Il 22 gennaio scorso il Garante per la privacy ha pubblicato sul proprio sito internet (qui il link) risposta ad un quesito avente ad oggetto “il ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016”. Con l’occasione il Garante ha fissato alcuni principi cardine relativi proprio al trattamento dei dati personali da parte del consulente del lavoro, specificando quanto segue:
nel momento in cui il consulente stesso tratta dati dei propri dipendenti, ovvero dei propri clienti, egli figura chiaramente quale titolare del trattamento dei dati ai fini della normativa privacy, con tutto ciò che ne consegue in termini di responsabilità, compiti ed incombenze;
al contrario, laddove il consulente tratti dati dei dipendenti del cliente, egli svolge un’attività delegata da quest’ultimo (titolare del trattamento) e di conseguenza figura non già come contitolare ma come responsabile esterno di tale trattamento.
Nella prassi, quindi, si avrà che il titolare del trattamento dei dati, la cui figura rimane corretamente ancorata in capo al cliente, sottoscriverà con il proprio consulente del lavoro un contratto nel quale, tra l’altro, verrano definiti proprio gli aspetti relativi al trattamento dei dati personali, chiarendone il contesto, le finalità e le specifiche modalità, in un quadro nel quale come accennato il consulente del lavoro troverà puntuale inquadramento nella figura del responsabile c.d. “esterno”.
Si riporta uno stralcio del succitato intervento del Garante:
[…] occorre fare riferimento alla figura del responsabile, che, anche in base alla nuova disciplina pienamente in vigore nel nostro ordinamento a far data dal 25 maggio 2018 rimane connotata dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse (in termini di conoscenze specialistiche, di affidabilità, di struttura posta a disposizione, v. considerando 81, Reg. cit.), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare. Il titolare pertanto è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, assume le decisioni di fondo relative a finalità e modalità di un trattamento lecitamente effettuato in base ad uno dei criteri di legittimazione individuati dall’ordinamento (v. artt. 6 e 9 del Regolamento).
In tale contesto, peraltro, il Garante ha avuto modo di specificare come
L’affidamento dell’incarico al consulente avverrà, anche in base alle norme di diritto comune applicabili, attraverso la sottoscrizione di un “ contratto o altro atto giuridico” stipulato concordemente dalle parti tenendo conto dei compiti in concreto affidati, del contesto, delle finalità e modalità del trattamento, e non in base a modelli non aderenti alle circostanze del caso concreto o imposti unilateralmente.
In altri e più chiari termini e, per inciso, in maniera coerente rispetto all’impianto c.d. di privacy by desing che fa parte dell’ossatura del GDPR, l’Autorità ritiene centrale il fatto che l’accordo negoziale tra il titolare del trattamento dati e il responsabile esterno (consulente del lavoro) non si “appiattisca” in un documento standard ma sia il risultato di un’effettiva negoziazione tra le parti, nel quale segnatamente i compiti e gli obblighi in materia privacy siano stati correttamente perimetrati in base alle singole esigenze del caso.
I collaboratori del consulente del lavoro, infine, saranno inquadrabili nell’alveo applicativo dell’art. 29 del Regolamento GDPR, in quanto soggetti tenuti al rigoroso rispetto delle direttive e delle istruzioni del responsabile esterno. Qualora, invece, agli stessi fosse riconosciuto un margine gestionale ed operativo maggiore, ben si potrà ricorrere alla figura del sub-responsabile, previa autorizzazione del titolare. Sul punto, in particolare, si riporta quanto segue:
Qualora il consulente si avvalga normalmente di collaboratori di propria fiducia (come rappresentato dal Consiglio dell’Ordine nella nota del 3.12.2018) questi, in base alle concrete operazioni di trattamento affidate, potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento. Più specificamente, in base all’art. 2- quaterdecies del Codice il responsabile può prevedere che “ specifici compiti e funzioni connessi al trattamento siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità” Oppure, diversamente, i collaboratori potranno assumere in concreto il ruolo di subresponsabili, qualora sia demandata “ l’esecuzione di specifiche attività di trattamento per conto del titolare” (v. art. 28, par. 4 del Regolamento). In tale ipotesi, anche al fine di impedire l’elusione della norma che prevede che il titolare debba ricorrere a soggetti che forniscano specifiche garanzie di affidabilità, competenza e organizzazione, il paragrafo 2 dell’art. 28 prevede che il relativo atto di incarico debba essere autorizzato, anche in via generale (dunque non necessariamente specifica) dal titolare.