I consulenti sono responsabili del trattamento dati
Quando gestiscono i dati dei dipendenti dei loro clienti, i consulenti del lavoro, ai fini del regolamento Ue 679/2016 sulla privacy, ricoprono il ruolo di responsabile del trattamento. Sono, invece, titolari del trattamento quando si occupano dei dati dei loro dipendenti diretti o dei loro clienti. Questi i chiarimenti forniti dal Garante della privacy in risposta a domande inviate direttamente dai professionisti e a un quesito presentato dal Consiglio nazionale dei consulenti.
Nella circolare 1150 del 23 luglio 2018, il Consiglio nazionale dell’Ordine dei consulenti ha preso posizione in merito «alla pretesa, da parte della clientela, di nominare il consulente del lavoro quale responsabile esterno del trattamento» dei dati. «Nomina che si vorrebbe ritenere obbligatoria e necessariamente connessa all’esercizio del mandato professionale». Secondo il Consiglio, in tale situazione il consulente del lavoro non ricopre il ruolo di responsabile ma quello di titolare o eventualmente di co-titolare. La differenza tra le due posizioni ha ricadute sull’autonomia dei professionisti perché, è stato esplicitato sempre nella circolare, il responsabile deve attenersi «scrupolosamente alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle stesse. La sfera di autonomia del responsabile risulta quindi fortemente compressa».
Dunque il punto della questione è il ruolo svolto e le conseguenze sulla libertà d’azione e di organizzazione del consulente del lavoro. Secondo il Consiglio, la titolarità degli adempimenti in materia di lavoro può venire “assunta” dai consulenti direttamente in base a quanto previsto dalla legge 12/1979 istitutiva dell’Ordine. Ne consegue che nella gestione dei dati dei dipendenti dei clienti, i consulenti ricoprono il ruolo di titolare, o di co-titolare se insieme al datore di lavoro determinano le finalità e i mezzi del trattamento tramite un accordo interno. Ciò non esclude la possibilità di assumere anche il ruolo di responsabile esterno del trattamento dei dati, ma a fronte di un incarico autonomo e relativo compenso.
Il Garante non condivide la tesi del Consiglio e afferma che, quando tratta dati dei dipendenti dei clienti, il consulente ricopre il ruolo di responsabile del trattamento perché gestisce informazioni personali utilizzando i dati raccolti dal datore di lavoro e lo fa non sulla base di una diretta previsione di legge, ma a seguito di un contratto di incarico che include le istruzioni sui trattamenti da compiere. Ciò avviene, per esempio, per l’elaborazione delle buste paga, la gestione dei trattamenti relativi alle assunzioni, gli adempimenti in materia previdenziale.
Il Garante esclude anche la possibilità di una posizione di co-titolarità, ma al contempo sottolinea che «al consulente che operi in qualità di responsabile del trattamento è dunque attribuito un apprezzabile margine di autonomia (e correlativa responsabilità) nella individuazione dei sistemi e delle misure idonee a garantire la sicurezza dei dati gestiti nei propri archivi». A proposito di archivi informatici, spetta al responsabile scegliere e adottare le soluzioni adeguate per fronteggiare i rischi. Alla conclusione del rapporto con il cliente, i dati dovranno essere cancellati o anonimizzati e/o consegnati al titolare in base a quanto previsto nel contratto di incarico.