La conservazione dei dati personali da parte dei professionisti è un tema che raramente emerge nel dibattito pubblico con la concretezza necessaria. Il caso del commercialista Giangaetano Bellavia offre l’occasione per chiarire quando conservare dati è lecito, quando non lo è e quali sono le norme che regolano questa distinzione.
Indice degli argomenti
Il caso Bellavia e la denuncia che ha aperto un fascicolo
Tra gennaio e le prime settimane di questo mese di febbraio 2026 diversi articoli pubblicati sui maggiori quotidiani nazionali riportavano una vicenda che ha visto coinvolto il commercialista Giangaetano Bellavia, noto per aver svolto numerosi incarichi di consulenza tecnica per procure italiane, in particolare in materia di criminalità economica, riciclaggio e analisi dei flussi societari, oltre a essere consulente televisivo della trasmissione “Report”.
La vicenda nasce da una denuncia presentata dallo stesso professionista nei confronti di una sua collaboratrice, accusata di avere sottratto un’ingente quantità di file riservati dall’archivio informatico dello Studio. La collaboratrice è stata poi effettivamente rinviata a giudizio, come riportato dai medesimi quotidiani.
Tale giusta denuncia da parte del professionista, ha avuto la conseguenza di fare iscrivere lo stesso e a sua volta, nel registro degli indagati per ipotesi di violazione della normativa in materia di protezione dei dati personali, con specifico riferimento alla conservazione di dati giudiziari oltre la conclusione degli incarichi.
Parallelamente, il Garante per la protezione dei dati personali ha avviato un’istruttoria amministrativa sulla correttezza del trattamento, con riguardo alla finalità, alla durata della conservazione e alle misure di sicurezza adottate, ipotizzando in generale un trattamento illecito di dati personali.
Non è, evidentemente, noto come si evolveranno le indagini in corso né, sarebbe possibile o corretto valutare eventuali responsabilità e/o violazioni ancora oggetto di indagini ed istruttorie.
Perché questo caso offre spunti su un nodo giuridico irrisolto
Tuttavia, quanto accaduto offre interessanti spunti di riflessione generali, in particolare sulla conservazione di dati personali e nel caso in specie, su quale sia il nodo giuridico per stabilire se e come e per quanto tempo conservare i dati personali raccolti nello svolgimento delle attività professionali di commercialista, avvocato, architetto, un medico, etc.
Vediamo allora quale sarebbe il pivot su cui basare tale valutazione quando un professionista –al netto dei codici deontologici e normative di settore – riceve un incarico.
I principi GDPR sulla conservazione dei dati personali
Partiamo quindi dai principi generali utili all’analisi e sanciti dal Regolamento Europeo in materia di dati personali 679/2016, il noto GDPR, per poi arrivare a quella che è la fonte specifica da tenere in considerazione per il caso di incarichi come perito o consulente di una autorità giudiziaria, fonte che peraltro è decisamente antecedente al GDPR, posto che il GDPR è solo l’ultima normativa in ordine cronologico che disciplina in maniera organica la protezione dei dati personali e i relativi trattamenti, la prima fu infatti la legge 675/1996.
In effetti, sarebbe inutile negare che il tema “privacy” sia diventato un tema caldo solo con l’evoluzione massiva delle possibilità tecnologiche e dei relativi rischi connessi. Ma è esattamente per questo motivo che è fondamentale sapere esattamente quando conservare i dati personali (e per quanto tempo) e quando no, perché il rischio sempre sotteso è l’esfiltrazione impropria di tali dati e più a lungo i dati sono conservati magari anche tutti insieme e senza distinzioni, più il rischio rimarrà attuale, tanto più e a maggior ragione se già a monte tali dati non si sarebbero dovuti conservare.
Il trattamento illecito tra rilevanza amministrativa e penale
Ed è altrettanto per tale ragione che la vicenda in esame offre spunti generali importanti, perché la stessa parrebbe collocarsi all’incrocio tra attività professionale privata e incarichi svolti quale consulente tecnico dell’autorità giudiziaria.
L’art. 5, par. 1, lett. e) GDPR stabilisce che i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
Il principio appena ripreso non vieta generalmente la conservazione o la conservazione prolungata, ma impone che essa sia funzionalmente giustificata dalla finalità del trattamento.
E la conservazione dei dati personali è ai sensi dell’articolo 4) (Definizioni) numero 2) del GDPR un trattamento vero e proprio.
Il trattamento infatti inizia con la raccolta dei dati personali e finisce solo quando questi siano stati cancellati, ovvero resi anonimi in modo tale che non sia più possibile identificare soggetti interessati, uscendo quindi dall’ambito di applicazione del GDPR.
Una conservazione di dati personali non consentita realizzerebbe quindi già di per sé un trattamento illecito dal punto di vista amministrativo ai sensi dell’articolo 83 comma 5) lettera a) del GDPR, anche se tale illecito potrebbe non essere penalmente rilevante, posto che, per la rilevanza penale è necessaria la sussistenza dell’elemento soggettivo di cui all’articolo 167 (trattamento illecito di dati) del d.lgs. 196/2003 come modificato dal d. lgs. 101/2018 (Codice Privacy), ossia quando il trattamento illecito è posto in essere “al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato”.
Ma allora, dove si trova il distinguo per definire correttamente la finalità del trattamento relativo ad un incarico ricevuto da un professionista e dunque i relativi obblighi di conservazione ovvero di non conservazione?
Le Linee Guida del Garante per consulenti e periti giudiziari
La soluzione la troviamo nelle Linee Guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero, delibera n. 46 del 26 giugno 2008 (Linee Guida).
Le Linee Guida – ancora in vigore e basate oggi sui principi del GDPR – hanno elaborato un principio particolarmente rigoroso per i professionisti consulenti tecnici d’ufficio, periti e ausiliari del pubblico ministero e in generale delle autorità giudiziarie: quando il trattamento dei dati è effettuato “per ragioni di giustizia” la disponibilità sostanziale dei dati permane in capo all’autorità.
Cosa significa? Significa che il consulente-professionista coinvolto, come espressamente descritto al punto 4 (conservazione e cancellazione dei dati) delle Linee Guida, non potrà conservare i dati e relativa documentazione contenente gli stessi, per un periodo di tempo superiore a quello necessario al perseguimento delle finalità per i quali essi sono stati raccolti e trattati.
In altre parole, esaurito l’incarico, i dati personali raccolti così come la documentazione stessa ricevuta, non potranno essere conservati, salvo quanto eventualmente stabilito da puntuali disposizioni normative ovvero da specifiche autorizzazioni dell’autorità giudiziaria che dispongano legittimamente ed espressamente in senso contrario.
Non è quindi possibile tenere un archivio professionale-giudiziario in qualità di consulente tecnico ausiliario dell’autorità, perché il consulente, in tale veste, non dispone dei dati e non è pertanto definibile come autonomo titolare o cotitolare del trattamento (a seconda dei casi), come avviene invece quando riceve un incarico professionale diretto.
Il ruolo del professionista come responsabile e non titolare del trattamento
Semmai, il professionista sarà responsabile del trattamento, ossia, ai sensi dell’articolo 4) n. 8) del GDPR, “la persona fisica (omissis) che tratta dati personali per conto del titolare del trattamento” in questo caso, l’autorità giudiziaria.
E anche qualora la conservazione sia legittimata per adempiere ad uno specifico obbligo normativo, ad esempio, in materia fiscale o contabile, potranno essere custoditi i soli dati personali effettivamente necessari per adempiere tale obbligo, in virtù del principio di minimizzazione del trattamento.
Anche in questo caso, le Linee Guida sono chiare, eventuali “ulteriori informazioni relative alle attività svolte devono essere quindi cancellate, oppure trasformate in forma anonima anche per finalità scientifiche o statistiche, tale da non poter essere comunque riferita a soggetti identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione”.
Il Garante, ha infatti più volte ribadito che il professionista in veste di consulente-ausiliario non può invocare generiche esigenze di “tutela professionale” per conservare copie integrali di atti processuali, soprattutto se contenenti dati giudiziari. Il professionista nell’esercizio di attività come sopra riportate dunque, non potrà avere un archivio professionale giudiziario poiché ha una detenzione dei dati e documenti temporanea e vincolata. La disponibilità dei dati non è funzionalmente sua, ma dell’ufficio giudiziario.
Il regime del professionista autonomo: più flessibilità, stesse garanzie
La disciplina muta invece radicalmente quando il professionista opera in proprio a seguito di un incarico di natura privatistica.
Infatti, in questo caso, la conservazione dei dati personali oggetto dell’incarico è non solo obbligatoria per ragioni di legge, quali normative fiscali, contabili, antiriciclaggio, termini di prescrizione anche per la responsabilità professionale, oltreché ai sensi delle regole dei rispettivi ordini professionali di appartenenza, ma essendo qui il professionista titolare del trattamento, questi ben potrà decidere la durata della conservazione di dati e documenti in virtù di diverse finalità e basi giuridiche, quali ad esempio il legittimo interesse ma anche il consenso del cliente, seppure rimarranno validi i principi del GDPR di minimizzazione e necessità anche se in maniera meno stringente, stabilendo opportunamente diversi periodi di conservazione anche per lo stesso dato personale – documento, ponendo quindi attenzione a come strutturare a livello organizzativo le proprie banche dati professionali, fermo restando che la conservazione di documentazione in virtù di basi giuridiche diverse dagli obblighi di legge, dovrà verosimilmente avere una durata inferiore ai 10 anni.
In tale ambito, quindi l'”archivio professionale” non solo è legittimo, ma costituisce presidio di responsabilità e tracciabilità.
La finalità del trattamento come criterio discriminante
Quando quindi il professionista agisce come titolare del trattamento, questi dovrà avere a mente l’articolo 24 del GDPR e tenere conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, mettendo in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.
Quando invece il professionista agisce solo come responsabile del trattamento per conto dell’autorità in qualità di ausiliario, perito, consulente, dovrà limitarsi a svolgere l’incarico ed eviterà di conservare qualsivoglia documentazione che non sia strettamente necessaria per dimostrare l’incarico stesso ai fini di legge generalmente intesa.
Il confine tra archivio professionale lecito e banca dati giudiziaria privata non dipende quindi dalla delicatezza dei nominativi contenuti nei fascicoli, ma dalla combinazione tra fonte dell’incarico, finalità del trattamento e (durata della) conservazione alla luce dei principi di pertinenza, minimizzazione e necessità effettiva essendo chiaramente la linea di demarcazione interamente funzionale e non soggettiva, poiché è la finalità – e non la categoria professionale – a determinare la legittimità della conservazione e quindi del perdurare di un trattamento di dati personali.
