Un cookie banner che blocca davvero gli script prima del consenso, registra ogni scelta in audit log firmato HMAC, e — se vuoi — gira interamente sui tuoi server. Per studi che hanno capito che il segreto professionale non si negozia con Google.
Lo studio legale italiano vive un paradosso: la deontologia (L. n. 247/2012, art. 13, e Codice deontologico forense art. 28) impone riservatezza assolutasui dati del cliente, ma il sito dello studio carica GA4, Meta Pixel, LinkedIn Insight Tag come qualunque ecommerce di scarpe. Ogni visita di un potenziale cliente — magari uno che cerca "avvocato penalista Milano divorzio urgente" — viene tracciata, profilata e inviata a Mountain View prima ancora che il banner appaia.
Per il Garante, dal Provvedimento del 10 giugno 2021 in poi, questo è chiaramente illecito: il prior blocking deve essere tecnico, non scenografico. Eppure la maggior parte dei CMP "blocca" sostituendo l'attributo type="text/plain" ai tag già nel DOM — e GA4 spara la prima richiesta lo stesso. Per uno studio legale significa: l'identità di chi ti sta visitando viene rivelata a Big Tech prima del consenso. Se quel visitatore è la controparte in un procedimento, o un cliente che sta cercando consulenza riservata, hai un problema di art. 9 GDPR (categorie particolari per orientamento sessuale, salute, dati giudiziari) e di art. 32 (misure tecniche inadeguate).
Aggiungi che molti studi hanno più siti (uno per studio principale, uno per ogni associato, uno per una nicchia di pratica) e che le ispezioni del Garante chiedono prove documentali del consenso ex art. 7(1) GDPR: senza un audit log immutabile, non hai nulla da depositare. Un export CSV del CMP non è opponibile — chiunque può modificarlo.
Prior blocking, audit log immutabile, sub-DPA, residenza dati EU. Senza giri di parole.
Intercettiamo fetch, XHR, img.src e iframe esterni prima che partano. GA4, Meta Pixel, LinkedIn, Hotjar, intercom: zero richieste fino al consenso esplicito. Conforme CJEU C-673/17 Planet49 e Garante 10/06/2021.
Ogni consenso registrato con IP+UA+timestamp+versione banner+geo, firmato HMAC con chiave dedicata. Export PDF/CSV/JSON pronto per ispezione Garante. Soddisfa art. 7(1) e art. 5(2) GDPR (onere della prova del titolare).
Codebase Tuelia installata sui tuoi server (VPS, on-prem, cloud privato). Nessun dato di consenso esce mai dalla tua infrastruttura. Stesso prodotto del Cloud, zero downgrade. Contratto dedicato, SLA, aggiornamenti continui.
Form pubblico per esercizio diritti dell'interessato, ticket interno con scadenze GDPR (30 gg), log delle azioni. Multi-utente con ruoli (utile per studi con più associati, paralegal o DPO esterno).
"L'avvocato è tenuto, nell'interesse del proprio assistito, alla rigorosa osservanza del segreto professionale e al massimo riserbo su fatti e circostanze in qualsiasi modo apprese nell'attività di rappresentanza e assistenza in giudizio, nonché nello svolgimento dell'attività di consulenza legale e di assistenza stragiudiziale."
"Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso."
"È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona."
Raccomandiamo la partnership self-hostedagli studi che gestiscono dati particolari (art. 9 GDPR), che hanno un'area clienti riservata sul sito, o che hanno tra i clienti enti pubblici, multinazionali e soggetti regolati. Per gli altri, il piano Cloud Pro con DPA esteso è un buon compromesso. Ecco la differenza in pratica:
| Aspetto | Cloud Pro / Agency | Self-hosted partnership |
|---|---|---|
| Dove vivono i consensi | Postgres EU (Francoforte), gestito da Tuelia | I tuoi server. Solo i tuoi. |
| DPA art. 28 GDPR | Standard, firmato online | Contratto di licenza partner dedicato |
| Sub-responsabili | CDN (Cloudflare), DB host EU, scanner | Nessuno — solo te |
| Setup | 10 minuti, dal pannello | 1-2 settimane, accompagnato da noi |
| Costo indicativo | €7-19/mese | Programma partnership, da concordare |
| Aggiornamenti | Automatici | Push da repo privato, controlli tu il deploy |
Onestamente: il self-hosted non è gratis e non è veloce da attivare. Richiede un'infrastruttura (anche un piccolo VPS EU va bene) e qualcuno che sappia fare deploy. In cambio, hai una garanzia che nessun cloud provider ti può dare: nessuna parte terza tocca mai i dati dei visitatori del tuo sito.
Il programma di partnership self-hosted è pensato proprio per studi legali, sanità, banche e PA. Scrivici due righe: ti rispondiamo entro un giorno lavorativo con tempi, costi indicativi e una chiamata tecnica per capire la tua infrastruttura.