Consulenti del lavoro: titolari o responsabili del trattamento dei dati?
Indice:
1. Introduzione
2. Titolare o responsabile del trattamento?
3. Basi giuridiche
4. Archivio informatico e cancellazione dei dati al termine del rapporto professionale
1. Introduzione
Il nuovo Regolamento europeo per la protezione dei dati personali (“GDPR”) di confusione ne ha creata. A quasi un anno dalla sua entrata in vigore non sorprende l’elevato numero di quesiti sottoposti al Garante privacy e di certo le richieste di chiarimenti, precisazione e segnalazioni al Garante non sono “in via di estinzione”.
Veniamo adesso alla questione sottoposta al Garante per la protezione dei dati personali dal Consiglio nazionale dei consulenti del lavoro e da numerosi professionisti in merito al ruolo da attribuire al consulente del lavoro alla luce del GDPR, in particolare quando conferire al professionista la qualifica di titolare o di responsabile del trattamento, e quali compiti e responsabilità sono da attribuire al consulente in base al ruolo assunto.
Innanzitutto, la precisazione del Garante privacy del 22 gennaio 2019 chiarisce che il GDPR non si distanzia dalle definizioni di titolare e responsabile del trattamento come già prefigurate dalla Direttiva 95/46/CE (“Direttiva”).
Infatti, non diversamente da quanto previsto dall’articolo 2, lettera d) della suddetta Direttiva, l’articolo 4, n. 7 del Regolamento definisce “titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Quanto al responsabile, l’articolo 4, n. 8 del Regolamento definisce “responsabile del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
2. Titolare o responsabile del trattamento?
Tornando alla figura del consulente del lavoro, quando quest’ultimo assume la qualifica di titolare o di responsabile del trattamento?
Il Garante privacy, alla luce del quadro normativo sopra delineato, ha risposto al quesito posto dal Consiglio nazionale dei consulenti del lavoro affermando che nel caso in cui il consulente tratti i dati dei propri dipendenti o dei propri clienti (persone fisiche) nella sua qualità di professionista, in tal caso ricopre il ruolo di titolare del trattamento. Diversamente, qualora il consulente del lavoro tratti i dati dei dipendenti del proprio cliente (sulla base dell’incarico ricevuto), assume, in tal caso, la qualifica di responsabile del trattamento, limitandosi ad effettuare un’attività di trattamento per conto del cliente.
Con la precisazione diretta al Consiglio nazionale dei consulenti del lavoro, dunque, il Garante ha ampiamente chiarito il ruolo dei consulenti del lavoro nell’ambito privacy, e, in particolare, ha definito quando, nello specifico, a tale figura professionale deve essere attribuito il ruolo di responsabile del trattamento dei dati, facendo degli esempi concreti su determinate attività esternalizzate al consulente.
L’elaborazione e predisposizione di buste paga, la gestione dei trattamenti relativi all’assunzione e a quelli di fine rapporto, la gestione degli adempimenti previsti dalla disciplina previdenziale ed assistenziale, soprattutto in organizzazioni complesse, comporta l’utilizzo di professionalità esterne particolarmente qualificate, oltre al trattamento di una pluralità di dati personali, anche particolari, relativi ai lavoratori, quali: dati identificativi, dati relativi a qualifica e carriera, dati sanitari, dati relativi all’adesione a organizzazioni sindacali.
Inoltre, il datore di lavoro fornisce i criteri in base ai quali attribuire progressioni economiche e giuridiche, nonché informazioni per l’erogazione di somme “una tantum”, premi di produttività e/o di presenza, o per la decurtazione di somme a seguito di provvedimenti disciplinari, oppure per il compimento degli atti relativi alla instaurazione o interruzione del rapporto, ecc.
Il Garante, pertanto, ha chiarito che il soggetto che svolge le suddette attività esternalizzate tratta di regola le informazioni relative ai lavoratori utilizzando i dati raccolti dal datore di lavoro nel perseguimento di finalità nonché in base ai criteri e alle direttive da questo impartite relativamente alla gestione del rapporto di lavoro. È, dunque, sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente.
Un’altra questione sollevata dal Consiglio nazionale riguarda il ruolo e i compiti da attribuire ai collaboratori dei consulenti del lavoro.
Il Garante ha chiarito questo aspetto, affermando che: “i collaboratori dei consulenti, in base alle concrete operazioni di trattamento affidate, potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’articolo 29 del Regolamento”. E ancora: “i collaboratori potranno assumere in concreto il ruolo di subresponsabili, qualora sia demandata “l’esecuzione di specifiche attività di trattamento per conto del titolare”.
3. Basi giuridiche
Tornando ai ruoli di titolare e responsabile del trattamento dei consulente del lavoro, il Garante ha ribadito due concetti importanti in merito a tali qualifiche.
Innanzitutto, nell’ipotesi in cui il consulente tratti i dati relativi ai propri clienti (titolare del trattamento), la base giuridica che riconosce il trattamento in capo al soggetto in questione è rinvenibile nell’esecuzione del contratto. Qualora, invece, il consulente del lavoro agisca in veste di responsabile del trattamento, la base normativa che legittima il trattamento dei dati personali, anche “particolari” riguardanti i clienti del datore di lavoro va individuata in capo al suo cliente (datore di lavoro/titolare).
Infatti, ha affermato il Garante, “la legittimità del trattamento si “trasferisce” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento”. Non è, pertanto, configurabile un rapporto di contitolarità tra datore di lavoro e consulente del lavoro.
4. Archivio informatico e cancellazione dei dati al termine del rapporto professionale
In conclusione, per quanto riguarda la gestione dell’archivio informatico tenuto dal consulente del lavoro, il Garante ha precisato che l’individuazione e la predisposizione delle misure di sicurezza adeguate al rischio è da riferirsi – in base a quanto previsto dal Regolamento – anche al responsabile, il quale adotterà le misure tecniche ed organizzative tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
Una volta concluso il rapporto professionale, ha affermato il Garante, i dati contenuti negli archivi dovranno essere cancellati o anonimizzati e/o consegnati al titolare, così come previsto dalle condizioni individuate nel contratto di affidamento dell’incarico. Va, tuttavia, considerato che questa prescrizione non definisce alcuni aspetti in ordine alle modalità di cancellazione, anonimizzazione dei dati (anche con riferimento alle copie di back up) e alla facoltà di conservazione per scopi difensivi.
Utile questa delucidazione del Garante non solo per i consulenti del lavoro ma anche per i clienti dei consulenti che, alla luce delle indicazioni fornite, possono autonomamente individuare il ruolo del professionista (appunto titolare o responsabile), riconoscendo, così, la qualifica da attribuire allo stesso in base al trattamento esternalizzato. E adesso non ci resta che attendere il prossimo quesito!
