Con una precisazione del 22 gennaio 2019, il Garante per la protezione dei dati chiarisce una volta per tutte il ruolo del consulente del lavoro rispetto all’applicazione del GDPR.
Fino ad ora vi era una disputa particolarmente accesa per definire quale fosse il ruolo dei professionisti come il consulente del lavoro; da una parte veniva considerato titolare autonomo di trattamento, dall’altra responsabile del trattamento.
Il Garante definisce quindi che, in generale, il consulente del lavoro è da considerare RESPONSABILE DEL TRATTAMENTO, ma analizziamo i casi specifici:
- E’ responsabile del trattamento quando tratta i dati dei dipendenti dei suoi clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare.
“…occorre fare riferimento alla figura del responsabile, che, anche in base alla nuova disciplina pienamente in vigore nel nostro ordinamento a far data dal 25 maggio 2018 rimane connotata dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse (in termini di conoscenze specialistiche, di affidabilità, di struttura posta a disposizione, v. considerando 81, Reg. cit.), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare.”
- È titolare del trattamento quando tratta, in piena autonomia e indipendenza, i dati dei propri dipendenti.
“…il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività. Per tali ragioni, egli ricopre il ruolo di titolare del trattamento (art. 4, par. 1, punto 7, del Regolamento), in quanto non si limita ad effettuare un’attività meramente esecutiva di trattamento, “per conto” del cliente, bensì esercita un potere decisionale del tutto autonomo sulle finalità e i mezzi del trattamento. “
- E’ titolare autonomo del trattamento quando tratta dai dei clienti se questi sono persone fisiche, come ad esempio i liberi professionisti determinando puntualmente le finalità e i mezzi del trattamento;
“Alla luce del quadro normativo sopra delineato, in via prioritaria occorre dunque distinguere il segmento di attività in cui il consulente del lavoro tratta i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista, attività fiscalmente e normativamente regolamentata, dalla diversa attività (tipica di questo ordine professionale) per la quale il medesimo soggetto tratta i dati dei dipendenti del cliente. Nel primo caso il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività. Per tali ragioni, egli ricopre il ruolo di titolare del trattamento (art. 4, par. 1, punto 7, del Regolamento), in quanto non si limita ad effettuare un’attività meramente esecutiva di trattamento, “per conto” del cliente, bensì esercita un potere decisionale del tutto autonomo sulle finalità e i mezzi del trattamento.”
Un altro esempio portato alla luce dal Garante è la relazione in tal senso fra un’ipotetica società capogruppo e le relative società controllate: in questo caso, se le società controllate affidano alla capogruppo alcuni aspetti della loro gestione (come gli adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori, il soggetto che fornisce servizi di localizzazione geografici, i servizi di posta elettronica, i servizi di videosorveglianza ecc…), la capogruppo sarà RESPONSABILE del trattamento di cui la controllata è TITOLARE.
“Più specificamente, a titolo esemplificativo, il Garante ha ritenuto che rivesta, di regola, il ruolo di responsabile la società capogruppo delegata da società controllate e collegate a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori, il soggetto che fornisce servizi di localizzazione geografica, i servizi di posta elettronica, i servizi di televigilanza. In definitiva, secondo il costante orientamento espresso dall’Autorità, le attività di trattamento svolte da soggetti esterni per conto del titolare, il quale può decidere di affidare all’esterno lo svolgimento di compiti strettamente connessi all’esecuzione di obblighi previsti dalla normativa lavoristica e/o dal contratto di lavoro, devono, di regola, essere inquadrate nello schema titolare/responsabile del trattamento.”
Link al testo completo della precisazione del Garante pubblicata in data 22 gennaio 2019 – https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9080970