Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

normativa

GDPR, il ruolo dei consulenti del lavoro nel trattamento dei dati

Il consulente del lavoro svolge un delicato compito nel trattamento dei dati dei clienti, il cui adeguamento normativo è stato chiarito dai provvedimenti del Garante della privacy. Il GDPR infatti ha posto perplessità suo giusto ruolo da attribuire a questo professionista nella gestione delle informazioni

20 Feb 2019
D

Daniela Di Leo


L’entrata in vigore del GDPR ha posto dubbi sul trattamento dei dati da parte dei consulenti per il lavoroÈ con il provvedimento del 22 gennaio 2019 che il Garante per la Protezione dei Dati Personali, ha fatto chiarezza sul ruolo ricoperto dai consulenti del lavoro in seguito all’entrata in vigore del Reg. UE 679/2016.

Il tema su quale qualifica dovessero avere i consulenti, che trattano dati personali nello svolgimento della propria attività, se quella di responsabile del trattamento o di titolare autonomo, è stato molto dibattuto ed ha visto impegnati per mesi gli esperti in materia di privacy con scambi di opinione, pareri e tesi contrapposte a sostegno dell’una o dell’altra qualifica.

La risposta del Garante, che ha messo un punto al dibattito, è stata fornita in seguito al quesito posto il 24 settembre 2018 dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro, con il quale è stata formalizzata all’Autorità la questione su quale ruolo previsto dal Regolamento i consulenti del lavoro debbano avere nello svolgimento dei propri compiti.

Le perplessità del Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro

Tutto è nato con la circolare n. 1150 emanata dal sopracitato Consiglio, il 23 luglio 2018, il quale, raccogliendo le numerose segnalazioni e richieste di chiarimento degli addetti ai lavori sul ruolo del consulente, evidenziava il fatto che ai propri iscritti venissero inviate, nomine a responsabile esterno del trattamento (ai sensi dell’art. 28), da parte dei propri clienti.

Il fatto poi che vi fosse da parte degli stessi clienti l’intenzione di voler considerare la nomina obbligatoria e necessariamente connessa all’esercizio del mandato professionale ha scaturito la decisone del Consiglio Nazionale dell’Ordine di inquadrare i consulenti del lavoro come responsabili del trattamento solo in via facoltativa e previo un separato e specifico incarico professionale, ritenendo invece come ruolo fisiologicamente principale, per quanto riguarda il trattamento dei dati, quello di titolare e co-titolare del trattamento (“il consulente del lavoro nelle attività di trattamento di dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di titolare del trattamento. E’ possibile ritenere configurabile, al più, una fattispecie di co-titolarità”). Le criticità che hanno fatto sì che si giungesse a questa conclusione sono le seguenti:

  • la compressione della sfera di autonomia del consulente del lavoro che si avrebbe inquadrandolo come responsabile del trattamento, poiché, in quanto preposto del titolare, ne deve seguire le istruzioni impartite e deve sottostare al potere-dovere di vigilanza e direzione;
  • il fatto che le nomine a responsabile del trattamento pervenute ai consulenti sarebbero unilateralmente predisposte dai clienti.

In relazione a quest’ultimo punto non è difficile immaginare le conseguenze pratiche che l’adesione a format prestabiliti comporta per ogni singolo consulente che si ritrova così a dover rispettare le diverse istruzioni impartite da ogni cliente per cui svolge l’incarico, senza nessuna possibilità di ottenere un diverso accordo che tenga in considerazione il contesto in cui si opera.

Il Consiglio con la circolare n. 1150 ha quindi voluto ribadire, in riferimento ai propri iscritti, la “piena autonomia di decisione nella scelta delle modalità e dei mezzi (anche tecnologici) ritenuti più opportuni, così come nella scelta dei collaboratori cui affidare il trattamento”.

A sostegno della propria tesi il Consiglio dell’Ordine fa riferimento alla Legge n. 12/79 (“Norme per l’ordinamento della professione di Consulente del Lavoro”) ribadendo che se il consulente non ha una propria autonomia decisionale e concettuale allora vi è un contrasto con la norma ai sensi della quale “tutti gli adempimenti in materia di lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, quando non sono curati dal datore di lavoro, direttamente od a mezzo di propri dipendenti, non possono essere assunti se non da coloro che siano iscritti nell’albo dei consulenti del lavoro”. Da ciò ne consegue che, sempre secondo l’opinione del Consiglio dell’Ordine, nelle ipotesi in cui il datore/cliente affida ai consulenti del lavoro la gestione degli adempimenti previsti dalla legge, questi ultimi hanno piena autonomia di decisione in merito al trattamento nella sua definizione più generale e quindi nella scelta delle modalità e dei mezzi (anche tecnologici) ritenuti più opportuni, così come nella scelta dei collaboratori cui affidare il trattamento medesimo. Il timore è che se il professionista debba costantemente e sistematicamente rendere conto al proprio cliente-titolare delle modalità utilizzate per il trattamento dei dati a lui affidati, tale autonomia sarebbe irrimediabilmente compromessa. È attraverso tale percorso logico-giuridico che il Consiglio Nazionale è giunto alla conclusione secondo cui il consulente del lavoro, nelle attività di trattamento dei dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di titolare del trattamento o meglio di co-titolare.

Le precisazioni del Garante

Ebbene il Garante, in seguito al quesito sottopostogli e viste anche le numerose richieste di chiarimento ricevute dai professionisti in relazione alla citata circolare, nel provvedimento del 22 gennaio 2019, a cui segue la precisazione nella newsletter del 7 febbraio 2019, ha in primo luogo ribadito la linea di continuità tra il Regolamento 679/2016 e la Direttiva 95/46/CE per ciò che riguarda i ruoli di titolare e responsabile, evidenziando come l’articolo 28 del Regolamento abbia, rispetto alla Direttiva, precisato e delimitato i compiti che possono essere attribuiti dal titolare al responsabile, individuando l’ambito delle rispettive responsabilità e gli obblighi di cooperazione cui è soggetto il responsabile. In secondo luogo, il Garante giustamente afferma che per poter stabilire il ruolo del consulente, ai sensi del Regolamento, nello svolgimento della propria attività, occorre in via preliminare distinguere l’attività del consulente, in particolare:

  • se i dati che tratta riguardano i propri dipendenti o i propri clienti (persone fisiche), oppure
  • se tratta i dati dei dipendenti del cliente per cui svolge l’incarico.

Nel primo caso, il consulente agisce in piena autonomia, decide modalità del trattamento dei dati per le finalità che riguardano la gestione della propria attività, pertanto il suo ruolo non può essere che quello di titolare del trattamento. Qualora, invece il consulente tratta i dati dei dipendenti dei propri clienti, la sua qualifica sarà quella di responsabile del trattamento, non trovando spazio in tale caso nemmeno la qualifica di co-titolare del trattamento.

Analisi dei ruoli e dei rapporti tra le parti

Il datore di lavoro, titolare del trattamento, raccoglie e tratta in prima battuta i dati dei propri dipendenti (dati personali, dati sanitari, dati relativi all’adesione a organizzazioni sindacali, dati relativi alle qualifiche professionali, dati bancari, premi produttività, pignoramenti dello stipendio, dati riguardanti il nucleo familiare), informazioni che sono legittimamente raccolte in base al contratto di lavoro e alle norme di legge. Conseguentemente, il datore di lavoro nell’esternalizzare la gestione di alcuni aspetti del rapporto con i lavoratori (elaborazione buste paga, adempimenti previsti dalla disciplina previdenziale ed assistenziale, gestione dei trattamenti relativi alla fine del rapporto lavorativo) si affiderà a consulenti qualificati che si auspica possano fornire delle garanzie di conformità al Regolamento e la loro qualifica, nel trattamento dei dati ricevuti dal titolare/datore di lavoro, non potrà che essere quella di responsabili del trattamento cui spetterà seguire le istruzioni impartite dal titolare/datore di lavoro sulle modalità e finalità del trattamento, senza che ciò li esima dall’applicare, oltre alle norme del Reg. UE 679/2016, la disciplina del settore di competenza e le norme deontologiche di riferimento.

Riflettendo sul fatto che nell’ambito del rapporto di lavoro i dati sono raccolti dal titolare/datore di lavoro, proprio in virtù del contratto lavorativo e che il lavoratore non ha nessun rapporto diretto con i consulenti del lavoro, poiché non è a loro che comunica i propri dati, va da sé che ogni decisione circa le finalità del trattamento e le modalità non può che ricadere in capo al datore di lavoro. I consulenti a loro volta tratteranno sì i dati dei lavoratori, ma solo perché è il datore di lavoro che ha deciso di esternalizzare lo svolgimento di determinate attività, perciò il trattamento da parte dei consulenti avviene in seguito ad un incarico ricevuto e non può che avvenire in base a precise istruzioni. Diversamente non si comprenderebbe per mezzo di quale rapporto intercorrente con i lavoratori il ruolo di titolare potrebbe essere ricoperto dal consulente.

A tal fine non può nemmeno essere ritenuto sufficiente legittimare ex lege il ruolo di titolare in capo al consulente richiamando l’articolo 1 della Legge n. 12/79 (“tutti gli adempimenti in materia di lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, quando non sono curati dal datore di lavoro, direttamente od a mezzo di propri dipendenti, non possono essere assunti se non da coloro che siano iscritti nell’albo dei consulenti del lavoro”), questa norma non implica automaticamente che le decisioni circa finalità e modalità del trattamento debbano essere assunte dal consulente, afferma solamente che gli adempimenti in materia di lavoro previdenza ed assistenza sociale dei lavoratori dipendenti, (se non dal datore di lavoro) devono essere assunti dagli iscritti all’albo dei consulenti. Pur comprendendo le preoccupazioni manifestate, non bisogna sottovalutare il fatto che ricoprire il ruolo di responsabile del trattamento non sminuirebbe la funzione del consulente così come prevista dalla Legge n. 12/79, poiché il consulente continuerebbe sempre a svolgere gli adempimenti in materia di lavoro, previdenza ed assistenza sociale.

Le possibili soluzioni

Ora è chiaro che la perplessità manifestata dal Consiglio Nazionale dell’Ordine dei Consulenti, circa l’obbligo per i consulenti di sottostare ad atti di nomina a responsabile del trattamento, predisposti unilateralmente da parte dei titolari/clienti, evidentemente riflette una consuetudine che ha trovato spazio nell’applicazione pratica del Regolamento, ma che ad esso non è riconducibile. Infatti, il paragrafo 3 dell’articolo 28 prevede espressamente che i trattamenti da parte del responsabile devono essere disciplinati “da un contratto o da un altro atto giuridico”, ciò significa, come ha precisato anche il Garante, che la designazione deve essere stipulata concordemente dalle parti tenendo conto del contesto delle finalità e modalità del trattamento e dei compiti in concreto affidati, che pertanto viene riconosciuta la potestà di negoziare in posizione paritaria. Sebbene a livello pratico ben si può comprendere la difficoltà di dover stipulare diversi atti per ogni responsabile in base alla specificità di ogni situazione e trattamento non bisogna dimenticare che la conformità al Regolamento non può e non deve ridursi ad una mera compilazione di documenti standardizzati, ma deve implicare da parte dei soggetti una analisi approfondita di ogni situazione, in osservanza del principio di accountability.

Infine, non ha ragione di essere la preoccupazione rappresentata dal Consiglio sulla completa limitazione dell’autonomia dei consulenti che la nomina a responsabile comporterebbe, visto che il Regolamento ha attribuito direttamente anche al responsabile (art. 32 Regolamento) compiti specifici per quanto riguarda l’individuazione e la predisposizione delle misure di sicurezza tecniche ed organizzative ritenute più adeguate al rischio, tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.

Il consulente gode quindi di una certa autonomia nello stabilire le misure più idonee per proteggere i dati e per gestire l’archivio. D’altro canto l’ambito delle misure di sicurezza riguarda proprio l’organizzazione dello studio di consulenza (misure fisiche, misure organizzative, misure logiche-attinenti alla struttura informatica), è logico quindi che le decisioni sulle protezioni più adeguate posso essere prese solo dal consulente. Inoltre, nulla vieta al consulente di avvalersi di collaboratori di propria fiducia, i quali possono svolgere l’attività di trattamento dei dati seguendo le istruzioni dallo stesso impartite, in tal modo si configura così il rapporto previsto dall’art. 29 del Regolamento, oppure qualora sia loro demandata l’esecuzione di specifiche attività di trattamento per conto del titolare, potranno assumere il ruolo di sub-responsabili, previa sempre l’autorizzazione anche generale dal parte del titolare. Non si dimentichi poi che tra le incombenze previste dal regolamento a carico del consulente vi è anche la predisposizione dei due registri del trattamento ai sensi dell’art. 30 del Regolamento, uno nella qualifica di titolare e l’altro nella qualifica di responsabile.

Le conclusioni e le precisazioni fornite dal Garante, benché formalmente divergenti rispetto alla soluzione prospettata dal Consiglio dell’Ordine, che suggeriva le qualifiche di co-titolare e, facoltativamente, di responsabile del trattamento, nella sostanza hanno fornito una soluzione alle problematiche evidenziate e pertanto sono state condivise dall’Ordine dei Consulenti come espresso nella circolare n. 1154 dell’8 febbraio 2019.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5