Il ruolo del Consulente del lavoro alla luce del Regolamento Privacy

Con comunicazione del 22 gennaio 2019 il Garante Privacy ha risposto al Consiglio Nazionale dei Consulenti del Lavoro, che aveva richiesto chiarimenti in merito al ruolo del consulente del lavoro alla luce del Regolamento (UE) 679/2016 (di seguito: Regolamento) con particolare riferimento alle qualificazioni di “titolare” e di “responsabile” del trattamento. 

Tale quesito è stato formulato in seguito ai dubbi sollevati da numerosi professionisti sulla Circolare 23/07/2018 n. 1150 del Consiglio nazionale dei Consulenti del Lavoro, in cui il Consiglio aveva affermato:

“il consulente del lavoro nelle attività di trattamento di dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di titolare del trattamento. È possibile ritenere configurabile, al più, una fattispecie di co-titolarità”.

Il Garante nella propria missiva ha risposto al quesito, escludendo che sia configurabile in linea generale in capo al consulente del lavoro il ruolo di contitolare del trattamento insieme al proprio cliente, datore di lavoro.

Innanzitutto, vengono ribaditi dal Garante i ruoli del titolare del trattamento (“Controller”) e del responsabile del Trattamento (“Processor”), richiamando l’art. 4, n. 7 del Regolamento, che definisce “«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”; e l’art. 4, n. 8 del Regolamento, che definisce “«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Inoltre, il Garante distingue il trattamento dei dati svolto dal consulente del lavoro nei confronti dei propri clienti, da quello svolto nei confronti dei dipendenti degli stessi.

Il Garante precisa che nel primo caso il consulente del lavoro agisce in piena autonomia ed indipendenza, determinando puntualmente le finalità e i mezzi del trattamento dei dati dei propri clienti per il perseguimento di scopi attinenti alla gestione della propria attività. In tale caso egli ricopre il ruolo di titolare del trattamento, in quanto non si limita ad effettuare un’attività meramente esecutiva di trattamento, per conto del cliente, bensì esercita un potere decisionale del tutto autonomo sulle finalità e sui mezzi del trattamento. 

Nel secondo caso, invece il consulente del lavoro riveste il ruolo di responsabile del trattamento, non quello di titolare, essendo l’attività connotata dallo svolgimento di attività delegate dal cliente (elaborazione e predisposizione delle buste paga, gestione dei trattamenti relativi all’assunzione e a quelli di fine rapporto, gestione degli adempimenti previsti dalla disciplina previdenziale ed assistenziale). In questo caso il cliente, quale titolare del trattamento, delimita l’ambito delle attribuzioni del Consulente, fornendo allo stesso specifiche istruzioni sul trattamento dei dati.

Il Garante ha ammesso che il Consulente del lavoro, ai sensi l’art. 2-quaterdecies del Codice Privacy, si possa avvalere di collaboratori di propria fiducia per il trattamento dei dati, che opereranno, senza margini di autonomia, sotto la sua diretta autorità ed in base alle istruzioni impartite. Lo stesso, in conformità al disposto dell’art. 28, par. 4 del Regolamento, potrà avvalersi altresì di collaboratori o consulenti esterni alla propria organizzazione, che potranno assumere il ruolo di subresponsabili per l’esecuzione di specifiche attività di trattamento per conto del titolare. In questo caso al fine di impedire l’elusione della norma che prevede che il titolare debba ricorrere a soggetti che forniscano specifiche garanzie di affidabilità, competenza e organizzazione, il Garante ritiene che il relativo atto di incarico del subresponsabile debba essere autorizzato, anche in via generale dal titolare.

Il Garante evidenzia infine al Consiglio Nazionale dei Consulenti del lavoro che la contitolarità del trattamento in capo al Consulte del lavoro è esclusa anche in ragione della base giuridica posta a fondamento del trattamento dei dati. Infatti, nell’ipotesi riguardante il trattamento dei dati relativi ai propri clienti, la base giuridica che legittima il trattamento in capo al Consulente – quale titolare del trattamento - è rinvenibile nell’esecuzione del contratto (art. 6, par. 1, lett. b, del Regolamento). Diversamente, qualora il Consulente tratti i dati personali, anche “sensibili”, riguardanti i dipendenti dei propri clienti, lo stesso agirà in veste di responsabile del trattamento e la base normativa sottostante sarà quella stabilita all’art. 9, par. 2, lett. b), del Regolamento, che legittima il trattamento per assolvere gli obblighi ed esercitare i diritti specifici del titolare in materia di diritto del lavoro e della sicurezza sociale e protezione sociale.

Avv. Niki Astore
(Avvocato Giuslavorista, Employment Lawyer. Docente del Master Giuristi d'Impresa)