Le regole

Consulenti del lavoro e privacy: i 10 passi per l’adeguamento al GDPR

Una checklist per aiutare i consulenti del lavoro ad affrontare gli aspetti della loro professione relativi alla data protection, per garantire il rispetto della normativa in materia di privacy

08 Mag 2020
D
Silvia Dessì

Consulente del lavoro e Consulente gestione e protezione dati personali


I dieci passi che uno studio di consulenti del lavoro devono affrontare per adeguarsi al GDPR, in ottica accountability. La normativa privacy può risultare difficile da applicare, ecco una checklist con gli step più importanti da affrontare nel percorso verso la piena compliance al regolamento.

Il contesto normativo

Il principio di accountability introdotto dal GDPR impone a chi tratta dati personali consapevolezza e responsabilizzazione, nonché l’onere di dimostrare con argomenti logici e prove di fatto che i trattamenti di dati effettuati sono leciti e svolti conformemente a quanto prescritto dal regolamento europeo.

Dovendo necessariamente individuare soluzioni che tengano conto delle specifiche caratteristiche del contesto in cui avviene il trattamento dei dati, le responsabilità e gli adempimenti in capo a Titolare e Responsabile del trattamento sono profondamente cambiati.

Ecco quindi che diventa indispensabile prendere coscienza dei trattamenti effettuati attraverso una accurata mappatura delle attività svolte e delle tipologie di dati trattati, analizzare i rischi connessi a tali trattamenti per poi scegliere consapevolmente le soluzioni più adeguate al proprio contesto organizzativo e al livello di rischio individuato.

Ma come si traduce tutto questo a livello operativo? Quali sono i passaggi essenziali per poter dimostrare in modo positivo e proattivo la propria compliance al GDPR? Cercheremo di individuare le principali azioni da porre in essere per trattare i dati personali conformemente a quanto prescritto dalla normativa vigente, con un focus particolare sulle specifiche attività di trattamento svolte dal Consulente del Lavoro attraverso esempi e casi di interesse.

Consulenti del lavoro e privacy: mappare i trattamenti svolti

Il primo passo del processo di adeguamento è la mappatura dei dati trattati all’interno dello studio, partendo da una attenta analisi dei servizi di consulenza offerti, ognuno dei quali comporterà il trattamento di specifiche tipologie di dati, con specifiche modalità e con specifiche categorie di destinatari.

Si proseguirà poi con tutte le altre attività di trattamento collaterali, come ad esempio la selezione del proprio personale, la gestione di eventuali dipendenti e collaboratori dello Studio, il processo di approvvigionamento, la tenuta della propria contabilità e dei vari adempimenti legali (tra cui rientrano anche gli sessi trattamenti svolti in adempimento del GDPR) e così via, in funzione delle specificità di ogni singolo contesto.

Una volta individuate le attività di trattamento svolte, sarà importante comprendere quale sia il ruolo svolto dal CdL. Per quanto riguarda il trattamento dei dati di clienti, dipendenti e collaboratori e fornitori, il CdL agisce in piena autonomia e indipendenza, determinando le finalità e i mezzi del trattamento, ricoprendo il ruolo di Titolare del trattamento.

Nel momento invece in cui il professionista svolge un incarico che comporta il trattamento dei dati dei dipendenti dei propri clienti o dei clienti e fornitori dei propri clienti a cui fornisca un servizio di consulenza contabile e fiscale, il ruolo ricoperto sarà quello di Responsabile del trattamento.

In questi casi, infatti, il professionista svolge delle attività per conto del cliente/Titolare del trattamento che, dietro specifico incarico professionale, decide di esternalizzare gli adempimenti a cui è soggetto sulla base dalla normativa lavoristica e dal contratto di lavoro o della normativa civilistica, fiscale e tributaria.

Se di norma il CdL tratta i dati dei lavoratori dei propri clienti in qualità di Responsabile, occorre però sottolineare che il trattamento dei dati dei lavoratori domestici non risponde a questa regola generale.

Poiché il rapporto di lavoro domestico è per sua natura escluso dall’ambito di applicazione del GDPR (art. 2), il datore di lavoro domestico non assume in nessun caso il ruolo di Titolare del trattamento, con la conseguenza che sarà sempre il CdL a cui venga affidata la gestione del rapporto di lavoro a operare come Titolare nei confronti del lavoratore domestico.

Successivamente, ci si dovrà soffermare ad analizzare il flusso di informazioni che ogni attività di trattamento comporta, descrivendolo in modo dettagliato e identificandone gli elementi fondamentali: tipologia di dati trattati e categoria di appartenenza, formato e modalità di archiviazione, metodo di raccolta e di condivisione (sia interna che esterna), posizione dei dati durante il loro ciclo di vita (studio, cloud, terze parti ecc.), eventuali trasferimenti al di fuori dell’Unione Europea, accesso ai dati e relative responsabilità, e così via.

Nel caso poi si ravvisassero trasferimenti di dati al di fuori dell’Unione Europea, sarà indispensabile assicurarsi che tali trasferimenti avvengano nel rispetto delle specifiche garanzie individuate dallo stesso Regolamento.

Le informazioni così raccolte dovranno essere inserite nel registro dei trattamenti fotografando il flusso dei dati trattati all’interno dello Studio in maniera chiara, veritiera e completa. Oltre al Registro Titolare, il CdL dovrà inoltre provvedere a redigere e tenere costantemente aggiornato il Registro Responsabile, in cui tenera traccia di tutti i trattamenti svolti per conto dei propri Clienti e riportare responsabilità e modalità di trattamento definite nei data protection agreement stipulati sulla base dell’art 28.

Trovare la base giuridica che legittima il trattamento

Per tutti i trattamenti svolti in qualità di Titolare è necessario individuare le condizioni di liceità tra le 6 basi giuridiche individuate dall’art. 6. Nello svolgimento dell’attività professionale, di norma, non occorre l’acquisizione del consenso. Le finalità dei trattamenti svolti dal CdL, infatti, risultano essere connesse all’adempimento o l’esecuzione di prestazioni oggetto di in contratto di cui l’interessato è parte (si pensi ad esempio al trattamento dei dati dei propri clienti necessario per svolgere l’incarico ricevuto, o al trattamento dei dati dei propri dipendenti e collaboratori), ovvero per adempiere un obbligo legale (come nel caso di tenuta della propria contabilità, antiriciclaggio, o trattamento dati personali) o ancora per perseguire un legittimo interesse.

Potrebbe essere eventualmente necessario ricorrere al consenso quale base giuridica nel caso in cui si volessero utilizzare i dati per finalità di marketing non riconducibili al legittimo interesse.

Poiché l’esecuzione dell’incarico comporta anche il trattamento di categorie particolari di dati, il CdL sarà inoltre tenuto ad individuare le condizioni che ne legittimino il trattamento tra quelle proposte dall’art. 9.

Nel caso in cui tale trattamento sia legato alla gestione di un rapporto di lavoro, essendo esso necessario per adempiere a obblighi ed esercitare diritti specifici dell’interessato (il lavoratore) nel contesto dell’occupazione, della sicurezza sociale e della protezione sociale, sarà consentito senza necessità di un consenso esplicito da parte dei lavoratori (art. 9, par.2 lett.b), indipendentemente dal fatto che i lavoratori siano propri clienti, propri dipendenti o ancora dipendenti dei propri clienti.

Come sottolineato dallo stesso Garante, infatti, tale legittimità del trattamento di dati particolari in virtù della gestione del rapporto di lavoro, viene di fatto trasferita anche alle operazioni svolte dal CdL per conto del suo cliente/datore di lavoro in ragione del contratto di sua designazione a Responsabile del trattamento[1].

Nel caso invece in cui il trattamento di dati particolari non sia riconducibile alla gestione di un rapporto di lavoro e a nessuna delle altre condizioni legittimanti ex art. 9 diverse dal consenso, sarà indispensabile ricorrere a quest’ultimo.

Nello specifico, il CdL dovrà raccogliere il consenso  ogniqualvolta riceva un incarico che consista nella compilazione e nell’invio della dichiarazione dei redditi, che comporta il trattamento di dati idonei a rivelare lo stato di salute e disabilità,  convinzioni religiose (8×1000), opinioni politiche (2×1000) eccetera. Così come richiesto dal GDPR la richiesta di consenso dovrà essere chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato e la formula utilizzata per chiedere il consenso dovrà essere sufficientemente comprensibile, semplice e chiara. Il Professionista dovrà poi provvede a tenere copia del consenso prestato quale dimostrazione dello stesso.

Consulenti del lavoro e privacy: le informative

Ulteriore passaggio fondamentale è la redazione di informative specifiche, chiare e complete per ogni categoria di interessati, sulla base di quanto previsto dall’articolo 13 del GDPR. Sebbene forma e modalità di comunicazione delle informazioni agli interessati possano essere liberamente scelte, al fine di poter facilmente documentare il rispetto del principio di trasparenza, è sicuramente preferibile optare per la forma scritta.

Con specifico riferimento ai dati non ottenuti presso l’interessato, il CdL potrà ritenersi esonerato dall’obbligo di informativa in quanto soggetto ad un obbligo di segreto professionale (art. 9 del Codice Deontologico dei Consulenti del Lavoro), così come previsto dalla lett. d del par. 5 dell’art. 14.

Consulenti del lavoro e privacy: la nomina del DPO

Il Data Protection Officer (DPO) è una delle novità introdotte dal GDPR. La sua responsabilità principale è quella di osservare, valutare, organizzare e sorvegliare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno delle organizzazioni, affinché tali dati siano trattati nel rispetto delle normative in vigore. Il DPO deve avere il giusto grado di indipendenza e autonomia (attraverso la dotazione di risorse adeguate allo svolgimento dei suoi compiti), e funge da tramite nei confronti dell’Autorità. La nomina del DPO è obbligatoria in specifiche ipotesi.

Per quanto riguarda l’attività professionale del CdL tale obbligo potrebbe sussistere laddove tratti su larga scala categorie particolari di dati o dati personali relativi a condanne penali e reati. Fermo restando che il CdL tratta tali tipologie di dati nell’ambito della sua attività, si tratta dunque di capire se e quando ricorra il requisito della larga scala.

Facendo riferimento al Considerando 91 del GDPR e alle Linee guida sui responsabili della protezione dati del WP29, secondo cui, nel caso di attività a carattere professionale e di  strutture di medio-piccole dimensioni la nomina del DPO può essere considerata non necessaria, è possibile ritenere escluso da tale obbligo di nomina il Professionista che operi in forma individuale.

Nel caso di società tra professionisti o studi associati, invece, sarà sempre necessaria una accurata analisi dello specifico contesto. Sarà infatti importante verificare se ricorra il requisito della larga scala e, soprattutto nel caso in cui non si ritenga di rientrare nell’obbligo di nomina, documentare le motivazioni che hanno portato a questa scelta. 

Consulenti del lavoro e privacy: analisi dei rischi e DPIA

L’Analisi dei rischi costituisce uno strumento indispensabile per far fronte all’obbligo, di cui all’art. 32 del GDPR, relativo alla sicurezza dei dati personali. Tale analisi ha lo scopo di:

  • formalizzare, razionalizzare e finalizzare le proprie strategie in materia di sicurezza;
  • definire opportune strategie per l’informazione e la formazione dei soggetti che trattano i dati sotto la propria autorità;
  • determinare la necessità di una valutazione d’impatto sui trattamenti e, se del caso, effettuare la valutazione d’impatto stessa.

Un valido supporto per l’esecuzione dell’analisi dei rischi può essere costituito dalle linee guida 2016 dell’Enisa per le PMI, il cui approccio alla valutazione del rischio si basa su quattro fasi:

  • definizione dell’operazione di trattamento e del suo contesto;
  • comprensione e valutazione dell’impatto;
  • definizione di possibili minacce e valutazione della loro probabilità (probabilità di occorrenza della minaccia);
  • valutazione del rischio ( data dalla combinazione tra la probabilità di accadimento della minaccia e l’impatto).

Qualora i trattamenti possano presentare in generale un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento dovrebbe inoltre svolgere una valutazione d’impatto sulla protezione dei dati (DPIA) per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio, per poi prenderne in considerazione l’esito nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali è conforme a quanto previsto dal GDPR.

Come nel caso della nomina del DPO, la valutazione d’impatto è richiesta in alcuni casi specifici.

Tra quelli che potrebbero riguardare l’attività svolta dal CdL ci sono i trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati che mirino al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati.

Anche in questo caso, può in generale considerarsi esclusa la larga scala nel caso un trattamento riguardi dati personali di clienti da parte di un unico professionista. Maggiori approfondimenti sull’applicabilità del concetto di larga scala al proprio contesto organizzativo sono invece d’obbligo nel caso di svolgimento congiunto dell’attività professionale.

Laddove non si fosse soggetti all’obbligo di effettuare la valutazione d’impatto, può essere comunque opportuno considerare l’impatto sui diritti degli interessati, senza dover necessariamente rispettare i formalismi richiesti dall’art.35 del GDPR. Tale aspetto, ad esempio, viene considerato nell’ambito dell’Analisi dei rischi se si segue l’approccio delle linee guida 2016 dell’Enisa per le PMI precedentemente esposto.

Adottare misure di sicurezza adeguate

Alla luce dei risultati dell’Analisi dei rischi e dell’eventuale Valutazione d’impatto condotte, il Professionista deve adottare una serie di politiche e procedure interne nonché attuare delle misure in grado di mitigare il rischio sul trattamento dei dati personali rilevato, cercando di impedire: divulgazione o accesso non autorizzati; modifica dei dati non autorizzata; distruzione o perdita di dati o indisponibilità dei trattamenti.

Le misure tecniche e organizzative individuate dovranno essere in grado di agire sia sulla gravità dell’evento temuto, riducendo ad esempio l’identificabilità o gli effetti pregiudizievoli sull’interessato, sia sulla probabilità che la minaccia si concretizzi nell’evento temuto, riducendo ad esempio la vulnerabilità degli asset di ausilio ai trattamenti.

Individuare i soggetti autorizzati al trattamento

Un ulteriore passaggio del processo di adeguamento, è quello di individuare le persone che operano sotto la propria autorità, provvedendo ad autorizzarle al trattamento, istruirle e formarle, così come previsto dall’art. 32 par. 4 del GDPR. A garanzia della sicurezza dei dati personali, qualsiasi soggetto che abbia accesso ai dati del cui trattamento il Professionista sia Titolare o Responsabile dovrà necessariamente avere chiare e documentate responsabilità e ruoli definiti e dovrà essere istruito e costantemente aggiornato relativamente alle modalità di trattamento e alle regole di comportamento da seguire a riguardo.

Poiché deve agire sotto la diretta autorità del Professionista, soltanto una persona fisica può ricoprire tale ruolo. Sebbene di norma tale figura faccia parte dell’organizzazione del Professionista (l’esempio più tipico possono infatti essere dipendenti, tirocinanti e praticanti), non si può escludere che un soggetto esterno (si pensi al tecnico chiamato a riparare il computer che, di fatto, può accedere ai dati ivi contenuti) possa essere designato come persona autorizzata al trattamento.

La designazione dovrà avvenire in forma scritta, attraverso la sottoscrizione di un atto all’interno del quale sono specificati i nominativi ed i relativi compiti che vengono affidati, nonché un richiamo degli obblighi generali inerenti alle misure di sicurezza per la tutela dei dati che dovranno essere trattati. Le istruzioni dettagliate da seguire nelle attività di trattamento svolte sotto l’autorità del Professionista, possono essere contenute all’interno di una specifica procedura che definisca le modalità di gestione e trattamento dei dati all’interno dello Studio, consegnata all’Autorizzato contestualmente all’atto di designazione.

La nomina di persona autorizzata al trattamento assume un ruolo fondamentale: qualsiasi operazione svolta dai dipendenti o collaboratori in assenza di essa non potrà essere considerata come utilizzo interno dei dati, ma costituirà di fatto una comunicazione a terzi, con tutte le problematiche del caso. Il soggetto autorizzato al trattamento dovrà, ovviamente, attenersi strettamente alle istruzioni ricevute impegnandosi al rispetto dell’obbligo di riservatezza e in generale dei requisiti del GDPR, e a collaborare con il Professionista nel rilevamento e nella gestione dei data breach.

Definire i rapporti con responsabili e contitolare

Il Responsabile del trattamento è il soggetto che elabora i dati personali per conto del Titolare. Tale ruolo è riservato a una figura che non opera sotto l’autorità del professionista e, in quanto tale, è esterno al suo studio. Sarà obbligo del Professionista predisporre o verificare l’esistenza di un contratto o altro atto giuridico che stabilisca le responsabilità a carico del Responsabile, conformemente a quanto previsto dall’art. 28 del GDPR.

Con tale contratto o atto giuridico il Titolare delega al Responsabile (ad esempio fornitore di posta elettronica; commercialista; medico del lavoro; hosting provider; fornitore spazio in cloud; etc.) la concreta gestione del trattamento dei dati personali, affidandogli uno o più compiti specifici oppure una serie di compiti che vengono solo dettagliati in generale.

Il Professionista dovrà inoltre verificare l’esistenza di un contratto o altro atto giuridico che rispetti i requisiti dell’art. 28 del GDPR, anche nel caso in cui sia egli stesso a ricoprire il ruolo di Responsabile del trattamento. Più precisamente, laddove il cliente/Titolare non provveda a proporre la predisposizione di un data protection agreement, potrà sempre essere il Professionista a proporre una scrittura integrativa dell’incarico da negoziare con il Cliente nel rispetto dell’art.28. In questo caso, ovviamente, sarà il Professionista a doversi attenere alle istruzioni impartitegli da parte dei titolari del trattamento, opportunamente negoziate e concordate in sede di definizione dell’accordo che va a disciplinare il trattamento dei dati personali da parte del Responsabile.

Il Responsabile può a sua volta nominare altri Responsabili di secondo livello, a meno che non sia vietato dalle istruzioni del Titolare, ma sarà comunque il Responsabile principale a rispondere dell’operato di eventuali Sub-Responsabili nei confronti del Titolare.

Occorre sottolineare che, poiché il Titolare rimane sempre responsabile della gestione effettuata dai Responsabili, è essenziale assicurarsi che i propri fornitori siano GDPR compliant e in grado di offrire garanzie sufficienti e adeguate nell’adozione di idonee misure tecniche e organizzative volte alla protezione dei dati. In caso di situazioni  di contitolarità, invece, sarà necessario determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR, con particolare riguardo a:

  • l’esercizio dei diritti dell’interessato;
  • le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro a cui sono soggetti;
  • il punto di contatto per gli interessati.

Garantire i diritti degli interessati

Il GDPR presuppone trasparenza e modalità trasparenti per l’esercizio dei diritti da parte degli interessati. Il Titolare si dovrà pertanto impegnare ad agevolare tale esercizio dei diritti, adottando ogni misura tecnica e organizzativa che possa incidere su di esso. Benché sia il solo Titolare a dover dar riscontro in caso di esercizio dei diritti, i Responsabili del trattamento dovranno essere opportunamente sensibilizzati sulla materia, in quanto potrebbe essere necessaria la loro collaborazione ai fini dell’esercizio dei diritti degli interessati.

L’esercizio dei diritti è, in linea di principio, gratuito per l’interessato, ma possono comunque esservi delle eccezioni che andranno valutate caso per caso. Il Titolare dovrà impegnarsi a evadere le richieste nel minor tempo possibile e, in ogni caso, entro un mese dal ricevimento delle stesse. Tale termine potrà essere prorogato di due mesi (arrivando dunque a un totale di 3 mesi) in considerazione della complessità e del numero delle richieste, provvedendo comunque a informare l’interessato della proroga e dei motivi del ritardo entro un mese dalla richiesta.

Per agevolare la gestione delle richieste nonché per garantire un più solido apparato documentale, è consigliabile creare un registro delle richieste di esercizio dei diritti in cui inserire elementi fondamentali e lo stato di avanzamento della richiesta. Un ulteriore obbligo in capo al CdL riguarda la definizione dei tempi di conservazione dei dati, documentando le scelte operate e i criteri utilizzati e garantendo in generale che l’identificazione dell’interessato avvenga per un periodo di tempo non superiore a quello necessario agli scopi per i quali i dati sono stati raccolti e successivamente trattati.

Consulenti del lavoro e privacy: data breach policy

Il Cdl dovrà essere in grado di intervenire prontamente in caso di violazione dei dati personali. In particolare dovrà saper riconoscere i diversi tipi di violazione possibile, investigare sulle cause che hanno portato alla violazione, applicare i correttivi per limitare i danni e impedirne la reiterazione e notificare la violazione al Garante nelle modalità e nei tempi prescritti dal GDPR.

In generale, la notifica dovrebbe avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche e, qualora la notifica non sia effettuata entro 72 ore, la stessa venga corredata dei motivi del ritardo.

Indipendentemente dall’entità della violazione subita, il Titolare dovrà documentare qualsiasi violazione dei dati personali, anche nel caso in cui non si renda necessaria alcuna notifica. Per rispondere a questo obbligo di documentazione si suggerisce di predisporre un apposito Registro dei data breach, da fornire al Garante in caso di accertamenti. Tale registro dovrà essere tenuto costantemente aggiornato, registrando gli elementi principali di qualsiasi episodio di violazione dei dati.

Conclusione

I passaggi precedentemente esaminati costituiscono una guida per i CdL che ancora non abbiano adeguato il proprio Studio o che vogliano verificare il proprio livello di compliance al GDPR. Consapevoli dell’impossibilità di offrire una soluzione unica che risponda a situazioni complesse e tra loro diverse, il presente lavoro non può e non vuole essere esaustivo.

È un supporto che indirizza verso l’approccio di consapevolezza e responsabilizzazione che è alla base del GDPR, individuando le azioni indispensabili da porre in essere, ma che necessita di tutti i dovuti approfondimenti e adattamenti in funzione delle caratteristiche della specifica realtà organizzativa a cui si vuole applicare.

NOTE

[1] Risposta a un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento UE 679/2016.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4