Il Garante Privacy ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del Regolamento UE n.679/2016. Tali figure sono identificate quali responsabili del trattamento qualora trattino i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.
Il Garante Privacy, in risposta ad un quesito posto dal Consiglio nazionale dei consulenti del lavoro, ha chiarito il ruolo e le responsabilità di queste figure nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, identificandoli come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.
Viene evidenziato come il GDPR abbia confermato le previgenti definizioni di titolare e di responsabile del trattamento e che, anche nell’ambito del nuovo quadro regolatorio, la figura del responsabile del trattamento sia connotata dallo svolgimento di attività delegate dal titolare il quale, in dipendenza delle proprie scelte organizzative, può individuare un soggetto qualificato allo svolgimento delle stesse.
Sulla base dei trattamenti svolti nell'ambito della propria attività, l'Autorità identifica i consulenti del lavoro quali:
· “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti e dei propri clienti persone fisiche. In tal caso il consulente del lavoro agisce in piena autonomia e indipendenza, determinando puntualmente le finalità e i mezzi del trattamento per il raggiungimento di scopi attinenti alla gestione della propria attività. La base giuridica di tali trattamenti è costituita dall’esecuzione del contratto tra il consulente del lavoro e l’interessato (proprio dipendente o cliente persona fisica);
· “responsabili” quando trattano i dati dei dipendenti dei loro clienti (es. in caso di elaborazione e predisposizione delle buste paga, pratiche per l’assunzione e fine rapporto, gestione adempimenti in materia previdenziale e assistenziale). In tal caso, infatti, il consulente del lavoro agisce sulla base dell’incarico ricevuto, utilizza i dati raccolti dal suo cliente (datore di lavoro dell'interessato) in base al contratto e a norme di legge e di regolamento e opera in base ai criteri e alle direttive da questo impartite. La base giuridica di tali trattamenti è costituita dall’esecuzione del contratto di lavoro di cui è parte il cliente e dall’adempimento dei connessi obblighi di legge e si trasferisce al consulente del lavoro in ragione dell’affidamento dell’incarico e della sua designazione a responsabile del trattamento.
In merito alla nomina del consulente del lavoro quale responsabile del trattamento, l’affidamento dell’incarico deve avvenire attraverso la sottoscrizione di un “contratto o altro atto giuridico” stipulato dalle parti tenendo conto dei compiti in concreto affidati, del contesto, delle finalità e modalità del trattamento, e non in base a modelli non aderenti alle circostanze del caso concreto o imposti unilateralmente.
L’Autorità ha precisato come l'iscrizione a specifici Albi professionali del consulente del lavoro ne certifichi la specifica preparazione e la possibilità di assumere “gli adempimenti in materia di lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, quando non sono curati dal datore di lavoro, direttamente od a mezzo di propri dipendenti”. Tale circostanza, per espresso volere del legislatore e anche a garanzia del consulente, non esime il datore di lavoro dalla responsabilità prevista dall’ordinamento in caso di violazione degli obblighi posti in materia di lavoro, previdenza e assistenza sociale.
Per quanto riguarda le responsabilità, il Garante per la privacy ha evidenziato come il GDPR abbia riconosciuto al responsabile del trattamento un apprezzabile margine di autonomia nell’individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati. Pertanto, il consulente del lavoro adotterà le misure tecniche ed organizzative adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
La gestione dell’archivio informatico tenuto dal consulente del lavoro, al termine del rapporto professionale, i dati contenuti negli archivi dovranno essere cancellati (oppure anonimizzati) e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.
Quanto all’organizzazione e all’inquadramento di eventuali collaboratori del consulente, a seconda delle concrete operazioni di trattamento affidate e del margine di autonomia loro riconosciuto, essi risulteranno quali soggetti autorizzati, quali figure che operano sotto l’autorità del consulente, oppure quali sub responsabili del trattamento. In quest’ultimo caso, il ricorso a sub responsabili deve essere autorizzato dal titolare.
L'Autorità ha espressamente escluso la configurabilità di un rapporto di contitolarità tra cliente (datore di lavoro dell'interessato) e consulente del lavoro.
Fonte: Confindustriaemilia