16 Apr GDPR E CONSULENTI DEL LAVORO: TITOLARI, COTITOLARI O RESPONSABILI DEL TRATTAMENTO?
Il Garante per la privacy si è espresso sul ruolo dei consulenti del lavoro rispetto al trattamento dei dati personali per conto della clientela: in tali ipotesi dovranno essere inquadrati quali “Responsabili del trattamento”.
Il Garante per la privacy, rispondendo ad un quesito sollevato dal Consiglio Nazionale dei Consulenti del Lavoro, ha chiarito in quali casi il consulente del lavoro possa essere considerato titolare autonomo del trattamento dei dati personali e quando, invece, operi quale “responsabile del trattamento” per conto di un diverso titolare, con conseguente necessità di regolare il rapporto tra titolare e responsabile con apposito contratto.
In prima battuta, il Garante ha richiamato le definizioni di “titolare” e “responsabile” del trattamento, sottolineando, sul punto, la continuità tra il nuovo GDPR e la precedente normativa in materia di privacy. Come osservato, anche con la nuova disciplina il titolare continua ad essere il soggetto che “determina le finalità e i mezzi del trattamento di dati personali”, mentre il “responsabile” resta colui che “tratta dati personali per conto del titolare del trattamento”.
Non v’è dubbio che i consulenti del lavoro siano “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti; lo stesso discorso vale per il trattamento dei dati dei propri clienti, nella misura in cui essi siano persone fisiche e l’attività (fiscalmente e normativamente regolamentata), sia svolta dal professionista in piena autonomia e indipendenza, “determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività”.
Maggiori incertezze, invece, ricorrevano (almeno fino alla pronuncia chiarificatrice in oggetto) con riferimento alla qualifica del consulente che svolge attività di trattamento dei dati dei dipendenti del cliente sulla base dell’incarico e delle istruzioni da questo ricevute: è il caso, ad esempio, dei consulenti che curano, per conto di datori di lavoro, la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, ecc.
Sul punto, il Consiglio Nazionale dei Consulenti del lavoro aveva preso posizione con la circolare n. 1150/2018, sostenendo che i consulenti sono co-titolari del trattamento dei dati insieme ai propri clienti. Il parere del Garante in oggetto, tuttavia, sembra smentire tale ricostruzione: quando i consulenti svolgono servizi affidati “in outsourcing”, le finalità del trattamento sono determinate dall’azienda cliente, mentre il consulente, pur avendo un apprezzabile margine di autonomia nell’esecuzione delle attività affidategli, deve essere inquadrato come “responsabile del trattamento”, trattando i dati per conto di un altro soggetto titolare.
In conclusione, il parere del Garante fuga ogni dubbio: quando un titolare esternalizza la gestione del rapporto con i propri lavoratori, il soggetto incaricato dovrà essere designato responsabile del trattamento con apposito contratto.