CONSULENTI DEL LAVORO: Responsabili o Co-Titolari del Trattamento?

vincenzo news-IT

A cura dell’Avv. Danilo Quaglini.

Il 22 gennaio scorso, il Garante della Privacy, rispondendo a un quesito specifico, ha chiarito, finalmente, il ruolo dei Consulenti del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016. In merito, infatti, si era acceso un complesso dibattito con due diversi e opposti punti di vista, alimentato soprattutto dalla decisione del Consiglio Nazionale dei Consulenti del Lavoro di schierarsi verso la contitolarità del Trattamento per i Consulenti del Lavoro stessi.

Nella circolare del 23 luglio 2018 n. 1150, il Consiglio Nazionale si leggeva che: “il consulente del lavoro nelle attività di trattamento di dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di titolare del trattamento. È possibile ritenere configurabile, al più, una fattispecie di co-titolarità” e, infatti, così concludeva: “la co-titolarità del Trattamento è ruolo fisiologico per il Consulente del lavoro e discende dal mandato professionale assunto per la gestione dei rapporti di lavoro. In forza di tale ruolo il Consulente-titolare è autonomo nella gestione dei dati delle aziende assistite all’interno del proprio studio, restando escluso e deresponsabilizzato dalle eventuali violazioni della richiamata normativa da parte del proprio cliente nella gestione della propria organizzazione”.

Il Garante della Privacy, preliminarmente, ha voluto chiarire che il Regolamento (UE) 679/2016, quanto alla individuazione dei ruoli di titolare (“controller”; ex art. 4, n. 7 e 24) e responsabile (“processor”; ex art. 4, n. 8 e 28) ed alla distribuzione della relativa responsabilità, si pone in linea di continuità con quanto già prefigurato nella Direttiva 95/46/CE (di seguito: Direttiva).

Infatti, non diversamente da quanto previsto dall’art. 2, lett. d) Direttiva(1), l’art. 4, n. 7 del Regolamento definisce “«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Quanto al responsabile, l’art. 4, n. 8 del Regolamento definisce “«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Alla luce del quadro normativo sopra delineato, in via prioritaria occorre distinguere i segmenti di attività in cui il consulente del lavoro si muove:

  • Quando tratta i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista, attività fiscalmente e normativamente regolamentata,
  • dalla diversa attività (tipica di questo ordine professionale) per la quale il medesimo soggetto tratta i dati dei dipendenti del cliente.

Nel primo caso il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività. Per tali ragioni, egli ricopre il ruolo di titolare del trattamento (art. 4, par. 1, punto 7, del Regolamento), in quanto non si limita ad effettuare un’attività meramente esecutiva di trattamento, “per conto” del cliente, bensì esercita un potere decisionale del tutto autonomo sulle finalità e i mezzi del trattamento.

Nel secondo caso occorre fare riferimento alla figura del responsabile, che, anche in base alla nuova disciplina pienamente in vigore nel nostro ordinamento a far data dal 25 maggio 2018 rimane connotata dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse (in termini di conoscenze specialistiche, di affidabilità, di struttura posta a disposizione, v. considerando 81, Reg. cit.), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare. Il titolare, pertanto, è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, assume le decisioni di fondo relative a finalità e modalità di un trattamento lecitamente effettuato in base ad uno dei criteri di legittimazione individuati dall’ordinamento (v. artt. 6 e 9 del Regolamento).

A titolo esemplificativo, il Garante ha ritenuto che rivesta, di regola, il ruolo di responsabile la società capogruppo delegata da società controllate e collegate a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori, il soggetto che fornisce servizi di localizzazione geografica, i servizi di posta elettronica, i servizi di televigilanza. In definitiva, secondo il costante orientamento espresso dall’Autorità, le attività di trattamento svolte da soggetti esterni per conto del titolare, il quale può decidere di affidare all’esterno lo svolgimento di compiti strettamente connessi all’esecuzione di obblighi previsti dalla normativa lavoristica e/o dal contratto di lavoro, devono, di regola, essere inquadrate nello schema titolare/responsabile del trattamento.

Quando il consulente del lavoro, inoltre, agisce in veste di responsabile del trattamento, la base normativa che legittima il trattamento dei dati personali, anche “sensibili” riguardanti i clienti del datore di lavoro va individuata in capo al suo cliente (ovverosia il datore di lavoro/titolare) ai sensi dell’art. 9, par. 2, lett. b), del Regolamento: infatti, la legittimità del trattamento si “trasferisce” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento.

Per quanto riguarda, infine, la gestione dell’archivio informatico tenuto dal consulente del lavoro si osserva che l’individuazione e la predisposizione delle misure di sicurezza adeguate al rischio, come già evidenziato, è posta in carico dal Regolamento anche al responsabile, il quale adotterà le misure tecniche ed organizzative adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (v. art. 32, par. 1 del Regolamento).

Al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati (oppure anonimizzati) e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.

In conclusione, pertanto, la migliore collocazione dei Consulenti del Lavoro è quella di cui all’art. 28 GDPR, quali Responsabili dei Trattamenti, a prescindere dalla firma di modelli o formulari, in quanto la loro figura è così individuata nella sostanza; meglio allora codificare con un contratto tale figura, anche a tutela del Consulente del Lavoro, in modo tale da chiarire ruoli, responsabilità, diritti reciproci tra le parti in causa.

Condividi quest'articolo