Consulenti del lavoro: titolari o responsabili del trattamento?
di Fabio Capone
In linea generale le attività che riguardano l’elaborazione e la predisposizione delle buste paga, la gestione dei trattamenti relativi all’assunzione e al fine rapporto, degli adempimenti previsti dalla disciplina previdenziale ed assistenziale, solo per citarne alcuni, sono sempre più affidati dal datore di lavoro a soggetti esterni – sia nel settore pubblico che in quello privato – nell’ambito di una progressiva tendenza ad esternalizzare alcuni settori dell’attività di impresa. Ciò avviene soprattutto in quelle aziende ad elevato impatto organizzativo che si affidano a professionalità esterne particolarmente qualificate, le quali si troveranno anche a dover trattare un elevato flusso di dati personali, anche “sensibili” relativi ai lavoratori (ad es. dati identificativi e sanitari, relativi a qualifica, carriera, adesione ad organizzazioni sindacali ecc.), raccolti dal datore nell’ambito del rapporto di lavoro in quanto legittimato dal contratto e dalle disposizioni normative applicabili, sulla scorta dei criteri e delle direttive da questo impartite.
Tra le figure in argomento vi sono i consulenti del lavoro i quali, ai sensi dell’art. 1, l. n. 12/1979[i], svolgono «gli adempimenti in materia di lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, quando non sono curati dal datore di lavoro, direttamente o a mezzo di propri dipendenti»[ii], tenendo conto dei compiti in concreto affidati, del contesto, delle finalità e modalità del trattamento riportati nel contratto sottoscritto tra le parti che, tuttavia, non solleva il datore di lavoro dalla responsabilità in caso di violazione degli obblighi in materia di lavoro, previdenza ed assistenza sociale perpetrata dal consulente del lavoro (art. 7 l. cit.), al quale si applicheranno le discipline e le regole deontologiche di settore.
Focalizzando, pertanto, l’attenzione sul ruolo da essi ricoperto nell’ambito del trattamento dei dati personali, è utile osservare in via preliminare che il Regolamento (UE) n. 679/2016 (General Data Protection Regulation – GDPR), alla stregua di quanto già previsto dalla Direttiva 95/46/CE[iii], ha mantenuto e, anzi, potenziato le figure del “titolare del trattamento” e del “responsabile del trattamento”. Il primo, denominato Data Controller nella terminologia anglosassone, viene definito «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali»[iv]; il secondo, ovvero Data Processor, viene invece identificato come «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento»[v]. Da tale quadro definitorio è, quindi, evidente il carattere gestionale di colui che può determinare finalità e mezzi del trattamento, qual’è il titolare, differentemente da colui che effettua il trattamento “per conto” del titolare, ovvero il responsabile, al quale i dati personali gli sono comunicati dal primo comunicati.
Infine, da una lettura combinata dell’art. 29 GDPR[vi]con art. 2-quaterdecies[vii]del Codice in materia di protezione dei dati personali (come introdotto dal D.Lgs. 10 agosto 2018, n. 101), è stata rinnovata anche la figura dei c.d. “incaricati”, ovvero di quei soggetti – persone fisiche – designate dal titolare o dal responsabile (in pratica i collaboratori di fiducia) a svolgere, sotto la loro diretta autorità e in base alle istruzioni impartite, «specifici compiti e funzioni connessi al trattamento dei dati». Diversamente, tali “collaboratori” potranno assumere – in concreto – il ruolo di sub-responsabili qualora sia demandata «l’esecuzione di specifiche attività di trattamento per conto del titolare»[viii].
Alla luce, pertanto, di siffatte premesse il Garante Privacy, rispondendo ad un quesito proposto dal Consiglio Nazionale dei consulenti del lavoro, con il recente provvedimento del 22 gennaio 2019[ix]ha distinto i casi in cui il consulente del lavoro, nell’ambito del trattamento dei dati personali della clientela, riveste il ruolo e le responsabilità di:
- titolare quando, nell’ambito dei rapporti di collaborazione o di lavoro, tratta i dati dei propri dipendenti (ad esempio di una segretaria o di altro collaboratore dello studio) in qualità di datore di lavoro, ovvero dei propri clienti – persone fisiche – nella veste di professionista, in piena autonomia e indipendenza,determinando le finalità e i mezzi del trattamento dei dati per il perseguimento di scopi attinenti alla gestione della propria attività[x]. In tale ambito la base giuridica che facoltizza il trattamento in capo al consulente del lavoro è rinvenibile nell’esecuzione di un contratto in cui l’interessato (dipendente o cliente) ne è parte o nell’attuazione di misure precontrattuali adottate su richiesta dello stesso[xi];
- responsabile (art. 28 GDPR) quando tratta i dati dei dipendenti del proprio cliente (ad esempio un avvocato o altro datore di lavoro) sulla base delle attribuzioni ed istruzioni da questi impartite in qualità di titolare del trattamento. La base normativa che legittima il consulente del lavoro al trattamento dei dati personali, anche “sensibili”, dei clienti del datore di lavoro va individuata in capo a quest’ultimo: infatti, poiché nasce l’esigenza di assolvere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale[xii], la legittimità del trattamento si “trasferisce” alle operazioni svolte dal consulente in ragione del contratto di sua designazione a responsabile del trattamento;
- incaricato quando viene designato dal titolare o dal responsabile del trattamento ad effettuare, sotto la loro responsabilità ed autorità, specifici compiti e funzioni connessi al trattamento, ovvero a svolgere operazioni della specie senza apprezzabili margini di autonomia.
[i] La legge 11 gennaio 1979 n. 12, recante “Norme per l’ordinamento della professione di consulente del lavoro”, tra le varie discipline si occupa di chiarire gli adempimenti in materia di lavoro, previdenza ed assistenza sociale che il datore di lavoro può affidare all’esterno a soggetti qualificati che siano iscritti nell’apposito Albo professionale.
[ii] Altri soggetti qualificati ai quali il datore di lavoro può affidare all’esterno gli adempimenti in materia di lavoro, previdenza ed assistenza sociale sono gli iscritti negli albi degli avvocati, dei dottori commercialisti, dei ragionieri e periti commerciali.
[iii] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
[iv] Art. 4, n. 7 GDPR.
[v] Art. 4, n. 8 GDPR.
[vi] Ai sensi dell’art. 29 GDPR «il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo (…)».
[vii] L’art. 2-quaterdecies, c. 1, Codice privacy stabilisce che «Il titolare o il responsabile del trattamento possono, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità (…)».
[viii]Art. 28, par. 4, GDPR: «Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento (…). Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile».
[ix] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9080970.
[x] Il titolare del trattamento, tenendo conto «della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento», provvederà a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è stato effettuato conformemente al regolamento (art. 24, par. 1 GDPR).
[xi] Art. 6, par. 1, lett. b) GDPR: «b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso».
[xii] Art. 9, par. 2, lett. b) GDPR: «b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato».
Autore: