L’informativa n. 52 del 23 marzo 2026 del CNDCEC pubblica il documento “La gestione della privacy negli studi professionali alla luce della normativa ISO/IEC 27701:2025” per approfondire il modello di Privacy Information Management System (PIMS) introdotto dalla norma ISO/IEC 27701:2025.
Lo scopo è calare nel pratico l’integrazione tra compliance normativa, gestione del rischio e governance organizzativa degli studi professionali.
Il documento presenta esempi concreti, così da fornire indicazioni chiare per studi di grandi e piccole dimensioni.
La privacy sta diventando una leva strategica, il CNDCEC con il nuovo documento lo mette nero su bianco. Il filo conduttore di questo testo è la privacy integrata nella governance strategica dello studio, che diventa un vero e proprio obiettivo aziendale da perseguire mettendo in atto strategie ben definite.
Devono essere fissati obiettivi che è necessario siano:
- specifici;
- misurabili;
- raggiungibili;
- rilevanti;
- definiti nel tempo.
Gli obiettivi non sono fini a sé stessi ma vanno pianificate le azioni per raggiungerli; va monitorato l’operato ed eventualmente implementate ulteriori azioni.
Il documento sulla gestione della privacy negli studi professionali si sofferma sui ruoli privacy, ma con una prospettiva diversa. Il titolare del trattamento è la figura responsabile che definisce le finalità e i mezzi, il responsabile del trattamento è colui che tratta i dati sottostando alle istruzioni del titolare. Nel documento si enfatizza il ruolo del responsabile che non deve essere visto come un mero esecutore delle istruzioni ma diventa “custode tecnico e partner della conformità”.
La formazione non deve avere una connotazione di mero obbligo normativo ma di misura preventiva strategica per la protezione dei dati; quindi, non può essere generica e frettolosa ma deve essere pianificata e personalizzata in base ai ruoli, alle qualifiche e alle responsabilità del singolo, prevedendo test per verificare l’efficacia della formazione. Prevedere aggiornamenti periodici e coinvolgere i collaboratori per rendere maggiormente dinamica l’attività poiché i collaboratori sono coloro che mettono in pratica le misure di sicurezza dei dati che lo studio implementa, conoscerle e saperle applicare è fondamentale. Quindi come per il responsabile del trattamento anche l’autorizzato al trattamento è chiamato ad avere un ruolo più attivo.
Nella parte finale del documento viene esposto il monitoraggio e il miglioramento continuo seguendo il ciclo PDCA (Plan-Do-Check-Act):
- pianificazione delle azioni;
- relativa implementazione;
- monitoraggio;
- azioni correttive.
Viene spiegato come procedere, ma il focus è sul ruolo del monitoraggio e del miglioramento continuo che diventa centrale nella strategia di governance. Il sistema di controllo dovrebbe anticipare possibili violazioni per evitarle. Ancora una volta il testo invita il professionista a rendere la privacy un pilastro della strategia d’impresa e non considerarlo solo un obbligo normativo. Quindi la crescita aziendale avviene anche attraverso il raggiungimento di obiettivi di privacy.
Considerata la gestione di dati sensibili da parte dello studio professionale, il titolare è chiamato ad assumere un ruolo attivo e proattivo, attraverso l’analisi dei risultati del monitoraggio, la valutazione di incidenti e non conformità e l’implementazione di opportuni miglioramenti.
Giulia Zecca – Centro Studi CGN
