumento di supporto, non come elemento negoziabile dell’incarico.

Ciò detto, credo che sul piano culturale la domanda resta aperta e nei prossimi mesi creerà ulteriore dibattito (che ne pensate?).

 

Conclusione: siamo in regola o esposti?

Molti professionisti pensano di avere tutto sotto controllo: privacy policy nel cassetto, registro “fatto una volta”, fornitori non verificati, abitudini consolidate e mai riviste.

Il punto è che compliance e fiducia sono processi, non risultati acquisiti.

Oggi, tra GDPR, deontologia e IA, serve:

  • rivedere procedure,
  • prevenire criticità,
  • aggiornare con metodo,
  • documentare con coerenza.

Chi governa i dati governa la professione. Gli altri… la subiscono.

E tu governi o subisci?

 

Ogni settimana affrontiamo temi e casi reali raccontati con linguaggio chiaro e un approccio pratico.

Perché la privacy è cultura da coltivare e fiducia da conquistare.

Condividi:

LA NOSTRA CONSULENZA

Compliance Data Protection e GDPR

Offriamo una consulenza con un approccio programmatico, strutturato e integrato fondato sull’analisi e gestione dei rischi, sulla valutazione delle debolezze e su interventi mirati che vanno dall’aggiornamento delle misure di sicurezza alla formazione del personale.

La definizione di un corretto assetto organizzativo, in termini di ruoli e responsabilità, ed efficienti processi di sicurezza permettono di ridurre il rischio di rimanere vittime di incidenti informatici.

Non esiste certo una misura definitivamente risolutiva contro le aggressioni informatiche che minacciano la nostra quotidianità ma è possibile giocare di anticipo attraverso un’analisi più accurata possibile del panorama delle minacce.

L’attenzione alla privacy, alla protezione dei dati ed alla sicurezza informatica non è un costo né opzione ma un investimento strategico.

Proteggere i dati aziendali, l’infrastruttura e la continuità aziendale richiede non solo software e tecnologie avanzate ma competenze specialistiche e strategie efficaci.

Non basta guardare all’aspetto tecnico ma occorre portare un cambiamento culturale per promuovere un approccio alla sicurezza.

Occorre garantire il rispetto della normativa senza che l’adempimento diventi burocrazia per andare a cogliere i pro in termini di efficacia ed efficienza dei processi aziendali.

Questo è quello che fa CompetenceLab.

Contattaci

Entra nella Community

Vuoi restare in contatto con CompetenceLab?
Organizzare un evento insieme a noi? Oppure proporre un tema su cui riflettere? Entra a far parte della nostra Community!





    CompetenceLab nasce per guidare un cambiamento, per affiancare persone e aziende nello sviluppo di un pensiero critico. Scelte sostenibili per migliorare la nostra società.
    Seguici sui social
    Facebook-f Icon-instagram-2 Icon-linkedin Icon-youtube Tiktok
    Link utili
    Contatti
    • Claudia Sorrenti Avvocato
    • P.I.: 11094161004
    • Powered by Xonex.it