Il Consulente del Lavoro, nella gestione della proprio attività professionale, viene a contatto con una molteplicità di dati “sensibili”, sia dei propri clienti che dei lavoratori dipendenti dei propri clienti. Ciò pone il professionista in una situazione estremamente delicata, in quanto incombono una serie di regole previste dal Garante della Privacy. Regole, queste, che subiscono continue evoluzioni normative, soprattutto in seguito all’entrata in vigore del nuovo GDPR Regolamento (UE) 679/2016.
Ed è proprio per questo motivo che il Consiglio Nazionale dei Consulenti del Lavoro ha chiesto al Garante per la privacy, come bisogna comportarsi e qual è la responsabilità del professionista nel trattamento dei dati personali. La risposta è contenuta nella Newsletter n. 449 del 7 febbraio 2019.
Privacy Consulenti del lavoro: responsabilità dopo il GDPR
Alla luce dell’entrata in vigore del nuovo Regolamento (UE) 679/2016, il CNO dei Consulenti del Lavoro ha chiesto al Garante per la protezione dei dati personali maggiori lumi in merito al ruolo e le responsabilità di questi ultimi nel trattamento dei dati personali della clientela.
Ebbene, il Garante per la privacy ha identificato i Consulenti del Lavoro come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.
Tale risposta, in particolare, si pone in linea di continuità con quanto già prefigurato dalla Direttiva 95/46/CE. Il Regolamento conferma, infatti, le definizioni di titolare e responsabile del trattamento:
- nelle quali il primo resta il soggetto che “determina le finalità e i mezzi del trattamento di dati personali”;
- e il secondo colui che “tratta dati personali per conto del titolare del trattamento”.
Leggi anche: Adempimenti privacy: avvocati, commercialisti, consulenti del lavoro
Differenza tra “titolare o “responsabile” dei dati
In altri termini, il Garante per la privacy ha specificato in maniera più precisa quando il Consulente del Lavoro è “titolare” dei dati personali, ovvero quando è solamente “responsabile”. La differenza è significativo, in quanto il Consulente del Lavoro è:
- “titolare”, quando gestisce – in piena autonomia e indipendenza – i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti. In tali casi, è direttamente il professionista a decidere le finalità ed i mezzi del trattamento;
- “responsabile”, qualora trattano i dati dei dipendenti dei loro clienti sulla base di un incarico ricevuto. Tale incarico, in genere, contiene anche tutte le istruzioni sui trattamenti da effettuare.
Ricadono nella seconda fattispecie, ad esempio, quei Consulenti del lavoro che gestiscono ed elaborano per conto dei propri clienti le buste paga. Ma non solo, anche pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali. Nell’espletamento di questi adempimenti, il professionista viene a contatto con una pluralità di dati personali, anche sensibili, dei lavoratori.
Leggi anche: Check list adempimenti privacy per studi professionali
Consulenti del Lavoro titolari o responsabili del trattamento dei dati
Tutti i dati gestiti dal Consulenti del lavoro, sia quando è “titolare” che “responsabile”, sono raccolti e utilizzati sulla base di un contratto di incarico. In tale contratto figura anche il responsabile del trattamento dei dati. Infatti, è proprio su questo contratto che si basa la legittimità dei trattamenti realizzati dal consulente.
Infine, ha chiarito il Garante per la privacy, anche quando il Consulente del lavoro è solamente “responsabile” dei dati ha comunque un ampio margine di autonomia e di responsabilità. Infatti, è compito del professionista adottare e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.
