La professione del consulente del lavoro comporta inevitabilmente il trattamento di grandi quantità di informazioni relative a persone fisiche; di più, spesso si tratta di dati idonei a rivelare aspetti intimi della persona fisica, e che dunque rivestono particolare tutela da parte del GDPR. Si tratta dei c.d. dati particolari ex art. 9 GDPR e dei dati relativi a condanne penali e a reati di cui all’art. 10 GDPR:
Art 9:
È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Art. 10
Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica.
Si pensi quindi, per fare un esempio pratico, al consulente che elabori la busta paga di un lavoratore diversamente abile: il consulente del lavoro dovrà trattare il dato sanitario in quanto necessario per predisporre la contabilità del dipendente anche con riferimento alla prestazione previdenziale dovuta per legge.
È quindi fondamentale che il consulente del lavoro sia in grado di individuare il proprio ruolo all’interno della normativa in materia di privacy per poter autodefinire le proprie responsabilità e gli adempimenti da compiere. La querelle è relativa in particolare alla posizione assunta dal consulente del lavoro nel momento in cui, per svolere il proprio incarico professionale, diventa destinatario di dati relativi ai dipendenti del proprio cliente.
Per questo motivo il Consiglio nazionale dei consulenti del lavoro ha richiesto chiarimenti al Garante sulla qualificazione come titolare del trattamento o di responsabile del trattamento del professionista.
Il Garante, pur premettendo che non è possibile definire in maniera preventiva ed assoluta la posizione del consulente del lavoro, dovendo necessariamente verificarsi il ruolo assunto nel singolo caso concreto, ha comunque fornito dei validi criteri per stabilire quando il consulente del lavoro operi in veste di titolare del trattamento e quando invece si ritrovi a trattare il dato come responsabile, basandosi sulle definizioni contenute al punto 7 dell’art. 4 per il titolare:
«Titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
e al punto successivo per il responsabile:
«Responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
Il discrimine tra le figure in parola è dunque rappresentato dal margine di autonomia nel definire modalità e finalità del trattamento.
Di conseguenza, il consulente del lavoro risulterà essere titolare del trattamento nel momento in cui processerà i dati dei propri clienti o dei propri collaboratori, detenendo in questo caso l’intero potere decisionale relativo al trattamento.
Si tratterà invece di responsabile del trattamento in tutti quei casi nei quali operi per conto di altro titolare e conformandosi alle indicazioni da questo fornite sulle modalità del trattamento dei dati personali; di regola dunque, il consulente del lavoro agirà come responsabile del trattamento qualora tratti i dati dei dipendenti dei propri clienti.
Ciò comporta in primo luogo che il consulente del lavoro dovrà avere cura di farsi nominare responsabile del trattamento dai propri clienti, ed in secondo luogo che andranno individuati correttamente anche i ruoli di eventuali collaboratori, interni o esterni,del consulente del lavoro per procedere alle relative nomine anche nei loro confronti.
Va comunque sottolineato che la qualificazione del consulente del lavoro come responsabile del trattamento non inficia in alcun modo l’autonomia ed indipendenza del professionista nello svolgimento dell’incarico professionale.
