Conformità al GDPR per i notai: regole e obblighi

Prima di procedere, facciamo un breve riassunto di quelli che sono i quattro principi chiave attorno a cui il GDPR è stato costruito:

Il trattamento dei dati deve poggersi su una solida base giuridica e la sua liceità risulta pregiudicata se non si verifica almeno una condizione tra le seguenti:

• Il consenso dell'interessato al trattamento dei propri dati è stato esplicitamente espresso per una o più finalità specifiche.
• Tale trattamento è necessario per eseguire il contratto o le misure precontrattuali voluti dall'interessato.
• Il trattamento è necessario affinché un obbligo legale del titolare del trattamento sia adempiuto.
• Il trattamento è necessario per proteggere vitali interessi dell'interessato o di un'altra persona fisica.
• Il trattamento è necessario in un'ottica di interesse pubblico.
• Il trattamento è necessario ai fini del legittimo interesse del titolare del trattamento o di terzi, a patto che tale interesse sia bilanciato con rispetto ai diritti e interessi dell'interessato.

Lo scopo e i dettagli del trattamento devono essere comunicati con chiarezza e completezza agli interessati attraverso un'informativa sulla privacy completa e comprensibile.

In tutti i casi stabiliti dalla legge, le persone devono fornire il loro consenso al trattamento dei dati, consenso che può essere ritirato in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.

Gli interessati hanno diritto ad accedere ai loro dati trattati da un'azienda o professionista, a ottenerne la cancellazione (diritto all'oblio) e a richiederne il trasferimento (portabilità), o a conservarli e trasferirli a loro volta.

Dal 2018, anno di entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR - Regolamento UE 2016/679), tutti i professionisti e le aziende che trattano le informazioni delle persone fisiche sono soggetti a tutta una serie di obblighi che hanno lo scopo di garantirne la privacy e la protezione rispetto alle violazioni.

Secondo il GDPR, un'azienda o un professionista che manipola i dati personali dei clienti o potenziali clienti è considerato "titolare del trattamento" e, in quanto tale, deve rispettare alcune importanti regole di conformità:

• Informativa sulla privacy – I clienti devono ricevere tutte le informazioni sul modo in cui i loro dati vengono trattati attraverso un'informativa che deve contenere una serie di dettagli specifici (ne parleremo meglio in un capitolo dedicato).
• Consenso – I clienti devono quindi fornire esplicitamente il consenso al trattamento dei loro dati se questo va oltre quanto strettamente legato al lavoro del notaio. Ad esempio, se i loro dati vengono usati anche per inviare comunicazioni promozionali o newsletter.
• Registro delle attività di trattamento – Documento obbligatorio previsto dall'articolo 30 del GDPR che deve essere costantemente aggiornato (ne parleremo meglio più avanti).
• Responsabile della Protezione dei Dati (DPO) – Va nominato in tutti i casi previsti dall'articolo 37 del GDPR. Alcuni studi notarili, anche se non obbligati dalla legge, preferiscono designarne uno perché sia responsabile della conformità al GDPR.
• Analisi dei rischi (DPIA) – Il titolare del trattamento deve valutare quali rischi si aprono per gli interessati nel caso in cui i loro dati venissero violati, e stabilire delle misure allo scopo di arginarli.
• Sicurezza dei dati – Importantissimo all'interno del GDPR è l'obbligo di adottare misure di sicurezza sia fisica che informatica per proteggere le informazioni sensibili dei clienti. Di questo parleremo meglio nel capitolo dedicato alle buone pratiche.
• Comunicazione dei dati a terzi – Nel caso in cui le informazioni vengano comunicate a terzi (ad esempio il Ministero dell'Economia e delle Finanze, l'Agenzia delle Entrate, il Registro delle Imprese, o altri professionisti) è compito del notaio assicurarsi che queste vengano trattate in conformità al GDPR.

Bisogna poi sempre tenere presente che la conservazione dei dati è legittima solo entro un certo periodo e che deve sempre avere una scadenza, al termine della quale i dati personali saranno cancellati o anonimizzati.

Quali informazioni deve dunque contenere l'informativa sulla privacy di uno studio notarile? Prima di elencarle, sottolineiamo un punto: dall'entrata in vigore del GDPR è stabilito che l'informativa debba essere di facile comprensione e redatta con un linguaggio chiaro e conciso. Bisogna dunque evitare un linguaggio troppo tecnico e prediligere formule che tutti possono comprendere.

Detto questo, non esiste un modello di informativa obbligatorio, ma il testo deve contenere tutti i dettagli sul trattamento dei dati dei clienti, ovvero:

• Quali sono i dati raccolti (nome, cognome, codice fiscale, documenti d'identità, dati contrattuali, ecc.)
• Come vengono raccolti (di persona, via email, attraverso piattaforme digitali, ecc.)
• Da chi vengono raccolti (direttamente dall'interessato, da pubblici registri, da terze parti autorizzate)
• Per quali finalità (adempimento dell'incarico notarile, oarile, obblighi fiscali, conservazione atti, ecc.)
• Se verranno condivisi con terze parti e chi sono queste ultime (Pubblici Uffici, Agenzia delle Entrate, Registro delle Imprese, Conservatori dei Registri Immobiliari, ecc.)
• Per quanto tempo verranno conservati (secondo le norme di conservazione degli atti notarili e le disposizioni fiscali)
• In che modo il cliente può richiederne la cancellazione o esercitare i propri diritti degli interessati (accesso, rettifica, portabilità, opposizione)

Con le tecnologie di automatizzazione (in genere basate sull'intelligenza artificiale) che si fanno strada nei settori più diversi, incluso quello notarile, un'importante sentenza della Corte di Giustizia dell'Unione Europea fa luce sugli obblighi che il GDPR impone a chi le utilizza.

Secondo quanto emerso nella sentenza del 27 febbraio 2025 nella causa n. C-203/22, la Corte afferma che, in caso di processo decisionale automatizzato, compresa la profilazione, l'interessato può pretendere dal titolare del trattamento che quest'ultimo gli fornisca, in modo chiaro, trasparente, conciso e comprensibile, informazioni su:

• In che modo il processo funziona e quali algoritmi vengono utilizzati
• Perché è necessario e non è possibile utilizzare delle alternative con intervento umano
• Le basi giuridiche di tale specifico trattamento
• Come l'interessato può richiedere e ottenere un intervento da parte di un umano al fine di contestare la decisione automatizzata

In sostanza, il titolare del trattamento ha l'obbligo di informare l'interessato con i dettagli riguardanti un'eventuale tecnologia di automatizzazione dei processi decisionali che lo riguardano, come quelle che sono già comunemente in uso in ambito bancario, assicurativo, e così via.

Il registro delle attività di trattamento è regolato dall'articolo 30 del GDPR ed è un documento all'interno del quale tutte le aziende e i professionisti soggetti all'obbligo (tra cui ci sono anche i notai) devono inserire tutte le informazioni principali sulle operazioni di trattamento dei dati dei clienti.

Deve essere costantemente aggiornato, in quanto rappresenta uno dei principali elementi di accountability del titolare, oltre a essere fondamentale per la valutazione o analisi del rischio.

Nome e dati di contatto del titolare del trattamento e, se del caso, del contitolare, del rappresentante e del responsabile della protezione dei dati (DPO)

• Finalità del trattamento
• Descrizione delle categorie di interessati e delle categorie di dati personali
• Categorie di destinatari a cui i dati sono stati o saranno comunicati (pubblici uffici, professionisti, ecc.)
• Trasferimenti di dati verso paesi terzi (se applicabile)
• Termini previsti per la cancellazione delle diverse categorie di dati
• Descrizione generale delle misure di sicurezza tecniche e organizzative

Il Consiglio Nazionale del Notariato ha fornito linee guida specifiche per aiutare gli studi notarili nella redazione di questo documento.

Il mancato rispetto del GDPR prevede sanzioni molto elevate, che arrivano fino a un tetto del 4% del fatturato annuo del professionista o dell'azienda inadempiente, oppure 20 milioni di euro (viene applicato l'importo più elevato).

Senza contare poi le conseguenze – a livello legale e anche reputazionale – di un'eventuale violazione dei dati (data breach) da parte di cybercriminali che possono impiegarli a scopo di ricatto o per compiere azioni illecite, ad esempio frodi creditizie o furto d'identità.

Andiamo ora a vedere alcune buone pratiche che gli studi notarili possono mettere in pratica per assicurarsi la piena conformità al GDPR:

Per gestire i dati in piena conformità, occorre conoscerli. È necessario sapere quali dati vengono raccolti, per quali ragioni vengono utilizzati, dove vengono conservati (server locali, cloud, archivi cartacei), chi vi ha accesso e per quanto tempo vengono conservati.

Occorre istituire delle procedure chiare per la raccolta e il trattamento dei dati, che facciano capo a precisi membri dello staff. Solo in questo modo ci si potrà garantire uno standard operativo elevato e responsabilità precise in caso di inadempienze.

Lo studio deve avere ben chiaro come affrontare le richieste degli interessati per quanto riguarda i loro diritti degli interessati: cancellazione, portabilità, accesso ai dati, rettifica, opposizione al trattamento.

Il GDPR stabilisce tempi precisi per rispondere (generalmente 30 giorni, prorogabili a 60 in casi complessi).

Nel caso dei sistemi informatici, questo può voler dire adottare delle policy "zero-trust", vale a dire che ogni membro dello staff ha accesso solo ai documenti e alle informazioni di suo interesse. In questo modo si può limitare la possibilità che i dati vengano esposti ai rischi.

Inoltre, occorre implementare:

• Autenticazione a due fattori (2FA) per tutti gli accessi ai sistemi
• Firewall e antivirus aggiornati
• Cifratura dei dati sensibili (sia in transito che a riposo)
• Backup regolari dei dati con test di ripristino
• Controlli di accesso basati sui ruoli (RBAC)
• Altre misure di cybersicurezza adatte ai potenziali rischi

La formazione del personale è indispensabile sia per garantire il rispetto della legge nelle procedure quotidiane che per ridurre i rischi in termini di sicurezza informatica, dal momento che l'"anello debole" nei sistemi digitali è spesso proprio il fattore umano.

Il personale deve essere formato su:

• I principi base del GDPR
• Come riconoscere tentativi di phishing
• Come gestire i dati in modo sicuro
• Cosa fare in caso di sospetta violazione

Dai sistemi di contabilità alle soluzioni di firma elettronica, occorre assicurarsi che tutti i servizi che lo studio utilizza comunemente e con cui condivide alcune informazioni sensibili dei clienti siano in regola con il GDPR.

È fondamentale:

• Verificare che i fornitori siano conformi al GDPR
• Stipulare accordi di responsabilità (Data Processing Agreements) con i fornitori che agiscono come responsabili del trattamento
• Verificare dove vengono conservati i dati (preferibilmente nell'UE)
• Richiedere certificazioni di sicurezza (ISO 27001, SOC 2, etc.)

Quando si tratta di gestire documenti e firme in uno studio notarile, la scelta degli strumenti digitali è cruciale non solo per l'efficienza operativa, ma anche per la conformità al GDPR e alla normativa eIDAS.

Con la soluzione di firma elettronica realizzata da Yousign, puoi avere al tuo fianco nelle operazioni quotidiane del tuo studio notarile uno strumento:

• Facile da usare: interfaccia intuitiva che riduce i tempi di apprendimento
• Versatile: dalla firma elettronica semplice alla firma elettronica avanzata, per soddisfare diverse esigenze di sicurezza
• Pienamente conforme: sia al GDPR che alla normativa eIDAS, con certificazioni ISO 27001 e hosting dei dati in Europa
• Sicuro: cifratura end-to-end, tracciabilità completa, dossier di prova per ogni firma

Yousign garantisce:

• Conformità al GDPR con hosting dei dati nell'UE
• Certificazione ISO 27001 per la sicurezza delle informazioni
• Tracciabilità completa di ogni operazione
• Dossier di prova con valore legale per ogni documento firmato

Dalla firma digitale alla firma elettronica avanzata, i nostri servizi offrono tutto ciò di cui un notaio ha bisogno per soddisfare le richieste dei suoi clienti nel pieno rispetto della legge in materia di privacy e di tecnologia.

La conformità al GDPR non è solo un obbligo legale per gli studi notarili, ma rappresenta anche un'opportunità per rafforzare la fiducia dei clienti e migliorare l'organizzazione interna. Adottando le giuste procedure, formando il personale e scegliendo strumenti digitali conformi e sicuri, i notai possono proteggere efficacemente i dati sensibili dei loro clienti e operare nel pieno rispetto della normativa europea.