Avvocato privacy e consulenza GDPR (DPO esterno)

Redazione di informative, registri dei trattamenti, DPIA, nomine DPO e contratti privacy ai sensi del Reg. UE 2016/679 e del D.lgs. 196/2003.

Per un'azienda o un ente, un trattamento dati non conforme o un data breach gestito male possono tradursi in sanzioni del Garante e danni reputazionali. Il sistema privacy, fondato sul Regolamento (UE) 2016/679 (GDPR) e sul D.lgs. 196/2003 (Codice Privacy, come modificato dal D.lgs. 101/2018), impone adempimenti precisi — informative, registro dei trattamenti, DPIA, nomina del DPO nei casi previsti, gestione dei data breach — secondo i principi di accountability, privacy by design e by default. Adeguarsi richiede competenza giuridica, non solo strumenti tecnici.

Lo Studio Legale Calzoni offre consulenza GDPR e privacy ad aziende, enti pubblici e studi professionali, anche con il ruolo di DPO esterno. L'avvocato esperto in privacy assiste nella redazione di informative e registri dei trattamenti, nelle valutazioni d'impatto (DPIA), nella gestione dei data breach e nei rapporti con il Garante per la protezione dei dati personali, ai sensi del Reg. UE 2016/679, su tutto il territorio nazionale.

Cosa facciamo

• Redazione di informative privacy per aziende, enti e siti web (artt. 13-14 GDPR)
• Predisposizione e aggiornamento del registro dei trattamenti (art. 30 GDPR)
• Valutazione di impatto sulla protezione dei dati (DPIA — art. 35 GDPR)
• Nomina del DPO interno o esterno e supporto continuativo
• Contratti di nomina del responsabile del trattamento (art. 28 GDPR)
• Designazione e formazione delle persone autorizzate al trattamento
• Cookie policy, cookie banner e gestione del consenso
• Trasferimenti di dati extra UE: clausole contrattuali tipo (SCC) e valutazioni
• Gestione e notifica di data breach al Garante e agli interessati
• Audit privacy e verifiche di conformità periodiche
• Risposta alle istanze degli interessati (accesso, cancellazione, portabilità, oblio)
• Difesa in procedimenti del Garante e in contenziosi privacy

Casi tipici

• Adeguamento al GDPR di un'azienda o di un ente pubblico
• Predisposizione del registro dei trattamenti e delle informative
• Nomina del DPO interno o esterno e definizione del rapporto
• Redazione della DPIA per trattamenti ad alto rischio
• Gestione di un data breach: notifica al Garante e comunicazione agli interessati
• Verifica di conformità del sito web (cookie banner, privacy policy)
• Trasferimento dati extra UE: predisposizione di SCC e valutazione del paese terzo
• Risposta a un'istanza dell'interessato (accesso, cancellazione, portabilità)

Approfondimenti dallo studio su Avvocato privacy e consulenza GDPR (DPO esterno)

• Notifica data breach al Garante: quando è obbligatoria (e quando no) (12 Giugno 2026)
• Quando è obbligatorio nominare il DPO: la guida 2026 per imprese e Pubbliche Amministrazioni (5 Giugno 2026)
• Tracking pixel nelle email: cosa cambia con le Linee guida del Garante 2026 (9 Maggio 2026)
• L’accesso alle immagini delle telecamere comunali (4 Maggio 2026)
• Videosorveglianza sul lavoro: cosa deve fare l’azienda (3 Aprile 2025)
• La privacy applicata alle graduatorie dei concorsi pubblici (11 Novembre 2024)

Domande frequenti

A chi rivolgersi per la consulenza GDPR di un'azienda?

Per la consulenza GDPR un'azienda può rivolgersi a un avvocato esperto in privacy, che cura informative, registro dei trattamenti, DPIA, nomine e contratti privacy e può assumere il ruolo di DPO esterno. Lo Studio Legale Calzoni assiste aziende ed enti su tutto il territorio nazionale. Il primo contatto è gratuito.

Quando serve un avvocato esperto in privacy o un DPO esterno?

Serve quando l'organizzazione tratta dati su larga scala o categorie particolari, in caso di data breach, contestazioni del Garante o necessità di adeguamento al GDPR. Il DPO esterno è obbligatorio per gli enti pubblici e per i soggetti privati che svolgono trattamenti su larga scala o di dati sensibili: affidarlo a un avvocato unisce competenza giuridica e indipendenza.

Quando è obbligatorio nominare il DPO (Responsabile della Protezione dei Dati)?

L'art. 37 del GDPR prevede l'obbligo di nomina del DPO in tre casi: per tutte le autorità e gli enti pubblici (escluse le autorità giurisdizionali nell'esercizio delle funzioni); per titolari o responsabili la cui attività principale consiste in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; per chi tratta su larga scala categorie particolari di dati (art. 9) o dati relativi a condanne penali (art. 10). Le linee guida WP243 chiariscono i criteri applicativi.

Chi deve tenere il registro dei trattamenti?

L'art. 30 GDPR impone il registro a tutti i titolari e responsabili del trattamento. È previsto un esonero parziale per imprese e organizzazioni con meno di 250 dipendenti, ma solo se il trattamento non è abituale, non riguarda categorie particolari di dati o dati relativi a condanne penali, e non comporta rischio per i diritti e le libertà degli interessati. In pratica, l'esonero opera raramente: la maggior parte delle realtà deve tenere il registro.

Quando è necessaria la valutazione d'impatto (DPIA)?

L'art. 35 GDPR prescrive la DPIA quando un tipo di trattamento, considerati natura, oggetto, contesto e finalità, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Le linee guida WP248 e l'elenco del Garante italiano indicano casi tipici: monitoraggio sistematico su larga scala, trattamento di dati particolari su larga scala, profilazione automatizzata con effetti significativi, uso innovativo di tecnologie (biometria, IA), dati di soggetti vulnerabili.

Cosa fare in caso di data breach?

In caso di violazione dei dati personali occorre: documentare l'evento nel registro interno delle violazioni (art. 33 c.5 GDPR); notificare al Garante entro 72 ore dalla conoscenza, salvo che sia improbabile un rischio per i diritti degli interessati; comunicare la violazione agli interessati senza ingiustificato ritardo se il rischio è elevato (art. 34 GDPR). La valutazione del rischio segue i criteri di ENISA e dell'European Data Protection Board (EDPB).

Qual è la differenza tra titolare e responsabile del trattamento?

Il titolare del trattamento è il soggetto che determina finalità e mezzi del trattamento (es. l'azienda o l'ente che decide di gestire i dati dei propri clienti). Il responsabile del trattamento tratta i dati per conto del titolare sulla base di un contratto scritto ex art. 28 GDPR (es. il fornitore IT che gestisce un gestionale). I due ruoli hanno responsabilità e obblighi documentali distinti: il titolare risponde della scelta del responsabile; il responsabile risponde nei limiti del contratto e degli obblighi diretti del GDPR.

Quanto può sanzionare il Garante per la protezione dei dati personali?

L'art. 83 GDPR prevede sanzioni amministrative pecuniarie fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato annuo globale dell'esercizio precedente (il maggiore dei due) per le violazioni più gravi. Per le violazioni minori il tetto è 10 milioni o 2% del fatturato. Il Garante italiano ha emesso negli ultimi anni provvedimenti significativi nei confronti di pubbliche amministrazioni e imprese private, anche con sanzioni di rilievo, e dispone di poteri istruttori e ispettivi diretti.

Privacy e GDPR per scuole, studi medici e ordini professionali: cosa cambia?

Scuole, studi medici e ordini professionali rientrano pienamente nell'ambito GDPR e trattano spesso categorie particolari di dati (sanitari, di minori, biometrici). Adempimenti specifici: nomina del DPO obbligatoria per scuole pubbliche e ordini professionali (in quanto enti pubblici); DPIA frequente per trattamenti su larga scala di dati particolari; registro dei trattamenti dettagliato; modulistica dedicata per consensi e informative (es. trattamento di immagini e dati di minori a scuola); formazione periodica del personale autorizzato al trattamento.