Garante privacy: Consulenti del lavoro – quando sono responsabili del trattamento dei dati
Il Garante per la protezione dei dati personali, nella newsletter n. 449 del 7 febbraio 2019, ha, tra le altre cose, precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, identificandoli come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.
Rispondendo ai quesiti sottoposti dal Consiglio Nazionale dei consulenti del lavoro e da numerosi professionisti, il Garante ha infatti chiarito che il Regolamento (UE) 679/2016 si pone in linea di continuità con quanto già prefigurato dalla Direttiva 95/46/CE. Il Regolamento conferma, infatti, le definizioni di titolare e responsabile del trattamento, nelle quali il primo resta il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo colui che “tratta dati personali per conto del titolare del trattamento”.
E dunque i consulenti del lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti determinando puntualmente le finalità e i mezzi del trattamento. Sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare. E’ il caso, ad esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.
Si tratta di informazioni raccolte e utilizzate dai datori di lavoro in base al contratto e a norme di legge e di regolamento (come quelle in materia di lavoro, previdenza e assistenza sociale), e che vengono gestite dai consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti. Ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente.
Il Garante ha chiarito infine che ai consulenti, pur in qualità di “responsabili” del trattamento, viene riconosciuto un apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.
Fonte: Garante per la protezione dei dati personali
Consiglio nazionale consulenti del lavoro
Viale del Caravaggio, 84
Roma
Oggetto: quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016 – 22 gennaio 2019
1. Con lettera del 24 settembre 2018 il Consiglio nazionale dei consulenti del lavoro ha sottoposto al Garante un quesito relativo al ruolo del consulente del lavoro alla luce del Regolamento (UE) 679/2016 (di seguito: Regolamento) con particolare riferimento alle qualificazioni di “titolare” e di “responsabile” del trattamento, dei relativi compiti e responsabilità.
Con successiva nota del 3 dicembre 2018 il Consiglio nazionale ha fornito all’Autorità (anche a seguito di un incontro tenutosi il 25 ottobre 2018) alcuni chiarimenti sulla proposta interpretazione delle diposizioni del Regolamento su richiamate, espressa anche nella circolare 23 luglio 2018, n. 1150 laddove, in particolare, si afferma che “il consulente del lavoro nelle attività di trattamento di dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di titolare del trattamento. E’ possibile ritenere configurabile, al più, una fattispecie di co-titolarità”.
Secondo quanto ulteriormente specificato nella nota del 3 dicembre, con la richiamata circolare il Consiglio nazionale ha inteso innanzitutto pronunciarsi circa la “effettiva sussistenza dell’obbligatorietà per il Consulente del lavoro, nell’ambito dello svolgimento delle proprie attribuzioni, di aderire” a “format predeterminati […] in maniera unilaterale”. Inoltre il Consiglio ha voluto ribadire la “piena autonomia di decisione […] nella scelta delle modalità e dei mezzi (anche tecnologici) ritenuti più opportuni, così come nella scelta dei collaboratori cui affidare il trattamento” da parte dei consulenti del lavoro.
Il Garante ha, inoltre, ricevuto numerosi quesiti da parte di professionisti in relazione alla citata circolare 23 luglio 2018, n. 1150.
2. In proposito si osserva preliminarmente che il Regolamento (UE) 679/2016, quanto alla individuazione dei ruoli di titolare (“controller”; ex art. 4, n. 7 e 24) e responsabile (“processor”; ex art. 4, n. 8 e 28) ed alla distribuzione della relativa responsabilità, si pone in linea di continuità con quanto già prefigurato nella Direttiva 95/46/CE (di seguito: Direttiva).
Infatti, non diversamente da quanto previsto dall’art. 2, lett. d) Direttiva(1), l’art. 4, n. 7 del Regolamento definisce “«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Quanto al responsabile, l’art. 4, n. 8 del Regolamento definisce “«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”(2).
Alla luce del quadro normativo sopra delineato, in via prioritaria occorre dunque distinguere il segmento di attività in cui il consulente del lavoro tratta i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista, attività fiscalmente e normativamente regolamentata, dalla diversa attività (tipica di questo ordine professionale) per la quale il medesimo soggetto tratta i dati dei dipendenti del cliente. Nel primo caso il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività. Per tali ragioni, egli ricopre il ruolo di titolare del trattamento (art. 4, par. 1, punto 7, del Regolamento), in quanto non si limita ad effettuare un’attività meramente esecutiva di trattamento, “per conto” del cliente, bensì esercita un potere decisionale del tutto autonomo sulle finalità e i mezzi del trattamento.
Nel secondo caso occorre fare riferimento alla figura del responsabile, che, anche in base alla nuova disciplina pienamente in vigore nel nostro ordinamento a far data dal 25 maggio 2018 rimane connotata dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse (in termini di conoscenze specialistiche, di affidabilità, di struttura posta a disposizione, v. considerando 81, Reg. cit.), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare(3). Il titolare pertanto è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, assume le decisioni di fondo relative a finalità e modalità di un trattamento lecitamente effettuato in base ad uno dei criteri di legittimazione individuati dall’ordinamento (v. artt. 6 e 9 del Regolamento).
L’articolo 28 del Regolamento (UE) 679/2016 ha semmai, rispetto alla disciplina previgente, precisato e delimitato i compiti che possono essere attribuiti dal titolare al responsabile, individuando espressamente l’ambito delle rispettive responsabilità e gli obblighi di cooperazione cui è tenuto il responsabile esclusivamente in funzione delle attività svolte per conto del titolare (v. artt. 30, 33, par. 2 e 82 del Regolamento).
Su un piano del tutto diverso rispetto alla figura del responsabile si pone, invece, colui che effettua senza apprezzabili margini di autonomia operazioni di trattamento sotto l’autorità del titolare o del responsabile (v. art. 29 del Regolamento).
La possibilità di attribuire specifiche funzioni e compiti a soggetti designati dal titolare o dal responsabile, assimilabili al ruolo di incaricati del trattamento, è ora previsto dall’art. 2-quaterdecies del Codice in materia di protezione dei dati personali, introdotto dal D.Lgs. 10 agosto 2018, n. 101 (v. art. 2, Modifiche alla parte I, titolo I, del decreto legislativo 30 giugno 2003, n. 196).
3. L’Autorità, vigente la precedente disciplina, si è espressa sulla qualificazione in termini di titolare o responsabile di alcune figure che effettuano trattamenti di dati personali, anche nell’ambito del rapporto di lavoro, all’esito dell’esame ˗ effettuato sul piano sostanziale e non formale ˗ delle attività in concreto svolte(4). Più specificamente, a titolo esemplificativo, il Garante ha ritenuto che rivesta, di regola, il ruolo di responsabile la società capogruppo delegata da società controllate e collegate a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori(5), il soggetto che fornisce servizi di localizzazione geografica(6), i servizi di posta elettronica(7), i servizi di televigilanza(8). In definitiva, secondo il costante orientamento espresso dall’Autorità, le attività di trattamento svolte da soggetti esterni per conto del titolare, il quale può decidere di affidare all’esterno lo svolgimento di compiti strettamente connessi all’esecuzione di obblighi previsti dalla normativa lavoristica e/o dal contratto di lavoro, devono, di regola, essere inquadrate nello schema titolare/responsabile del trattamento.
4. In termini generali si osserva che determinate attività che attengono all’ordinaria gestione degli obblighi derivanti dalla disciplina di settore e/o dal contratto applicabile (individuale o collettivo) sono ormai diffusamente affidate dal datore di lavoro a soggetti esterni ˗ sia nel settore privato che in quello pubblico ˗ nell’ambito di processi di progressiva esternalizzazione di alcuni segmenti dell’attività di impresa. Si pensi alla elaborazione e predisposizione delle buste paga, alla gestione dei trattamenti relativi all’assunzione e a quelli di fine rapporto, alla gestione degli adempimenti previsti dalla disciplina previdenziale ed assistenziale.
L’effettuazione di tali attività, soprattutto in organizzazioni complesse, comporta l’utilizzo di professionalità esterne particolarmente qualificate e comporta il flusso di una pluralità di dati personali anche sensibili relativi ai lavoratori quali: dati identificativi, dati relativi a qualifica e carriera, dati sanitari, dati relativi all’adesione a organizzazioni sindacali. Inoltre il datore di lavoro fornirà i criteri in base ai quali attribuire progressioni economiche e giuridiche, nonché fornire informazioni per l’erogazione di somme “una tantum”, premi di produttività e/o di presenza, o per la decurtazione di somme a seguito di provvedimenti disciplinari, oppure per il compimento degli atti relativi alla instaurazione o interruzione del rapporto, etc.
Si tratta, con tutta evidenza, di informazioni raccolte e ulteriormente trattate dal datore di lavoro in base al contratto e alle norme di legge e di regolamento applicabili. Tali infatti sono le basi giuridiche idonee a legittimare trattamenti di dati personali nell’ambito del rapporto di lavoro, come ora specificato anche dal Regolamento (UE) 679/2016 (v. artt. 6, 9, par. 2, lett. b) e 88).
Il soggetto che svolge le attività esternalizzate su indicate, pertanto, tratta di regola le informazioni relative ai lavoratori utilizzando i dati raccolti dal datore di lavoro nel perseguimento di finalità legittime nonché in base ai criteri e alle direttive da questo impartite relativamente alla gestione del rapporto di lavoro sottostante(9).
5. Pertanto, all’interno di tale schema ricostruttivo che, si ribadisce, ricalca il modello già configurato in precedenza senza alcun mutamento apprezzabile di ruoli e responsabilità, si collocano anche – a parere di questo Dipartimento – le prestazioni ordinariamente svolte dal consulente del lavoro il quale, in base alla propria specifica preparazione certificata dall’iscrizione all’Albo dei consulenti del lavoro, può assumere “gli adempimenti in materia di lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, quando non sono curati dal datore di lavoro, direttamente od a mezzo di propri dipendenti” (v. art. 1, legge 11.1.1979, n. 12, Norme per l’ordinamento della professione di consulente del lavoro). Infatti in base alla disciplina di riferimento è pur sempre il datore di lavoro ad affidare al consulente il relativo incarico (conferendo anche materialmente, se del caso, la relativa documentazione: v. art. 5, legge n. 12/1979 cit.), e peraltro ciò non lo esime ˗ per espresso volere del legislatore ed anche a garanzia del consulente ˗ dalla assunzione della responsabilità prevista dall’ordinamento in caso di violazione degli obblighi posti in materia di lavoro, previdenza ed assistenza sociale (v. art. 7, legge n. 12/1979 cit.). D’altra parte il consulente, nello svolgimento della propria qualificata attività professionale, opererà applicando le discipline di settore e le regole deontologiche pertinenti.
L’affidamento dell’incarico al consulente avverrà, anche in base alle norme di diritto comune applicabili, attraverso la sottoscrizione di un “contratto o altro atto giuridico” stipulato concordemente dalle parti tenendo conto dei compiti in concreto affidati, del contesto, delle finalità e modalità del trattamento, e non in base a modelli non aderenti alle circostanze del caso concreto o imposti unilateralmente.
Qualora il consulente si avvalga normalmente di collaboratori di propria fiducia (come rappresentato dal Consiglio dell’Ordine nella nota del 3.12.2018) questi, in base alle concrete operazioni di trattamento affidate, potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento. Più specificamente, in base all’art. 2-quaterdecies del Codice il responsabile può prevedere che “specifici compiti e funzioni connessi al trattamento siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità” Oppure, diversamente, i collaboratori potranno assumere in concreto il ruolo di subresponsabili, qualora sia demandata “l’esecuzione di specifiche attività di trattamento per conto del titolare” (v. art. 28, par. 4 del Regolamento). In tale ipotesi, anche al fine di impedire l’elusione della norma che prevede che il titolare debba ricorrere a soggetti che forniscano specifiche garanzie di affidabilità, competenza e organizzazione, il paragrafo 2 dell’art. 28 prevede che il relativo atto di incarico debba essere autorizzato, anche in via generale (dunque non necessariamente specifica) dal titolare.
Il regolamento ha inoltre attribuito direttamente al responsabile del trattamento compiti specifici in ordine alla individuazione e predisposizione delle idonee misure di sicurezza adeguate al rischio, attraverso misure tecniche ed organizzative (v. art. 32 del Regolamento). Al consulente che operi in qualità di responsabile del trattamento è dunque attribuito un apprezzabile margine di autonomia (e correlativa responsabilità) nella individuazione dei sistemi e delle misure idonee a garantire la sicurezza dei dati gestiti nei propri archivi.
In tale quadro, pertanto, la legge che disciplina l’ordinamento della professione di consulente del lavoro (l. 11.1.1979, n. 12) si incarica di chiarire che gli adempimenti in materia di lavoro, previdenza ed assistenza sociale che il datore di lavoro può affidare all’esterno, data la loro delicatezza, possono essere assunti esclusivamente da soggetti qualificati che siano iscritti nell’albo dei consulenti del lavoro “nonché da coloro che siano iscritti negli albi degli avvocati […], dei dottori commercialisti, dei ragionieri e periti commerciali” (v. legge n. 12/1979 cit.). Il provvedimento inoltre ha ad oggetto l’individuazione dei requisiti per lo svolgimento della professione di consulente del lavoro. Non pare pertanto condivisibile la (diversa) interpretazione volta ad attribuire il potere di attribuire ex lege “la competenza a provvedere agli adempimenti” in materia lavoristica(10) alle categorie di professionisti (peraltro assai ampia) su indicata.
Va considerato che, nell’ipotesi riguardante il trattamento dei dati relativi ai propri clienti da parte del consulente del lavoro (i.e. i dati del datore di lavoro che gli trasmette i dati dei suoi dipendenti), la base giuridica che facoltizza il trattamento in capo al soggetto in questione – che in tale caso rivestirà il ruolo di titolare del trattamento – è rinvenibile nell’esecuzione del contratto (art. 6, par. 1, lett. b, del Regolamento).
Diversamente, qualora il consulente del lavoro agisca in veste di responsabile del trattamento, la base normativa che legittima il trattamento dei dati personali, anche “sensibili” riguardanti i clienti del datore di lavoro va individuata in capo al suo cliente (ovverosia il datore di lavoro/titolare) ai sensi dell’art. 9, par. 2, lett. b), del Regolamento: infatti, la legittimità del trattamento si “trasferisce” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento.
Né, per le medesime ragioni, è pertanto configurabile in termini generali il prospettato rapporto di contitolarità tra datore di lavoro e consulente del lavoro(11).
Per quanto riguarda, infine, la gestione dell’archivio informatico tenuto dal consulente del lavoro si osserva che l’individuazione e la predisposizione delle misure di sicurezza adeguate al rischio, come già evidenziato, è posta in carico dal Regolamento anche al responsabile, il quale adotterà le misure tecniche ed organizzative adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (v. art. 32, par. 1 del Regolamento).
Al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati (oppure anonimizzati) e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.
Il dirigente
________________________
(1) In base al quale il titolare è “la persona fisica o giuridica, l’autorità pubblica , il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali”.
(2) Analogamente l’art. 2, lett. e) della Direttiva definiva la figura del responsabile quale “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento”.
(3) Si veda in proposito quanto indicato dal Gruppo di lavoro ex art. 29 nel Parere 1/2010 sui concetti di «titolare del trattamento» e «responsabile del trattamento» (WP 169). In particolare, relativamente alla nozione di responsabile (processor), si precisa che la sua esistenza “dipende da una decisione presa dal [titolare] del trattamento. Quest’ultimo può decidere di trattare i dati all’interno della propria organizzazione o di delegare tutte o una parte delle attività di trattamento a un’organizzazione esterna. […] Questa attività di trattamento può essere limitata a un compito o a un contesto molto specifico, oppure può lasciar spazio a un certo margine di discrezionalità […]” (v. p. 34).
(4) Si vedano in particolare: Linee-guida per il trattamento di dati dei dipendenti privati, Provvedimento 23 novembre 2006, doc web n. 1364099 (punto 3); Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, Provvedimento 14 giugno 2007, doc. web n. 1417809 (punto 3.1.).
(5) V. Linee-guida per il trattamento di dati dei dipendenti privati, cit., par. 3.2., dove, a proposito della necessaria designazione della capogruppo “quale responsabile del trattamento ai sensi dell’art. 29 del Codice” si precisa che ciò “già accade per i soggetti indicati […] all’art. 1 della legge n. 12/1979” (v. nota 7).
(6) Si vedano: Provvedimento di carattere generale in materia di localizzazione dei veicoli nell’ambito del rapporto di lavoro, 4 ottobre 2011, n. 370, doc. web n. 1850581 (punto 5.2.); Provvedimento 28 giugno 2018, n. 396, doc. web n. 9023246; Provvedimento 19 luglio 2018, n. 427 doc. web n. 9039945.
(7) Provvedimento 22 dicembre 2016, n. 547, doc. web n. 5958296, punto 3.4.
(8) Provvedimento 4 dicembre 2014, n. 559, doc. web n. 3671057.
(9) In tal senso si vedano anche le recenti FAQ predisposte dalla Commissione europea, “Cosa sono il titolare del trattamento e il responsabile del trattamento?” [in https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_it], dove la “società addetta all’elaborazione delle buste paga per pagare gli stipendi” è qualificata responsabile del trattamento.
(10) V. Consiglio nazionale dell’ordine, circolare 23 luglio 2018, n. 1150 cit..
(11) Si vedano i diversi casi in cui il Garante ha ritenuto configurabile la contitolarità del trattamento: Provvedimento 23.4.2015, doc web n. 3966213; Provvedimento 23.1.2014 doc web n. 2938921; Provvedimento 21.1.2013, doc. web n. 2311886; Provvedimento 18.4.2013 doc web. n. 2691090; Provvedimento 21.2.2013, doc web n. 2483215; Provvedimento 13.9.2012, doc. web n. 1927456; Provvedimenti 26.6.2014, doc. web n. 3710963 e 3716153.