(di Gaia Gusmini e Luigi Manna)

A fronte del quesito sottoposto dal Consiglio nazionale dei consulenti del lavoro, il Garante ha recentemente chiarito il ruolo del consulente del lavoro rispetto alle qualificazioni di “titolare” e di “responsabile” del trattamento alla luce del Regolamento UE 679/2016 (“Regolamento”).

Come è noto il Regolamento, in continuità con la Direttiva 95/46/CE, all’articolo 4 n. 7 definisce titolare del trattamento chi “singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e, al n. 8 dello stesso articolo, responsabile del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Come chiarito dal Garante, il consulente del lavoro nello svolgimento della propria attività opera in due distinti segmenti: da un lato tratta i dati dei propri dipendenti o clienti e dall’altro tratta i dati dei dipendenti dei clienti. Nel primo caso, ricopre il ruolo di titolare del trattamento in quanto agisce in piena autonomia determinando finalità e mezzi del trattamento. Quando, invece, il consulente del lavoro svolge attività delegate dal titolare del trattamento (datore di lavoro che trasmette i dati dei suoi dipendenti) sulla base di specifiche istruzioni, occorre fare riferimento alla figura del responsabile del trattamento.

Secondo costante orientamento dell’Autorità “le attività di trattamento svolte da soggetti esterni per conto del titolare, il quale può decidere di affidare all’esterno lo svolgimento di compiti strettamente connessi all’esecuzione di obblighi previsti dalla normativa lavoristica e/o dal contratto di lavoro, devono, di regola, essere inquadrate nello schema titolare/responsabile del trattamento”. L’attività di elaborazione delle buste paga svolta dal consulente del lavoro su incarico del datore di lavoro è inquadrabile in tale schema. Infatti, nella pratica, tale servizio comporta un flusso di dati personali anche sensibili relativi ai lavoratori, che il datore di lavoro in qualità di titolare del trattamento affida al consulente del lavoro. Si pensi ai dati identificativi del personale, dati relativi alla qualifica e alla carriera, dati sanitari, dati relativi a progressioni economiche etc. Tali informazioni, inizialmente raccolte e trattate dal datore di lavoro in base al contratto con il dipendente e alle norme di legge e di regolamento applicabili, sono affidate tramite incarico al consulente che svolge le prestazioni in virtù della propria specifica preparazione certificata dall’iscrizione all’Albo dei consulenti del lavoro.

Il Garante stabilisce che l’affidamento dell’incarico al consulente avvenga attraverso la sottoscrizione di un contratto, stipulato tra le parti tenendo conto dei compiti in concreto affidati, del contesto, delle finalità e modalità di trattamento.

La base giuridica che facoltizza il trattamento dei dati relativi ai propri dipendenti e clienti da parte del consulente del lavoro è “l’esecuzione del contratto” ai sensi dell’art. 6 par. 1 lett. b) del Regolamento. Invece, il trattamento dei dati svolto dal consulente in qualità di responsabile è legittimato ai sensi dell’art. 9 par. 2 lett. b) del Regolamento: la legittimità del trattamento si trasferisce dal datore di lavoro/titolare alle operazioni svolte dal consulente del lavoro, in ragione del contratto con il quale quest’ultimo viene designato responsabile del trattamento.

Sulla base del Regolamento, al consulente che operi come responsabile del trattamento sono attribuiti compiti specifici nella predisposizione di misure idonee a garantire la  sicurezza dei dati conservati negli archivi. Al termine del rapporto professionale, il consulente del lavoro sarà tenuto a cancellare o restituire al titolare i dati contenuti negli archivi conformemente a quanto stabilito nel contratto di affidamento dell’incarico.

Figura distinta da quelle sin qui citate è quella di colui che effettua operazioni di trattamento sotto l’autorità del titolare o del responsabile. Tale ruolo, assimilabile all’incaricato del trattamento previsto dal vecchio Codice Privacy (Dlgs 196/2003), è ora previsto dall’articolo 2 quaterdecies del Codice aggiornato con il DLgs 10 agosto 2018, n. 101. Più specificamente, qualora il consulente del lavoro si avvalga di collaboratori di propria fiducia, questi ultimi possono operare sotto la sua diretta autorità e in base alle istruzioni impartite configurando il rapporto descritto, oppure possono assumere il ruolo di sub responsabili qualora sia demandata loro l’esecuzione di specifiche attività di trattamento per conto del titolare. In tale ultima ipotesi, l’art. 28 del Regolamento prevede che il titolare autorizzi l’atto di incarico del sub responsabile anche in via generale (senza necessità di autorizzazione specifica da parte del titolare per ogni singolo sub responsabile).