Una risposta del Garante per la protezione dei dati personali chiarisce in maniera definitiva e autorevole quali sono le fattispecie che riconducono il consulente del lavoro al ruolo del responsabile del trattamento dei dati personali ex art 28 GDPR.
L’Autorità è stata investita della richiesta di un quesito da parte del Consiglio Nazionale dei consulenti del lavoro (ma analoga richiesta era stata inoltrata anche da singoli professionisti) finalizzata a conoscere ruolo e prerogative rispetto al trattamento dei dati personali per conto dei clienti.
A tale proposito il Garante, nel ribadire una continuità tra quanto disciplinato dalla Direttiva 95/46/CE (attualmente abrogata) e il Regolamento (UE) 679/2016, ha affermato che il titolare è il soggetto che determina le finalità ed i mezzi del trattamento dei dati personali, mentre il responsabile è colui che tratta dati personali per conto del titolare del trattamento.
L'articolo continua dopo la pubblicità
Definizione di titolare
L’art. 4, n. 7 del Regolamento definisce “«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Definizione di responsabile
L’art. 4, n. 8 del Regolamento definisce “«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
Di conseguenza, occorre scindere due fattispecie:
- la prima in cui il consulente tratta dati personali dei propri dipendenti o dei propri clienti (persone fisiche) ed è, quindi, da considerarsi quale titolare del trattamento, poiché ne determina sia le finalità che i mezzi;
- la seconda attiene al trattamento dei dai personali dei dipendenti dei propri clienti, a fronte di un incarico ricevuto che ne esplicita anche le istruzioni sui trattamenti da effettuare.
Questa seconda fattispecie comprende, a titolo esemplificativo:
In questo secondo ambito il trattamento dei dati personali avviene sulla scorta di un contratto tra cliente e consulente del lavoro che dovrà disciplinare anche gli adempimenti in materia di protezione dei dati personali, al fine di perimetrare le competenze e definire i rispettivi ruoli e responsabilità.
Detto in altri termini, il Garante ha ravvisato come discriminante per la distinzione della attribuzione del ruolo di titolare o di responsabile, la attività svolta dal consulente di lavoro che non può essere considerata in maniera unica, per quanto attiene all’applicazione della normativa in materia di protezione dei dati personali.
Ragion per cui vanno tenuti distinti e separati due perimetri:
Nel primo caso è riconosciuta al consulente del lavoro piena autonomia per quanto attiene alla individuazione delle finalità e dei mezzi per svolgere il trattamento; di qui la qualifica di titolare del trattamento.
Mentre nella seconda ipotesi, il trattamento dei dati personali dei dipendenti del cliente – da parte del consulente del lavoro - avviene dietro trasmissione degli stessi dati da parte del cliente che, per di più, impartisce istruzioni e stabilisce finalità e modalità e, quindi, riveste la carica di titolare del trattamento a fronte di un contratto di esternalizzazione di determinati servizi.
Sempre ad avviso del Garante, il ruolo di responsabile del trattamento attribuito al consulente del lavoro non fa venir meno in capo al professionista gli obblighi riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.
In questa risposta il Garante ha richiamato e confermato il proprio orientamento ne senso che “le attività di trattamento svolte da soggetti esterni per conto del titolare, il quale può decidere di affidare all’esterno lo svolgimento di compiti strettamente connessi all’esecuzione di obblighi previsti dalla normativa lavoristica e/o dal contratto di lavoro, devono, di regola, essere inquadrate nello schema titolare/responsabile del trattamento.”