Garante privacy: rapporto tra Aziende e Consulenti del lavoro, alla luce del GDPR 679/2016

Il Garante per la privacy ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del Regolamento europeo, identificandoli come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.

Rispondendo al quesito posto (con note del 24/09/2018 e 3/12/2018) dal Consiglio Nazionale dei consulenti del lavoro, il Garante – con il Doc-Web: 9080970 – ha chiarito che il Regolamento UE 679/2016 si pone in linea di continuità con quanto già prefigurato dalla normativa preesistente, quanto alla individuazione dei diversi ruoli tra titolare del trattamento dati (“controller”; ex art. 4, n. 7 e 24) e responsabile del trattamento dati (“processor”; ex art. 4, n. 8 e 28) ed alla distribuzione della relativa responsabilità.

IL QUESITO
ll Consiglio nazionale ha richiesto all’Autorità alcuni chiarimenti sulla proposta interpretazione delle disposizioni del Regolamento, espressa anche nella propria circolare 23 luglio 2018, n. 1150 laddove, in particolare, si afferma che: “Il consulente del lavoro nelle attività di trattamento di dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di titolare del trattamento. E’ possibile ritenere configurabile, al più, una fattispecie di co-titolarità”.

Inoltre il Consiglio ha voluto ribadire la “piena autonomia di decisione nella scelta delle modalità e dei mezzi (anche tecnologici) ritenuti più opportuni, così come nella scelta dei collaboratori cui affidare il trattamento” , da parte dei consulenti del lavoro.

LE PRECISAZIONI DEL GARANTE
TITOLARE E RESPONSABILE DEL TRATTAMENTO DATI
Secondo il Garante, l’art. 4, n. 7 del Regolamento definisce «Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali».

Quanto al Responsabile, l’art. 4, n. 8 del Regolamento definisce «Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento».

Alla luce del quadro normativo suesposto, precisa il Garante, occorre distinguere il segmento di attività in cui il consulente del lavoro tratta i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista, attività (tipica di questo ordine professionale) per la quale il medesimo soggetto tratta i dati dei dipendenti del cliente.

Quando è Titolare del trattamento
Nel primo caso (tratta, cioè, tratta i dati dei propri dipendenti), il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività. Per tali ragioni, egli ricopre il ruolo di Titolare del trattamento (art. 4, par. 1, punto 7, del Regolamento), in quanto non si limita ad effettuare un’attività meramente esecutiva di trattamento, “per conto” del cliente, bensì esercita un potere decisionale del tutto autonomo sulle finalità e i mezzi del trattamento.

Quando, invece, è Responsabile del trattamento
Nel secondo caso (tratta i dati dei dipendenti del cliente), occorre fare riferimento alla figura del Responsabile, che, anche in base alla nuova disciplina, rimane connotata dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse, delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare. Il titolare pertanto è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, assume le decisioni di fondo relative a finalità e modalità di un trattamento lecitamente effettuato in base ad uno dei criteri di legittimazione individuati dall’ordinamento (v. artt. 6 e 9 del Regolamento).

L’articolo 28 del nuovo Regolamento UE – prosegue l’Autorità Garante – ha semmai, rispetto alla disciplina previgente, precisato e delimitato i compiti che possono essere attribuiti dal titolare al responsabile, individuando espressamente l’ambito delle rispettive responsabilità e gli obblighi di cooperazione cui è tenuto il responsabile esclusivamente in funzione delle attività svolte per conto del titolare (v. artt. 30, 33, par. 2 e 82 del Regolamento).

I consulenti del lavoro sono quindi “Titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche (come per esempio i liberi professionisti) determinando puntualmente le finalità e i mezzi del trattamento.
Sono, viceversa, “Responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare. È il caso, per esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e alla fine del rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori (dati identificativi, dati relativi a qualifica e carriera, dati sanitari, dati relativi all’adesione a organizzazioni sindacali, ecc.).

Si tratta di informazioni raccolte e utilizzate dai datori di lavoro in base al contratto e a norme di legge e di regolamento (come quelle in materia di lavoro, previdenza e assistenza sociale), e che vengono gestite dai consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti. Ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente.

INCARICATO DEL TRATTAMENTO
Il Garante ha inoltre preso in considerazione anche la figura dell’Incaricato, cioè chi effettua senza apprezzabili margini di autonomia operazioni di trattamento sotto l’autorità del titolare o del responsabile (art. 29 del Regolamento), precisando che questa figura si pone su un piano del tutto diverso rispetto alla figura del responsabile. La possibilità di attribuire specifiche funzioni e compiti a soggetti designati dal titolare o dal responsabile, assimilabili al ruolo di Incaricati del trattamento, è ora previsto dall’art. 2-quaterdecies del Codice in materia di protezione dei dati personali.

LE CONCLUSIONI
In termini generali, osserva il Garante, determinate attività che attengono all’ordinaria gestione degli obblighi derivanti dalla disciplina di settore e/o dal contratto applicabile (individuale o collettivo) sono ormai diffusamente affidate dal datore di lavoro a soggetti esterni ˗ sia nel settore privato sia in quello pubblico ˗ nell’ambito di processi di progressiva esternalizzazione di alcuni segmenti dell’attività di impresa. Si pensi alla elaborazione e predisposizione delle buste paga, alla gestione dei trattamenti relativi all’assunzione e a quelli di fine rapporto, alla gestione degli adempimenti previsti dalla disciplina previdenziale ed assistenziale.

L’effettuazione di tali attività, soprattutto in organizzazioni complesse, comporta l’utilizzo di professionalità esterne particolarmente qualificate e comporta il flusso di una pluralità di dati personali anche sensibili relativi ai lavoratori quali: dati identificativi, dati relativi a qualifica e carriera, dati sanitari, dati relativi all’adesione a organizzazioni sindacali. (Inoltre il datore di lavoro fornirà i criteri in base ai quali attribuire progressioni economiche e giuridiche, nonché fornire informazioni per l’erogazione di somme “una tantum”, premi di produttività e/o di presenza, o per la decurtazione di somme a seguito di provvedimenti disciplinari, oppure per il compimento degli atti relativi alla instaurazione o interruzione del rapporto, etc.).

Si tratta, con tutta evidenza, di informazioni raccolte e ulteriormente trattate dal datore di lavoro in base al contratto e alle norme di legge e di regolamento applicabili. Tali infatti sono le basi giuridiche idonee a legittimare trattamenti di dati personali nell’ambito del rapporto di lavoro, come ora specificato anche dal Regolamento UE 679/2016 (v. artt. 6, 9, par. 2, lett. b) e 88).
Il soggetto che svolge le attività esternalizzate su indicate, pertanto, tratta di regola le informazioni relative ai lavoratori utilizzando i dati raccolti dal datore di lavoro nel perseguimento di finalità legittime nonché in base ai criteri e alle direttive da questo impartite relativamente alla gestione del rapporto di lavoro sottostante.

Pertanto, giunge alla conclusione l’Autorità, all’interno di tale schema ricostruttivo, senza alcun mutamento apprezzabile di ruoli e responsabilità, si collocano anche le prestazioni ordinariamente svolte dal consulente del lavoro Infatti, è pur sempre il datore di lavoro ad affidare al consulente il relativo incarico, e peraltro ciò non lo esime dalla assunzione della responsabilità prevista dall’ordinamento in caso di violazione degli obblighi posti in materia di lavoro, previdenza ed assistenza sociale.