Anche i consulenti del lavoro, al pari di numerose altre figure professionali, devono garantire un’adeguata protezione dei dati personali dei propri clienti trattati quotidianamente. In particolare, la loro categoria è quella che vive l’applicazione della normativa privacy con spirito pragmatico e disilluso al fine di mettere in sicurezza i propri studi e i propri clienti per farli approdare alla tanto agognata “conformità” al GDPR.
Indice degli argomenti
I consulenti del lavoro: chi sono, quanti sono e cosa fanno
Dal sito dell’Ordine dei consulenti del lavoro, Consiglio provinciale di Milano, si apprende che i consulenti del lavoro in Italia sono 23 mila, amministrano un milione di aziende con 7 milioni di addetti, gestiscono personale dipendente per un monte retribuzioni di circa 100 mila miliardi all’anno, redigono oltre un milione di dichiarazioni dei redditi ed esercitano funzioni di conciliazione, di consulenza di parte e di consulenza tecnica in oltre 100 mila vertenze di lavoro.
Esattamente come i commercialisti, i consulenti del lavoro sono al fianco degli imprenditori per condividere le decisioni strategiche e possono vantare un livello di fidelizzazione altissimo. Non è un caso, soprattutto per gli studi di piccole dimensioni, che questi vengano tramandati di generazione in generazione.
Nella graduatoria dei liberi professionisti sono al terzo posto per base imponibile dopo notai e commercialisti e con la loro forza lavoro composta da 70 mila dipendenti hanno avviato il percorso di adeguamento al GDPR concentrando le attività in prossimità della scadenza del 25 maggio 2018 sempre in ragione della loro attitudine pragmatica alla gestione degli adeguamenti normativi.
L’impatto con la nuova normativa privacy
Nonostante tali incoraggianti premesse, tuttavia, solo una minoranza di consulenti ha affrontato in house l’adeguamento dell’organizzazione degli studi mentre la stragrande maggioranza dei C.d.L. ha optato per l’affiancamento di un consulente esterno.
Nel mondo dei professionisti si sono sviluppate le “affinità elettive” tra professionisti in tema di consulenza privacy e sono emerse le tre figure che si sono imposte nel mondo GDPR: i legal ovvero gli avvocati privacysti, gli info ovvero gli informatici (persone fisiche, società di sviluppo software e grandi player della consulenza strategica) e i safety ovvero tutti quei consulenti attivi in materia di salute e sicurezza, progettisti di sistemi di qualità e adeguamento normativo tout court.
Ebbene, i consulenti del lavoro hanno privilegiato gli avvocati i quali hanno assunto il ruolo di project manager dialogando con i gestori delle reti informatiche e analizzando i documenti proposti dai software gestionali ma non hanno fatto mancare la loro voce quando si è trattato di discutere di aspetti concreti.
In tal senso l’Ordine di appartenenza ha tempestivamente pubblicato nel mese di luglio 2018 la Circolare n. 1150 per affrontare il tema del ruolo del consulente all’indomani dello spamming delle nomine a responsabile del trattamento avvenute dopo il 25 maggio 2018, data di entrata in vigore del General Data Protection Regulation.
Le cose da fare
Innanzitutto, occorre evitare ogni tentativo di generalizzazione: la privacy è materia complessa, fluida e rifugge ogni tentativo di schema precostituito. Provvedimenti, opinioni, pareri dovranno sempre essere collocati temporalmente con riferimento alle disposizioni legislative e alle posizioni del Garante per la protezione dei dati personali e confrontate di volta in volta col caso concreto.
Il presente contributo è successivo ai due importanti contributi del Garante ovvero all’approfondimento sul registro delle attività di trattamento e all’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4 del Regolamento.
È inoltre opportuno effettuare l’assessment periodicamente, anche successivamente alla fase di chiusura del progetto di adeguamento, ovvero ogni qual volta intervengano contributi rilevanti come quelli sopra descritti, senza tralasciare la revisione documentale ordinaria.
Il consulente del lavoro presterà allora sempre maggiore attenzione alla compilazione del registro dei trattamenti perché prenderà coscienza di trattare dati in modo anche aggregato, di trattare categorie di dati particolari ex art. 9 del GDPR. Allo stesso tempo dovrà curare l’organizzazione dello studio interrogandosi sulla gestione degli archivi cartacei, su come questi potranno essere dematerializzati e trasformati in dati. Dovrà proteggere anche le semplici fotocopiatrici che, se connesse ad una rete informatica, sono già data center a tutti gli effetti.
Compliance al GDPR: una sfida per i consulenti del lavoro
Se accetta la sfida di implicarsi con il GDPR, il consulente del lavoro si troverà ad essere l’interlocutore naturale di tutta una serie di problematiche di natura giuslavoristica complesse.
Si pensi solo ai contenuti del provvedimento del Garante dell’11 Ottobre 2018 sulla valutazione d’impatto e la stretta rilevanza con le tematiche affini la quotidianità del professionista come l’analisi dei trattamenti valutativi su larga scala, i trattamenti che comportano la profilazione degli interessati relativi agli “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali”, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato oppure l’analisi dei trattamenti effettuati con videosorveglianza e geolocalizzazione oppure i trattamenti non occasionali di dati relativi a soggetti vulnerabili, trattamenti di dati biometrici, genetici e relativi a condanne penali.
Per la gestione “ordinaria” del GDPR il consulente del lavoro potrà in parte contare sull‘utilizzo dei software gestionali dedicati all’amministrazione del personale che progressivamente stanno integrano tool per produrre documenti conformi alla normativa privacy.
Tali documenti, tra cui le varie informative per dipendenti, clienti e fornitori rappresentano delle valide basi che dovranno essere adattate volta per volta al fine di evitare sgradevoli effetti di incongruenza.
Lo stesso dicasi per policy, mansionari e procedure che andranno redatte sia per l’organizzazione dei propri studi sia per eventuali richieste che potranno provenire dalla clientela.
Consulenti del lavoro e GDPR: la circolare del CNCL
La circolare CNCL del 23 luglio 2018 n. 1150 rappresenta un’ottima occasione per mettere alla prova quanto illustrato e sviluppare la capacità di analisi.
In particolare, la circolare 1150/18 è stata pubblicata all’indomani dell’entrata in vigore del Regolamento per porre rimedio all’emergenza consistente nello spamming di nomine quale “responsabile del trattamento” del consulente del lavoro da parte della clientela (“pervengono diverse segnalazioni in ordine alla pretesa, da parte della clientela, di nominare il consulente del lavoro quale responsabile esterno del trattamento ai sensi dell’art. 28 del citato Regolamento Europeo”).
Ricordiamoci sempre che il GDPR rifugge ogni tentativo di risposte preconfezionate. Non c’è una risposta unica ad un problema complesso, ma un metodo unico per arrivare alla risposta corretta. Il GDPR deve necessariamente essere inteso in una logica circolare, dove l’oggetto della tutela non è il dato in sé bensì il trattamento nel suo complesso.
L’invito è quindi quello di rileggere sempre le norme e di sforzarsi in un continuo lavoro di interpretazione e di applicazione al caso concreto.
La circolare ha senza dubbio affrontato la problematica del ruolo del consulente del lavoro in modo un po’ avventato (nella misura in cui ha privilegiato l’ipotesi della co-titolarità del trattamento) ma coraggioso e giustificabile dall’urgenza della situazione.
Correttamente ha posto l’attenzione sulla rilevanza dell’elemento contrattuale connesso alla figura del responsabile esterno del trattamento e ha spinto all’analisi dei diversi contesti.
Il GDPR non permette alcuna scorciatoia o la produzione di documenti approssimativi che oltretutto si rivelano controproducenti quando si ha a che fare con responsabilità e sanzioni rilevanti.
