Consulenti del lavoro responsabili del trattamento dei dati trattati sotto delega del cliente: le nuove indicazioni del Garante Privacy sono state pubblicate il 7 febbraio 2019 e forniscono importanti chiarimenti sul ruolo dei professionisti nel rapporto con clienti e proprio personale dipendente.
Consulenti del lavoro responsabili o titolari del trattamento dati? È il Garante per la privacy a fornire importanti chiarimenti in merito, con la risposta pubblicata nella newsletter del 7 febbraio 2019.
In conformità con le norme stabilite dal GDPR, il nuovo regolamento UE in materia di privacy, i consulenti del lavoro assumono il ruolo di titolare quando si occupano del trattamento dati dei propri dipendenti o dei propri clienti mentre, se trattano i dati dei dipendenti della clientela diventano responsabili.
Ad esempio quindi si assume il ruolo di responsabile del trattamento dei dati se si elaborano le buste paga dei dipendenti del cliente dal quale sono stati incaricati, così come quando predispongono le pratiche relative ad assunzioni, licenziamenti o prestazioni previdenziali e assistenziali.
Informazioni per le quali è sempre necessario individuare e predisporre le misure idonee per garantire la sicurezza, sia tecnica che organizzativa, per la tutela dei dati personali trattati.
Privacy, consulenti del lavoro responsabili o titolari del trattamento dati
I chiarimenti forniti dall’Autorità Garante per la privacy affrontano nel dettaglio il ruolo del consulente del lavoro dopo la piena applicazione del GDPR, il Regolamento UE 679/2016 a seguito dei chiarimenti richiesti dal Consiglio Nazionale.
La risposta si sofferma nello specifico nell’individuare quando il consulente del lavoro è titolare e quando è invece responsabile del trattamento dei dati, fornendo innanzitutto le definizioni dei due ruoli:
- l’art. 4, n. 7 del Regolamento UE definisce titolare del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”;
- l’art. 4, n. 8 del Regolamento definisce responsabile del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
In base alle due definizioni sopra fornite è quindi necessario distinguere, nell’ambito delle attività svolte dai professionisti, due diversi casi, ovvero quando il consulente del lavoro tratta i dati dei propri dipendenti o clienti (persone fisiche) e quando invece agisce per conto della delega attribuita da terzi.
Nel casi in cui il consulente del lavoro sia autonomo e indipendente e quindi quando assume il ruolo di titolare del trattamento dei dati, le finalità e i mezzi del trattamento dati del cliente saranno determinati puntualmente e direttamente, esercitando un potere decisionale autonomo e non si limita ed esercitare un’attività meramente esecutiva.
Diverso il caso in cui agisce per conto del cliente e per l’elaborazione di dati di soggetti terzi.
Prima di analizzare la risposta fornita dal Garante, si allega di seguito il documento completo pubblicato il 7 febbraio 2019:
- Privacy e consulenti del lavoro - chiarimenti dell’Autorità Garante
- Quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016 - 22 gennaio 2019
Privacy, consulenti del lavoro responsabili del trattamento dati per buste paga e assunzioni
Soffermiamoci ora su quando il consulente del lavoro è responsabile del trattamento dati, secondo la definizione fornita dal GDPR.
Quando il consulente del lavoro opera per conto del proprio cliente, come nei casi in cui si occupa di elaborare le buste paga dei dipendenti, o di effettuare pratiche di assunzione o licenziamenti, il ruolo giusto è quello di responsabile, in quanto svolge attività delegate dal titolare del trattamento.
Il titolare, ovvero il cliente del consulente e il datore di lavoro del soggetto i cui dati sono trattati, è il soggetto che alla luce del concreto contesto nel quale avviene il trattamento, assume le decisioni di fondo relative a finalità e modalità di un trattamento lecitamente effettuato sulla base dei principi stabiliti dall’articolo 6 e 9 del Regolamento.
Il consulente dovrà, dal canto suo, utilizzare tutte le misure idonee per tutelare la privacy dei lavoratori, per via della pluralità di dati personali, anche sensibili, trattati, come dati identificativi, di carriera, dati sanitari e di adesione alle organizzazioni sindacali.
Collaboratori sotto l’autorità del consulente o subresponsabili
Il Garante per la privacy si sofferma anche sugli eventuali collaboratori del consulente.
Questi, in base alle concrete operazioni di trattamento affidate, potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite. Il responsabile può prevedere che “specifici compiti e funzioni connessi al trattamento siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.
I collaboratori potranno essere anche nominati come subresponsabili del trattamento dati, qualora ad essi sia demandata l’esecuzione di specifiche attività di trattamento per conto del titolare.
Tutte specifiche per le quali il Garante tuttavia concede un “apprezzabile margine di autonomia (e correlativa responsabilità) nella individuazione dei sistemi e delle misure idonee a garantire la sicurezza dei dati gestiti nei propri archivi”, pur ribadendo che i compiti specifici per l’individuazione e la predisposizione delle misure di sicurezza adeguate al rischio dovranno essere individuate dal responsabile, secondo quanto stabilito dal Regolamento.
Archivio informativo da cancellare o anonimizzare al termine del rapporto professionale
Il consulente del lavoro che assume il ruolo di responsabile del trattamento dati dovrà adottare le misure tecniche ed organizzative adeguate tenendo conto
“dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (v. art. 32, par. 1 del Regolamento).
Particolare attenzione bisognerà prestare poi al termine del rapporto professionale: i dati contenuti negli archivi dovranno essere cancellati, oppure anonimizzati) e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.
Articolo originale pubblicato su Informazione Fiscale qui: Privacy, consulenti del lavoro responsabili del trattamento dati per buste paga e assunzioni