Il Garante chiarisce quando il consulente del lavoro è Titolare o Responsabile esterno del trattamento.
Il Garante per la protezione dei dati personali, con provvedimento del 22.1.2019, ha precisato il ruolo e le responsabilità in materia di protezione dei dati personali del consulente del lavoro secondo la disciplina del nuovo Reg. UE 2016/679 (GDPR), dando così riscontro ai quesiti pervenutigli sia dal Consiglio Nazionale dei Consulenti del Lavoro che da numerosi professionisti.
In particolare al Consiglio Nazionale dei Consulenti del Lavoro non era chiaro quando il consulente dovesse essere qualificato Titolare del trattamento e quando Responsabile esterno del trattamento e i relativi compiti e responsabilità.
Il Garante ha chiarito che il GDPR si pone in linea di continuità con quanto già disposto dalla precedente Direttiva 95/46/CE in merito alla individuazione dei ruoli di titolare (“controller”; ex art. 4, n. 7 e 24) e responsabile (“processor”; ex art. 4, n. 8 e 28) ed alla distribuzione delle relative responsabilità.
Infatti, come già previsto dall’art. 2, lett. d) Direttiva, il Reg. EU 2016/679 all’art. 4, n. 7 definisce Titolare del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e all’art. 4, n. 8 Responsabile del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Di conseguenza, per comprendere quando il consulente del lavoro sia da considerarsi Titolare e quando, invece, Responsabile esterno del trattamento, occorre analizzare l’attività che in concreto svolge. Nello specifico:
– è “Titolare” quando tratta, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure quelli dei propri clienti quando sono persone fisiche (es: i liberi professionisti); in queste ipotesi infatti è proprio il consulente del lavoro che determina le finalità e i mezzi del trattamento, esercitando un potere decisionale autonomo. A tali soggetti, quindi, il consulente dovrà fornire una adeguata informativa privacy contenente tutte le informazioni di cui all’art.13 e ss. del Reg. UE 2016/679.
– E’ “Responsabile esterno del trattamento” quando tratta i dati dei dipendenti dei propri clienti (es: per l’elaborazione dei cedolini paga, la gestione dei trattamenti relativi all’assunzione e a quelli di fine rapporto, la gestione degli adempimenti previsti dalla disciplina previdenziale ed assistenziale, ecc.). In questi casi è infatti il cliente ad essere titolare del trattamento dei dati dei propri dipendenti e a delegare al consulente del lavoro lo svolgimento di tutti gli adempimenti previsti dalla normativa lavoristica e/o dal contratto di lavoro, impartendogli specifiche direttive. In tale ipotesi il consulente del lavoro dovrà farsi nominare dal cliente quale responsabile esterno del trattamento dei dati, con apposito contratto redatto per iscritto in cui siano disciplinati dettagliatamente compiti e responsabilità incombenti su entrambi.
Per quanto concerne i tempi di conservazione dei dati, il Garante ha anche precisato che al termine del rapporto professionale tra il consulente del lavoro e il suo cliente, i dati contenuti negli archivi del consulente dovranno essere cancellati (oppure anonimizzati) e/o consegnati al cliente (che è Titolare del trattamento di quei dati) conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.
Infine, indipendentemente dal fatto che agisca in veste di Titolare del trattamento o di Responsabile esterno, occorre tenere presente che incombe sul consulente del lavoro anche l’onere di individuare e predisporre idonee misure di sicurezza a tutela dei dati, attraverso l’impiego di misure tecniche ed organizzative in grado di garantire che i dati gestiti nei propri archivi siano trattati in totale sicurezza, tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (v. art. 32, par. 1 del Regolamento).