Consulenti del lavoro: il Garante Privacy chiarisce “sono responsabili del trattamento”

Avv. Vincenzo Colarocco

Con l’entrata in vigore del Regolamento europeo n. 679/2016, anche noto come GDPR, i titolari del trattamento hanno iniziato ad interrogarsi sul ruolo da attribuire ai soggetti terzi che avrebbero dovuto compiere operazioni del trattamento per loro conto e, dunque, per le loro finalità, come per esempio i fornitori di servizi o i consulenti esterni. Tra questi, una figura molto dibattuta è stata quella del consulente del lavoro che nell’esercizio della propria prestazione professionale inevitabilmente tratta i dati personali dei dipendenti e collaboratori del titolare del trattamento. Il consulente tratterebbe i dati per la finalità – di gestione del rapporto lavorativo – definita dal titolare ma al tempo stesso manterrebbe una sostanziale autonomia, trattandosi di figura professionale dotata di competenze sue proprie. Con lettera del 24 settembre 2018 il Consiglio nazionale dei consulenti del lavoro ha sottoposto al Garante un quesito avente ad oggetto proprio il ruolo del consulente del lavoro alla luce del GDPR. Il Garante ha risposto al quesito sottopostogli in data 22 gennaio 2019 chiarendo come occorra distinguere il segmento di attività del consulente, se questi tratti i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista. Nel primo caso, afferma il Garante, il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività e dovrà, quindi, ricoprire il ruolo di titolare del trattamento. Nel secondo caso, invece, occorre fare riferimento alla figura del responsabile, dal momento che il consulente tratterà i dati per finalità definite da altro soggetto, appunto, il titolare. Qualora, poi, il consulente si avvalga normalmente di collaboratori di propria fiducia, questi potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento e dell’art. 2 quaterdecies del Codice della Privacy. Il Garante ha escluso a priori, invece, la sussistenza di un rapporto di contitolarità tra il datore di lavoro ed il consulente in questione. Ritenuto responsabile del trattamento, il consulente dovrà essere nominato con apposito atto o contratto ai sensi dell’art. 28 del GDPR ed al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.