12 Mar Il ruolo privacy del consulente del lavoro: i chiarimenti del Garante
Premessa
Il 22 gennaio scorso, l’Autorità Garante per la Protezione dei Dati personali ha pubblicato alcuni chiarimenti a seguito del quesito posto dal Consiglio nazionale dei Consulenti del Lavoro sul ruolo del consulente del lavoro alla luce del Regolamento UE 2016/679 (“Regolamento”), precisandone la veste di titolare e di responsabile del trattamento, in considerazione delle attività eseguite.
Questioni principali
Il Garante per la protezione dei dati personali opta per una soluzione che qualifica in maniera diversa il ruolo del consulente del lavoro a seconda che tratti dati:
a) “dei propri dipendenti ovvero dei propri clienti (persone fisiche)”;
b) “dei dipendenti del cliente”.
Nella prima ipotesi, il consulente del lavoro agisce come titolare del trattamento, “in piena autonomia e indipendenza determinando puntualmente le finalità̀ e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività̀. Per tali ragioni egli ricopre il ruolo di Titolare del trattamento, in quanto non si limita ad effettuare un’attività̀ meramente esecutiva di trattamento ‘per conto’ del cliente, bensì̀ esercita un potere decisionale del tutto autonomo sulle finalità̀ e i mezzi del trattamento”. Si ricorda che, il titolare del trattamento è definito nel Regolamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, n. 7, del Regolamento).
Diversamente, nella seconda ipotesi il consulente del lavoro dovrà̀ essere qualificato come responsabile del trattamento, definito all’art. 4, n. 8, del Regolamento come ”la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento”.
Le indicazioni tecniche contenute nel contratto sottoscritto tra il Titolare ed il Responsabile (art. 28 del Regolamento) dovranno rispettare l’autonomia organizzativa che il consulente del Lavoro deve mantenere nello svolgimento della propria attività e non potranno non tenere conto delle norme deontologiche e della legge che regolamenta l’attività professionale.
Implicazioni pratiche
Nel quadro normativo tratteggiato, il consulente del lavoro, assunte le vesti di responsabile del trattamento dati, dovrà adottare delle misure tecniche ed organizzative adeguate, tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32, co.1 del Regolamento).
In conclusione, è opportuno evidenziare come il Garante abbia espressamente escluso la configurabilità di un rapporto di contitolarità tra cliente e consulente del lavoro.
Chiarito questo aspetto, il Garante ha concluso la risposta al quesito dando chiarimento rispetto alla gestione dell’archivio informatico tenuto dal consulente del lavoro. Infatti, al termine del rapporto professionale, i dati raccolti negli archivi dovranno essere cancellati oppure anonimizzati, e/o consegnati al titolare, in linea con quanto individuato nel contratto di affidamento dell’incarico.