Consulenti del lavoro e privacy: il loro ruolo nel trattamento dati dopo il GDPR

tratto da Agenda Digitale

La posizione dei Consulenti del lavoro nel trattamento dei dati pone dilemmi sul ruolo che questi professionisti assumono alla luce del GDPR, soprattutto relativamente alla loro autonomia. Con nota del 7 febbraio 2019 il Garante della Privacy, rispondendo ad un quesito del Consiglio Nazionale dei Consulenti del lavoro, ha chiarito in quali casi questi professionisti possano considerarsi titolari autonomi del trattamento dei dati ed in quali casi invece siano responsabili esterni.

La risposta del Garante segue la nota diffusa nel settembre 2018 (nr. 1150/2018) dal Consiglio Nazionale dei Consulenti del Lavoro, nella quale si valorizzava, correttamente, l’autonomia del trattamento effettuato da questi professionisti, salvo poi scivolare nella indesiderabile ipotesi di co-titolarità fra cliente e consulente del lavoro, senza dare indicazioni sulla preferenza fra le due ipotesi proposte (titolarità autonoma e contitolarità), lasciando così i consulenti in una situazione, se possibile, più confusa di prima. Occorre dunque fare chiarezza nella normativa per precisare la posizione di questi professionisti.

La questione evidentemente non riguarda il trattamento, da parte del Consulente del Lavoro,relativo ai dati personali dei propri clienti (il Consulente sarà titolare del trattamento e fornirà adeguata informativa al cliente in sede di conferimento dell’incarico), ma piuttosto il caso in cui il Consulente tratti dati, anche appartenenti a categorie particolari, che gli sono forniti dal cliente ma si riferiscono a diversi soggetti, tipicamente i dipendenti dell’azienda assistita. Il Garante interviene scartando con decisione, in quest’ultimo caso, l’ipotesi della contitolarità, come era logico aspettarsi, e quindi si confronta sulla vera questione, ovvero se questi professionisti siano titolari autonomi del trattamento che effettuano ovvero siano responsabili esterni del trattamento ai sensi dell’art. 28 Reg. UE 2016/679. Entrambe le soluzioni presentano però rilevanti problemi di natura pratica. Se il rapporto fra Datore di Lavoro e Consulente del Lavoro venisse qualificato come titolare/responsabile, è innegabile la necessità di alcune forzature della normativa GDPR per incasellare correttamente i ruoli rispettando l’autonomia della professione intellettuale coinvolta.

Una nomina generalizzata del consulente quale responsabile esterno da parte di tutti i clienti datori di lavoro è infatti ardua da gestire, se non altro perché un contratto rigoroso che regoli i rapporti fra titolare e responsabile impone dei controlli e verifiche periodiche da parte del titolare (esplicitamente citate dall’ormai abrogato art. 29 co. 5 D. Lgs. 196/2003), altrimenti perde di senso l’onere, in capo al titolare, di verificare che il responsabile presenti “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” di cui all’art. 28 par. 1 GDPR.

leggi l’articolo completo