HOME

/

DIRITTO

/

PRIVACY 2023

/

IL RUOLO DEL CONSULENTE DEL LAVORO NELLA “FILIERA DELLA PRIVACY”

Il ruolo del consulente del lavoro nella “filiera della privacy”

Il Garante chiarisce la responsabilità del consulente del lavoro nel trattamento dei dati personali ex art 28 GDPR.

Ascolta la versione audio dell'articolo

Una risposta del Garante per la protezione dei dati personali chiarisce in maniera definitiva e autorevole quali sono le fattispecie che riconducono il consulente del lavoro al ruolo del responsabile del trattamento dei dati personali ex art 28 GDPR.
L’Autorità è stata investita della richiesta di un quesito da parte del Consiglio Nazionale dei consulenti del lavoro (ma analoga richiesta era stata inoltrata anche da singoli professionisti) finalizzata a conoscere ruolo e prerogative rispetto al trattamento dei dati personali per conto dei clienti.
A tale proposito il Garante, nel ribadire una continuità tra quanto disciplinato dalla Direttiva 95/46/CE (attualmente abrogata) e il Regolamento (UE) 679/2016, ha affermato che il titolare è il soggetto che determina le finalità ed i mezzi del trattamento dei dati personali, mentre il responsabile è colui che tratta dati personali per conto del titolare del trattamento.

1) Definizione di titolare e responsabile

Definizione di titolare

L’art. 4, n. 7 del Regolamento definisce “«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Definizione di responsabile
L’art. 4, n. 8 del Regolamento definisce “«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento

2) Trattamento dati dei clienti e dei dipendenti dei clienti

Di conseguenza, occorre scindere due fattispecie:

- la prima in cui il consulente tratta dati personali dei propri dipendenti o dei propri clienti (persone fisiche) ed è, quindi, da considerarsi quale titolare del trattamento, poiché ne determina sia le finalità che i mezzi;

- la seconda attiene al trattamento dei dai personali dei dipendenti dei propri clienti, a fronte di un incarico ricevuto che ne esplicita anche le istruzioni sui trattamenti da effettuare.

Questa seconda fattispecie comprende, a titolo esemplificativo:

  • la predisposizione – da parte del consulente - delle buste paga,
  • le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.

In questo secondo ambito il trattamento dei dati personali avviene sulla scorta di un contratto tra cliente e consulente del lavoro che dovrà disciplinare anche gli adempimenti in materia di protezione dei dati personali, al fine di perimetrare le competenze e definire i rispettivi ruoli e responsabilità.

Detto in altri termini, il Garante ha ravvisato come discriminante per la distinzione della attribuzione del ruolo di titolare o di responsabile, la attività svolta dal consulente di lavoro che non può essere considerata in maniera unica, per quanto attiene all’applicazione della normativa in materia di protezione dei dati personali.

Ragion per cui vanno tenuti distinti e separati due perimetri:

  • un perimetro (che per semplicità potremmo definire “interno” ed ) che comprende il trattamento dei dati personali dei dipendenti del consulente del lavoro e dei propri clienti (solo persone fisiche in quanto la normativa di settore non trova applicazione nei confronti delle persone giuridiche)
  • ed un perimetro (che per semplicità potremmo definire “esterno”) che attiene al trattamento dei dati dei dipendenti del cliente.

Nel primo caso è riconosciuta al consulente del lavoro piena autonomia per quanto attiene alla individuazione delle finalità e dei mezzi per svolgere il trattamento; di qui la qualifica di titolare del trattamento.

Mentre nella seconda ipotesi, il trattamento dei dati personali dei dipendenti del cliente – da parte del consulente del lavoro - avviene dietro trasmissione degli stessi dati da parte del cliente che, per di più, impartisce istruzioni e stabilisce finalità e modalità e, quindi, riveste la carica di titolare del trattamento a fronte di un contratto di esternalizzazione di determinati servizi.

Sempre ad avviso del Garante, il ruolo di responsabile del trattamento attribuito al consulente del lavoro non fa venir meno in capo al professionista gli obblighi riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.

In questa risposta il Garante ha richiamato e confermato il proprio orientamento ne senso che “le attività di trattamento svolte da soggetti esterni per conto del titolare, il quale può decidere di affidare all’esterno lo svolgimento di compiti strettamente connessi all’esecuzione di obblighi previsti dalla normativa lavoristica e/o dal contratto di lavoro, devono, di regola, essere inquadrate nello schema titolare/responsabile del trattamento.”

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

INTELLIGENZA ARTIFICIALE · 28/03/2024 Intelligenza artificiale: il Garante autorità nazionale in materia

Il Garante per la privacy si candida come autorità nazionale competente in materia di AI come previsto dalla legge approvata dal Parlamento UE

Intelligenza artificiale: il Garante autorità nazionale in materia

Il Garante per la privacy si candida come autorità nazionale competente in materia di AI come previsto dalla legge approvata dal Parlamento UE

Mail dipendenti:  proroga delle nuove regole

Dopo la stretta sulla "Privacy della posta elettronica dei lavoratori " il Garante annuncia una proroga e prevede una consultazione pubblica sui dettagli operativi

Email dei dipendenti e privacy

Garante Privacy – Documento di indirizzo sui “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.