CONSULENTI DEL LAVORO E GDPR: COME ADEGUARSI
(La diatriba a seguito dell’entrata in vigore del Regolamento UE 679/2016 e l’intervento chiarificatore del Garante)
I dati personali oggetto di trattamento da parte del Consulente del lavoro nell’ambito dello svolgimento della propria attività sono molteplici e tra questi si annoverano anche i cd. dati di natura particolare.
Con l’entrata in vigore del GDPR, il ruolo di questo professionista è stato protagonista di un ampio dibattito con riferimento al suo corretto inquadramento tra le figure rilevanti della nuova normativa europea.
Nello specifico, la diatriba si fondava sul quesito se considerare il consulente del lavoro un titolare autonomo del trattamento o nominarlo responsabile esterno del trattamento ai sensi dell’art 28 GDPR che, lo si ricorda al lettore, al par. 1 prescrive che: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
È con il provvedimento del 22 gennaio 2019 che il Garante per la Protezione dei Dati Personali, ha fatto chiarezza sul ruolo ricoperto dai consulenti del lavoro in seguito all’entrata in vigore del Reg. UE 679/2016.
Tale documento discende dall’iniziativa intrapresa dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro, il quale ha rivolto all’Autorità del Garante la questione su quale ruolo previsto dal Regolamento i consulenti del lavoro debbano avere nello svolgimento dei propri compiti.
Il fondamento normativo sul quale si è fondato il quesito è la Legge n. 12/79 (“Norme per l’ordinamento della professione di Consulente del Lavoro”) e qualora il consulente non abbia una propria autonomia decisionale e concettuale allora vi è un contrasto con la norma ai sensi della quale “tutti gli adempimenti in materia di lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, quando non sono curati dal datore di lavoro, direttamente od a mezzo di propri dipendenti, non possono essere assunti se non da coloro che siano iscritti nell’albo dei consulenti del lavoro”.
Il Garante, nel provvedimento del 22 gennaio 2019, a cui segue la precisazione nella newsletter del 7 febbraio 2019, ha in primo luogo ribadito la linea di continuità tra il Regolamento 679/2016 e la Direttiva 95/46/CE per ciò che riguarda i ruoli di titolare e responsabile, evidenziando come l’articolo 28 del Regolamento abbia, rispetto alla Direttiva, precisato e delimitato i compiti che possono essere attribuiti dal titolare al responsabile, individuando l’ambito delle rispettive responsabilità e gli obblighi di cooperazione cui è soggetto il responsabile.
Inoltre, ritiene che sia fondamentale distinguere l’attività del consulente valutando se i dati che tratta riguardano i propri dipendenti o i propri clienti (persone fisiche), oppure se oggetto del trattamento sono i dati dei dipendenti del cliente per cui svolge l’incarico.
Nel primo caso, il consulente agisce in piena autonomia, decide modalità del trattamento dei dati per le finalità che riguardano la gestione della propria attività, pertanto il suo ruolo non può essere che quello di titolare del trattamento. Qualora, invece il consulente tratta i dati dei dipendenti dei propri clienti, la sua qualifica sarà quella di responsabile del trattamento, non potendo configurarsi in tal caso la qualifica dico-titolare del trattamento.
Specifica infine l’Autorità Garante che: “nell’ipotesi riguardante il trattamento dei dati relativi ai propri clienti da parte del consulente del lavoro (i.e. i dati del datore di lavoro che gli trasmette i dati dei suoi dipendenti), la base giuridica che facoltizza il trattamento in capo al soggetto in questione – che in tale caso rivestirà il ruolo di titolare del trattamento – è rinvenibile nell’esecuzione del contratto (art. 6, par. 1, lett. b, del Regolamento).
Diversamente, qualora il consulente del lavoro agisca in veste di responsabile del trattamento, la base normativa che legittima il trattamento dei dati personali, anche “sensibili” riguardanti i clienti del datore di lavoro va individuata in capo al suo cliente (ovverosia il datore di lavoro/titolare) ai sensi dell’art. 9, par. 2, lett. b), del Regolamento: infatti, la legittimità del trattamento si “trasferisce” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento”.
Avv. Eleonora Mataloni