12 Febbraio 2019
Il Consulente del Lavoro, in relazione ai dati dei dipendenti dei propri Clienti, è “Responsabile del Trattamento”. Il Garante della Privacy conferma la posizione espressa dal CPO di Napoli.
Lo scorso 25 maggio, come noto, è entrato in vigore il GDPR, il Regolamento UE 679/2016, in materia di privacy. Il nuovo regolamento ha rivoluzionato la precedente impostazione in subiecta materia attesa la introduzione nel ns. ordinamento del principio dell’accountability.
Il legislatore italiano è intervenuto con il decreto legislativo 101/2018 con i quale ha armonizzato la disciplina esistente, D.lgs. 196/2003, con il GDPR.
A ridosso della introduzione della nuova disciplina, precisamente il 23 maggio 2018, in un convegno centrale al Ramada Hotel la ns. commissione scientifica, capitanata dal Presidente, con relazioni di Francesco Capaccio e Pietro Di Nono, si premurò di affrontare il testo europeo con molteplici esemplificazioni.
In quella occasione fu precisato il ruolo del Consulenti del Lavoro quando trattano i dati dei dipendenti dei propri Clienti, ruolo che doveva essere ricondotto a quello di Responsabile del trattamento.
Ovviamente, nei confronti dei propri dipendenti di studio, lo stesso doveva essere considerato Titolare del trattamento.
Invero, si era formata anche un’altra interpretazione del ruolo del Consulente del Lavoro che, facendo leva sulla sua autonomia, indipendenza e preparazione, lo considerava un Contitolare, in uno al Datore di Lavoro. Tale interpretazione era sostenuta, in particolare, dal CNO.
Il Garante della privacy, con la newsletter n. 449 del 7 febbraio 2019, rispondendo proprio ad un quesito del CNO, ha precisato il ruolo e le responsabilità dei Consulenti del Lavoro nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, identificandoli come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.
Il Garante ha avuto modo di precisare che “i Consulenti del Lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti determinando puntualmente le finalità e i mezzi del trattamento. Sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare. E’ il caso, ad esempio, dei Consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.
Si tratta di informazioni raccolte e utilizzate dai datori di lavoro in base al contratto e a norme di legge e di regolamento (come quelle in materia di lavoro, previdenza e assistenza sociale), e che vengono gestite dai Consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti. Ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal Consulente”
Lo stesso Garante ha, infine, chiarito che ai Consulenti, ancorché “responsabili” del trattamento, viene riconosciuto un apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.
Ad maiora
IL PRESIDENTE
EDMONDO DURACCIO
(*) Rubrica contenente informazioni riservate ai soli iscritti all’Albo dei Consulenti del Lavoro di Napoli. Riproduzione, anche parziale, vietata. Redazione a cura della Commissione Comunicazione Istituzionale del CPO di Napoli.
ED/FC
Modificato: 3 Agosto 2023