FabriqueFabrique
Inizia
Tutti gli articoli

7 luglio 2026 · 7 min di lettura

GDPR e raccolta di documenti dei clienti: cosa c'è da sapere

Ogni volta che uno studio chiede a un cliente una copia del documento d'identità, un estratto conto o un bilancio, tratta dati personali — a volte anche dati sensibili. Il GDPR non vieta questa raccolta, che è quasi sempre necessaria per svolgere la prestazione o rispettare un obbligo legale, ma la inquadra con alcuni principi precisi.

Ecco cosa conviene sapere, senza pretese di esaustività giuridica: la base su cui poggia la raccolta, quanto tempo conservare i documenti, come proteggerli, quali diritti restano al cliente, e cosa cambia — davvero — tra raccogliere via email o tramite un portale sicuro.

Su quale base giuridica si raccolgono i documenti dei clienti

Il GDPR richiede che ogni trattamento di dati personali poggi su una base giuridica identificabile. Per uno studio che raccoglie documenti dai propri clienti, le due basi più comuni sono l'esecuzione del contratto che lega lo studio al cliente (per i documenti necessari a svolgere la prestazione concordata) e l'adempimento di un obbligo legale (per i documenti che uno studio deve raccogliere o conservare in virtù di una norma specifica, ad esempio in ambito contabile o fiscale).

Nella pratica, questo significa che la richiesta di un documento dovrebbe sempre potersi ricondurre a uno di questi due motivi — e non a una raccolta generica 'per ogni evenienza'.

Il principio di minimizzazione dei dati

Il GDPR impone di raccogliere solo i dati necessari allo scopo perseguito, non il massimo possibile 'per sicurezza'. Concretamente, uno studio dovrebbe poter spiegare, per ogni documento richiesto, a cosa serve esattamente — ed evitare di chiedere sistematicamente pezzi che non serviranno alla pratica in corso.

Una checklist di raccolta ben costruita è anche, indirettamente, uno strumento di minimizzazione: elenca solo ciò che è realmente necessario per quella pratica specifica, invece di raccogliere per abitudine un pacchetto standard troppo ampio.

Quanto tempo conservare i documenti

I tempi di conservazione variano molto secondo la natura del documento e gli obblighi legali applicabili: alcuni documenti contabili e fiscali possono dover essere conservati per una durata piuttosto lunga, dell'ordine di una decina di anni secondo gli obblighi specifici della professione e del paese. Questi termini dipendono dalla normativa applicabile a ciascuna categoria di documento, ed è prudente verificarli caso per caso piuttosto che applicare una regola unica.

Ciò che il GDPR non ammette, in ogni caso, è la conservazione indefinita di documenti sensibili — un documento d'identità, in particolare — oltre il tempo realmente necessario. Una volta che l'obbligo legale o contrattuale che ne giustificava la detenzione è scaduto, questi documenti dovrebbero essere cancellati o anonimizzati, non conservati per default 'nel dubbio'.

Sicurezza: crittografia, hosting nell'UE, accessi limitati e tracciati

Al di là dei principi, il GDPR richiede misure di sicurezza proporzionate al rischio. Per documenti che includono spesso dati d'identità o dati finanziari, questo si traduce in alcune esigenze concrete.

  • Cifratura dei dati in transito e a riposo
  • Hosting dei dati all'interno dell'Unione Europea
  • Accessi limitati alle sole persone dello studio che ne hanno effettivamente bisogno
  • Tracciabilità degli accessi: chi ha consultato quale documento, e quando

I diritti che restano al cliente sui propri dati

Il cliente conserva, in ogni momento, i diritti classici previsti dal GDPR: il diritto di accesso ai propri dati, il diritto di rettifica in caso di errore, e il diritto alla cancellazione una volta che nessun obbligo legale ne impone più la conservazione. Uno studio dovrebbe essere in grado di rispondere a queste richieste senza dover ricostruire manualmente dove si trova ogni documento del cliente.

Il fornitore SaaS come responsabile del trattamento: il ruolo del DPA

Quando uno studio utilizza uno strumento SaaS per raccogliere documenti dai propri clienti, quello strumento agisce, ai sensi del GDPR, come responsabile del trattamento (data processor) per conto dello studio, che resta titolare del trattamento. Questo rapporto deve essere formalizzato da un accordo sul trattamento dei dati (Data Processing Agreement, DPA), che definisce le responsabilità di ciascuna parte.

Prima di adottare uno strumento, vale la pena verificare che questo accordo esista e sia accessibile, e che il fornitore sia chiaro sulla localizzazione dei dati e sulle misure di sicurezza applicate — senza dare per scontate certificazioni o garanzie che non sono esplicitamente confermate dal fornitore stesso.

Email vs portale sicuro: dove sta davvero il rischio

Nella pratica quotidiana di uno studio, il rischio maggiore non nasce dai grandi principi ma dal canale usato per raccogliere i documenti. Un documento d'identità inviato per email finisce in una casella di posta spesso non cifrata, accessibile a chiunque abbia le credenziali, senza alcuna tracciabilità di chi lo ha aperto — e, una volta lì, è quasi impossibile da cancellare davvero: resta nella casella del mittente, in quella del destinatario, in eventuali copie o inoltri.

Un portale sicuro, al contrario, permette un accesso tracciato, una cancellazione centralizzata quando il documento non serve più, e un hosting nell'Unione Europea pensato per questo tipo di dati. Non è un dettaglio tecnico: è la differenza tra poter dimostrare la conformità del proprio trattamento e non poterlo fare.

Domande frequenti

Su quale base giuridica uno studio può chiedere documenti a un cliente?
Principalmente due: l'esecuzione del contratto che lega lo studio al cliente, per i documenti necessari alla prestazione, oppure l'adempimento di un obbligo legale specifico alla professione.
Quanto tempo si possono conservare i documenti di un cliente?
Dipende dalla natura del documento e dagli obblighi legali applicabili — alcuni documenti contabili o fiscali possono richiedere una conservazione di diversi anni. In ogni caso, i documenti sensibili come un'identità non andrebbero conservati oltre il tempo realmente necessario.
Uno strumento SaaS di raccolta documenti deve avere un DPA?
Sì: agendo come responsabile del trattamento per conto dello studio, deve formalizzare un accordo sul trattamento dei dati (DPA) che definisca chiaramente le responsabilità di ciascuna parte.
Perché l'email è più rischiosa di un portale sicuro per raccogliere documenti?
Perché i documenti restano in caselle di posta spesso non cifrate, senza tracciabilità di chi li ha consultati, e sono praticamente impossibili da cancellare del tutto una volta inviati. Un portale sicuro permette invece un accesso tracciato e una cancellazione centralizzata.

Da leggere

La tua prossima pratica può essere completa senza una sola email.