Il Garante Privacy definisce il ruolo del consulente del lavoro dopo la piena applicazione del GDPR
Lo scorso 24 settembre 2018, il Consiglio Nazionale dei consulenti del lavoro ha sottoposto al Garante un quesito relativo al ruolo del consulente del lavoro alla luce del Regolamento Europeo 2016/679, con particolare riferimento alle qualificazioni di “Titolare” e di “Responsabile” del trattamento dei dati personali.
Il Garante Privacy, con nota del 22 gennaio 2019, ha risposto al quesito posto sia dal Consiglio Nazionale che da numerosi consulenti del lavoro, precisando il loro ruolo e le responsabilità nel trattamento dei dati personali della clientela e identificandoli come Responsabili per le attività di trattamento dei dati dei dipendenti dei propri clienti, mentre restano Titolari solo per il trattamento dei dati personali dei propri dipendenti.
Partendo dalle definizioni dettate dal GDPR, il Titolare è il soggetto che determina le finalità e i mezzi del trattamento di dati personali, mentre il Responsabile è colui che tratta dati personali per conto del Titolare del trattamento.
Infatti, il datore di lavoro è il Titolare dei dati personali dei propri dipendenti che, per determinate finalità (quali ad esempio la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali) raccolgono le informazioni in base al contratto stipulato con il lavoratore e che vengono gestite dai consulenti cui sono esternalizzati i servizi.
D’altro canto, i consulenti del lavoro, per lo svolgimento dell’incarico assunto, devono attenersi non solo alle direttive impartite dal Titolare del trattamento bensì alle discipline di settore e delle regole deontologiche pertinenti.
Il Garante Privacy ha, tuttavia, chiarito che seppur nominati Responsabili, ai consulenti del lavoro è riconosciuto un “apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati”.
Sin dall’applicazione del GDPR, Frareg s.r.l. ha adottato la medesima linea di interpretazione – ora dettata e confermata dal Garante Privacy – circa il ruolo dei consulenti del lavoro nell’ambito del trattamento dei dati personali, in virtù delle chiare definizioni dettate dalla normativa europea, qualificando i suddetti professionisti come Responsabili del trattamento esclusivamente per le finalità indicate nell’incarico ricevuto dai datori di lavoro.