Il ruolo privacy del consulente del lavoro: i chiarimenti del Garante
Il ruolo di autonomo titolare o di responsabile del trattamento dei consulenti del lavoro e di altre professioni specificamente regolate dalla legge è spesso al centro di accese negoziazioni. Rispetto al quadro normativo previgente, il GDPR ha infatti aumentato gli obblighi direttamente applicabili al responsabile del trattamento e, di conseguenza, molti soggetti preferiscono essere inquadrati come autonomi titolari piuttosto che come responsabili, al fine di beneficiare di una maggiore autonomia decisionale. In questo quadro, l’Autorità Garante per la Protezione dei Dati personali è intervenuta a seguito del quesito posto dal Consiglio nazionale dei Consulenti del Lavoro per chiarire una volta per tutte il ruolo privacy di tali soggetti.
Scopri tutte le risposte in questo approfondimento di ICT Legal Consulting, studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.
Premessa
Il 22 gennaio scorso, l’Autorità Garante per la Protezione dei Dati personali ha pubblicato alcuni chiarimenti a seguito del quesito posto dal Consiglio nazionale dei Consulenti del Lavoro sul ruolo del consulente del lavoro alla luce del Regolamento UE 2016/679 (“Regolamento”), precisandone la veste di titolare e di responsabile del trattamento, in considerazione delle attività eseguite.
Questioni principali
Il Garante per la protezione dei dati personali opta per una soluzione che qualifica in maniera diversa il ruolo del consulente del lavoro a seconda che tratti dati:
a) “dei propri dipendenti ovvero dei propri clienti (persone fisiche)”;
b) “dei dipendenti del cliente”.
Nella prima ipotesi, il consulente del lavoro agisce come titolare del trattamento, “in piena autonomia e indipendenza determinando puntualmente le finalità̀ e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività̀. Per tali ragioni egli ricopre il ruolo di Titolare del trattamento, in quanto non si limita ad effettuare un’attività̀ meramente esecutiva di trattamento ‘per conto’ del cliente, bensì̀ esercita un potere decisionale del tutto autonomo sulle finalità̀ e i mezzi del trattamento”. Si ricorda che, il titolare del trattamento è definito nel Regolamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, n. 7, del Regolamento).
Diversamente, nella seconda ipotesi il consulente del lavoro dovrà̀ essere qualificato come responsabile del trattamento, definito all’art. 4, n. 8, del Regolamento come ”la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento”.
Le indicazioni tecniche contenute nel contratto sottoscritto tra il Titolare ed il Responsabile (art. 28 del Regolamento) dovranno rispettare l’autonomia organizzativa che il consulente del Lavoro deve mantenere nello svolgimento della propria attività e non potranno non tenere conto delle norme deontologiche e della legge che regolamenta l’attività professionale.
Implicazioni pratiche
Nel quadro normativo tratteggiato, il consulente del lavoro, assunte le vesti di responsabile del trattamento dati, dovrà adottare delle misure tecniche ed organizzative adeguate, tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32, co.1 del Regolamento).
Continua a leggere qui here.
In collaborazione con
ICT Legal Consulting è uno studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.