Consulenti del lavoro: titolari o responsabili?
Il Garante per la privacy ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del GDPR, identificandoli come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.
Il fatto.
La questione si trascinava dalla scorsa estate, quando prima l’Ordine dei consulenti del lavoro di Lecce e poi la presidenza del consiglio nazionale avevano inizialmente consigliato caldamente ai propri associati di non accettare contratti di consulenza in ambito privacy e poi sottolineato come questi agissero in qualità di titolari del trattamento anche nei confronti dei dati affidati loro dai rispettivi clienti.
All’epoca, ne era scaturita una accesa discussione tra gli addetti ai lavori, che si erano divisi tra le due fazioni: “consulente-titolare”, difesa dai consulenti stessi e “consulente-responsabile”, sostenuta da chi si occupa professionalmente di privacy.
Con una serie di comunicazioni ufficiali iniziate il 24 settembre 2018, il Consiglio nazionale dei consulenti del lavoro ha poi sottoposto al Garante un quesito relativo al ruolo della loro categoria alla luce del GDPR, con particolare riferimento alle qualificazioni di “titolare” e di “responsabile” del trattamento, richiamando la sua circolare n° 1150 del 23 luglio 2018, nella quale si affermava che “il consulente del lavoro nelle attività di trattamento di dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di titolare del trattamento” e che fosse “possibile ritenere configurabile, al più, una fattispecie di co-titolarità”.
L’opinione del Garante.
Il Garante, con la sua risposta del 22 gennaio 2019, fa innanzi tutto notare che il GDPR, in merito all’individuazione dei ruoli di titolare e responsabile ed alla distribuzione della relativa responsabilità, conferma quanto già prefigurato nella Direttiva 95/46/CE che ha generato prima la L 675/1996 e poi il Dlgs 196/2003 (il Codice privacy). Infatti, il titolare del trattamento è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, mentre il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Alla luce di ciò, è bene considerare che il consulente del lavoro può trovarsi a operare in due contesti distinti:
- Quando tratta i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista; e
- Quando tratta i dati dei dipendenti del cliente.
Nel primo caso il consulente del lavoro agisce in piena autonomia e indipendenza ed è il titolare del trattamento.
Nel secondo caso, al contrario, si configura come responsabile, poiché agisce nell’ambito dello svolgimento di attività delegate dal cliente (titolare, in questo caso) il quale, in funzione delle sue scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle attività tipicamente affidate al consulente del lavoro.
L’articolo 28 del GDPR ha precisato e delimitato i compiti che possono essere attribuiti dal titolare al responsabile, individuando espressamente l’ambito delle rispettive responsabilità e gli obblighi di cooperazione cui è tenuto il responsabile esclusivamente in funzione delle attività svolte per conto del titolare che gliele ha esternalizzate. Il soggetto che svolge tali attività, quindi, tratta le informazioni relative ai lavoratori utilizzando i dati raccolti dal datore di lavoro per realizzare le sue finalità, nonché in base ai criteri e alle direttive da questo impartite relativamente alla gestione del rapporto di lavoro subordinato.
Pertanto, il Garante ritiene che, sebbene le prestazioni normalmente svolte dal consulente del lavoro si fondino sulla L 12/1979 sull’ordinamento della professione di consulente del lavoro, resti pur sempre il datore di lavoro ad affidare al consulente il relativo incarico, cosa che non lo libera dall’assunzione delle responsabilità previste dal nostro ordinamento in caso di violazione degli obblighi giuslavoristici.
Il Garante, inoltre, sottolinea che, nell’ipotesi in cui il trattamento dei dati relativi ai propri clienti da parte del consulente del lavoro, la base giuridica che legittima il trattamento sia l’esecuzione del contratto di servizio.
Diversamente, qualora il consulente del lavoro agisca come responsabile del trattamento, la base normativa che lo legittima a trattare i dati personali riguardanti i lavoratori del datore di lavoro va individuata nel contratto di lavoro subordinato in cui il datore di lavoro/titolare è parte: ciò fa sì che la legittimità del trattamento si “trasferisca” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento.
Perciò non è configurabile il rapporto di contitolarità tra datore di lavoro e consulente del lavoro.
Conclusioni.
La risposta del Garante, dunque, non stupisce affatto e, anzi, fornisce importanti spunti di riflessione anche per tutti gli altri ordini professionali regolamentati quali, per esempio, i commercialisti, gli avvocati, o i medici competenti.
Tutti loro hanno le medesime caratteristiche dei consulenti del lavoro: operano come responsabili quando agiscono in nome e per conto di chi ha affidato loro un incarico professionale che preveda il trattamento di dati personali di persone terze rispetto alle due parti che sottoscrivono il mandato o il contratto di servizio.
Tutto ciò, in conclusione e a parere di chi scrive, non dovrebbe essere vissuto come qualcosa di negativo o uno svilimento della professionalità. In primo luogo perché è quanto previsto dal GDPR e, secondariamente, perché rendere “responsabile” qualcuno, paradossalmente, significa affidargli solo una parte di tutte le responsabilità oggettive e soggettive, civili, amministrative e penali che qualsiasi trattamento di dati pone in carico al titolare del trattamento.
Chiaramente, bisognerà costruire un buon contratto o mandato e rispettarlo pedissequamente.
Fonte: Fiscal Focus