Il Garante per la privacy risponde, con lettera del 22 gennaio 2019, al quesito presentato dal Consiglio Nazionale dei consulenti del lavoro e alle richieste di numerosi professionisti in riferimento alle qualificazioni di “titolare” e di “responsabile” del trattamento, dei relativi compiti e responsabilità, dei consulenti del lavoro.
Il Regolamento (UE) 679/2016, definisce il ruolo di titolare (“controller”; ex art. 4, n. 7 e 24) e responsabile (“processor”; ex art. 4, n. 8 e 28) ed alla distribuzione della relativa responsabilità, come già prefigurato dalla Direttiva 95/46/CE.
Secondo quanto previsto dall’art. 4, n. 7 “«Titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Quanto al responsabile, l’art. 4, n. 8 del Regolamento definisce “«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”
Pertanto, l’Autorità ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, identificandoli come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.
E dunque i consulenti del lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti determinando puntualmente le finalità e i mezzi del trattamento.
Sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare (attività esternalizzata). E’ il caso, ad esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.
Si tratta di informazioni raccolte e utilizzate dai datori di lavoro in base al contratto e a norme di legge e di regolamento (come quelle in materia di lavoro, previdenza e assistenza sociale), e che vengono gestite dai consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti. Ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente.
Qualora il consulente si avvalga normalmente di collaboratori di propria fiducia questi, in base alle concrete operazioni di trattamento affidate, potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento. Più specificamente, in base all’art. 2-quaterdecies del Codice il responsabile può prevedere che “specifici compiti e funzioni connessi al trattamento siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”. Oppure, diversamente, i collaboratori potranno assumere in concreto il ruolo di subresponsabili, qualora sia demandata “l’esecuzione di specifiche attività di trattamento per conto del titolare” (v. art. 28, par. 4 del Regolamento).
Nell’ipotesi in cui il trattamento dei dati relativi ai propri clienti da parte del consulente del lavoro (i.e. i dati del datore di lavoro che gli trasmette i dati dei suoi dipendenti), la base giuridica che facoltizza il trattamento in capo al soggetto in questione – che in tale caso rivestirà il ruolo di titolare del trattamento – è rinvenibile nell’esecuzione del contratto (art. 6, par. 1, lett. b, del Regolamento).
Qualora, invece, il consulente del lavoro agisca in veste di responsabile del trattamento, la base normativa che legittima il trattamento dei dati personali, anche “sensibili” riguardanti i clienti del datore di lavoro va individuata in capo al suo cliente (ovverosia il datore di lavoro/titolare) ai sensi dell’art. 9, par. 2, lett. b), del Regolamento: infatti, la legittimità del trattamento si “trasferisce” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento.
Il consulente del lavoro dovrà predisporre delle misure di sicurezza adeguate al rischio, anche in qualità di responsabile. Quindi adotterà le misure tecniche ed organizzative adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (v. art. 32, par. 1 del Regolamento). Il Garante riconosce in questo caso, un apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.
(Fonte Garante Privacy)