GDPR – Consulenti del Lavoro: quando sono responsabili del trattamento dei dati

Fornite dal Garante della Privacy precisazioni sul ruolo e responsabilità dei consulenti del lavoro
Il Garante per la privacy ha recentemente fornito importanti precisazioni in merito al ruolo e alle responsabilità dei consulenti del lavoro nell’ambito dei trattamenti dei dati personali dei dipendenti dei loro clienti (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9080970).

L’Autorità ha evidenziato come il GDPR abbia confermato le previgenti definizioni di titolare (soggetto che “determina le finalità e i mezzi del trattamento di dati personali”) e responsabile del trattamento (soggetto che “tratta dati personali per conto del titolare del trattamento”) e che, quindi, anche nell’ambito del nuovo quadro regolatorio, la figura del responsabile del trattamento sia connotata dallo svolgimento di attività delegate dal titolare.

Ne consegue – come indicato in una nota di approfondimento dei colleghi dell’Area Affari Legislativi di Confindustria – che, con riferimento ai trattamenti svolti nell’ambito della propria attività, i consulenti del lavoro assumono la qualifica di:

  • titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti e dei propri clienti persone fisiche. In tal caso, infatti, il consulente del lavoro agisce in piena autonomia e indipendenza, determinando puntualmente le finalità e i mezzi del trattamento per il raggiungimento di scopi attinenti alla gestione della propria attività. La base giuridica di tali trattamenti è, quindi, rinvenibile nell’esecuzione del contratto tra il consulente del lavoro e l’interessato (proprio dipendente o cliente persona fisica);
  • responsabili” quando trattano i dati dei dipendenti dei loro clienti (es. elaborazione e predisposizione delle buste paga, pratiche per l’assunzione e fine rapporto, gestione adempimenti in materia previdenziale e assistenziale). In tal caso, infatti, il consulente del lavoro agisce sulla base dell’incarico ricevuto, utilizza i dati raccolti dal suo cliente (datore di lavoro dell’interessato) in base al contratto e a norme di legge e di regolamento e opera in base ai criteri e alle direttive da questo impartite. La base giuridica di tali trattamenti è, quindi, rinvenibile nell’esecuzione del contratto di lavoro di cui è parte il cliente e nell’adempimento dei connessi obblighi di legge e si trasferisce al consulente del lavoro in ragione dell’affidamento dell’incarico e della sua designazione a responsabile del trattamento.

Quanto alla nomina del consulente del lavoro quale responsabile del trattamento, l’affidamento dell’incarico deve avvenire attraverso la sottoscrizione di un “contratto o altro atto giuridico” stipulato concordemente dalle parti tenendo conto dei compiti in concreto affidati, del contesto, delle finalità e modalità del trattamento, e non in base a modelli non aderenti alle circostanze del caso concreto o imposti unilateralmente.

In merito alla qualificazione del consulente del lavoro, l’Autorità ha precisato come la necessaria iscrizione a specifici Albi professionali certifichi la specifica preparazione del consulente e la possibilità di assumere “gli adempimenti in materia di lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, quando non sono curati dal datore di lavoro, direttamente od a mezzo di propri dipendenti”. Tuttavia, tale circostanza ˗ per espresso volere del legislatore e anche a garanzia del consulente ˗ non esime il datore di lavoro dalla assunzione della responsabilità prevista dall’ordinamento in caso di violazione degli obblighi posti in materia di lavoro, previdenza e assistenza sociale.

Con riferimento alle responsabilità, il Garante per la privacy ha evidenziato come il GDPR abbia riconosciuto al responsabile del trattamento un apprezzabile margine di autonomia nell’individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati. Pertanto, il consulente del lavoro adotterà le misure tecniche ed organizzative adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. In ogni caso, con riferimento alla gestione dell’archivio informatico tenuto dal consulente del lavoro, al termine del rapporto professionale, i dati contenuti negli archivi dovranno essere cancellati (oppure anonimizzati) e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.

Quanto all’organizzazione e all’inquadramento di eventuali collaboratori del consulente, a seconda delle concrete operazioni di trattamento affidate e del margine di autonomia loro riconosciuto, essi risulteranno quali soggetti autorizzati – e operanti sotto l’autorità del consulente – ovvero quali subresponsabili del trattamento. In quest’ultimo caso, il ricorso a subresponsabili deve essere autorizzato, anche in via generale, dal titolare.

Infine, appare opportuno evidenziare come il Garante per la privacy abbia espressamente escluso la configurabilità di un rapporto di contitolarità tra cliente (datore di lavoro dell’interessato) e consulente del lavoro.