Fornite dal Garante della Privacy precisazioni sul ruolo e responsabilità dei consulenti del lavoro
Il Garante per la privacy ha recentemente fornito importanti precisazioni in merito al ruolo e alle responsabilità dei consulenti del lavoro nell’ambito dei trattamenti dei dati personali dei dipendenti dei loro clienti (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9080970).
L’Autorità ha evidenziato come il GDPR abbia
confermato le previgenti definizioni di titolare (soggetto che “determina le
finalità e i mezzi del trattamento di dati personali”) e responsabile del
trattamento (soggetto che “tratta dati personali per conto del titolare del
trattamento”) e che, quindi, anche nell’ambito del nuovo quadro regolatorio,
la figura del responsabile del trattamento sia connotata dallo
svolgimento di attività delegate dal titolare.
Ne consegue – come indicato in una nota di
approfondimento dei colleghi dell’Area Affari Legislativi di Confindustria –
che, con riferimento ai trattamenti svolti nell’ambito della propria attività,
i consulenti del lavoro assumono la qualifica di:
- “titolari” quando trattano, in piena
autonomia e indipendenza, i dati dei propri dipendenti e dei propri
clienti persone fisiche. In tal caso, infatti, il consulente del lavoro
agisce in piena autonomia e indipendenza, determinando puntualmente le
finalità e i mezzi del trattamento per il raggiungimento di scopi
attinenti alla gestione della propria attività. La base giuridica di tali
trattamenti è, quindi, rinvenibile nell’esecuzione del contratto tra il
consulente del lavoro e l’interessato (proprio dipendente o cliente
persona fisica);
- “responsabili” quando trattano i dati dei
dipendenti dei loro clienti (es. elaborazione e predisposizione delle
buste paga, pratiche per l’assunzione e fine rapporto, gestione
adempimenti in materia previdenziale e assistenziale). In tal caso,
infatti, il consulente del lavoro agisce sulla base dell’incarico
ricevuto, utilizza i dati raccolti dal suo cliente (datore di lavoro
dell’interessato) in base al contratto e a norme di legge e di regolamento
e opera in base ai criteri e alle direttive da questo impartite. La
base giuridica di tali trattamenti è, quindi, rinvenibile nell’esecuzione del
contratto di lavoro di cui è parte il cliente e nell’adempimento dei
connessi obblighi di legge e si trasferisce al consulente del
lavoro in ragione dell’affidamento dell’incarico e della sua designazione
a responsabile del trattamento.
Quanto alla nomina del consulente del
lavoro quale responsabile del trattamento, l’affidamento dell’incarico deve
avvenire attraverso la sottoscrizione di un “contratto o altro atto
giuridico” stipulato concordemente dalle parti tenendo conto dei compiti in
concreto affidati, del contesto, delle finalità e modalità del trattamento, e
non in base a modelli non aderenti alle circostanze del caso concreto o imposti
unilateralmente.
In merito alla qualificazione del
consulente del lavoro, l’Autorità ha precisato come la necessaria iscrizione a
specifici Albi professionali certifichi la specifica preparazione del
consulente e la possibilità di assumere “gli adempimenti in materia di
lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, quando non
sono curati dal datore di lavoro, direttamente od a mezzo di propri
dipendenti”. Tuttavia, tale circostanza ˗ per espresso volere del
legislatore e anche a garanzia del consulente ˗ non esime il datore di lavoro
dalla assunzione della responsabilità prevista dall’ordinamento in caso di
violazione degli obblighi posti in materia di lavoro, previdenza e assistenza
sociale.
Con riferimento alle responsabilità, il
Garante per la privacy ha evidenziato come il GDPR abbia riconosciuto al
responsabile del trattamento un apprezzabile margine di autonomia
nell’individuazione e predisposizione di idonee misure di sicurezza, sia
tecniche che organizzative, a tutela dei dati personali trattati. Pertanto, il
consulente del lavoro adotterà le misure tecniche ed organizzative
adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché
della natura, dell’oggetto, del contesto e delle finalità del trattamento, come
anche del rischio di varia probabilità e gravità per i diritti e le libertà
delle persone fisiche”. In ogni caso, con riferimento alla gestione
dell’archivio informatico tenuto dal consulente del lavoro, al termine del
rapporto professionale, i dati contenuti negli archivi dovranno essere
cancellati (oppure anonimizzati) e/o consegnati al titolare conformemente alle
condizioni individuate nel contratto di affidamento dell’incarico.
Quanto all’organizzazione e
all’inquadramento di eventuali collaboratori del consulente, a seconda delle
concrete operazioni di trattamento affidate e del margine di autonomia loro
riconosciuto, essi risulteranno quali soggetti autorizzati – e operanti sotto
l’autorità del consulente – ovvero quali subresponsabili del trattamento. In
quest’ultimo caso, il ricorso a subresponsabili deve essere autorizzato, anche
in via generale, dal titolare.
Infine, appare opportuno evidenziare come il Garante
per la privacy abbia espressamente escluso la configurabilità di un rapporto di
contitolarità tra cliente (datore di lavoro dell’interessato) e consulente del
lavoro.
