Articoli

Consulenti del lavoro: il Garante Privacy chiarisce “sono responsabili del trattamento”

Avv. Vincenzo Colarocco

Con l’entrata in vigore del Regolamento europeo n. 679/2016, anche noto come GDPR, i titolari del trattamento hanno iniziato ad interrogarsi sul ruolo da attribuire ai soggetti terzi che avrebbero dovuto compiere operazioni del trattamento per loro conto e, dunque, per le loro finalità, come per esempio i fornitori di servizi o i consulenti esterni. Tra questi, una figura molto dibattuta è stata quella del consulente del lavoro che nell’esercizio della propria prestazione professionale inevitabilmente tratta i dati personali dei dipendenti e collaboratori del titolare del trattamento. Il consulente tratterebbe i dati per la finalità – di gestione del rapporto lavorativo – definita dal titolare ma al tempo stesso manterrebbe una sostanziale autonomia, trattandosi di figura professionale dotata di competenze sue proprie. Con lettera del 24 settembre 2018 il Consiglio nazionale dei consulenti del lavoro ha sottoposto al Garante un quesito avente ad oggetto proprio il ruolo del consulente del lavoro alla luce del GDPR. Il Garante ha risposto al quesito sottopostogli in data 22 gennaio 2019 chiarendo come occorra distinguere il segmento di attività del consulente, se questi tratti i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista. Nel primo caso, afferma il Garante, il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività e dovrà, quindi, ricoprire il ruolo di titolare del trattamento. Nel secondo caso, invece, occorre fare riferimento alla figura del responsabile, dal momento che il consulente tratterà i dati per finalità definite da altro soggetto, appunto, il titolare. Qualora, poi, il consulente si avvalga normalmente di collaboratori di propria fiducia, questi potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento e dell’art. 2 quaterdecies del Codice della Privacy. Il Garante ha escluso a priori, invece, la sussistenza di un rapporto di contitolarità tra il datore di lavoro ed il consulente in questione. Ritenuto responsabile del trattamento, il consulente dovrà essere nominato con apposito atto o contratto ai sensi dell’art. 28 del GDPR ed al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.

Il garante vieta di rendere pubbliche le valutazioni e le contestazioni disciplinari al dipendente

Avv. Vincenzo Colarocco

È illecita l’affissione in bacheca di dati personali relativi alle valutazioni e alle contestazioni disciplinari dei soci lavoratori. Questo è quanto afferma il Garante con il provvedimento n. 500 del 13 dicembre 2018. In particolare, una società toscana aveva messo in atto una sorta di “concorso a premi” obbligatorio per i lavoratori e, settimanalmente, pubblicava sulla bacheca aziendale le valutazioni sull’attività dei propri lavoratori attraverso un cartello nel quale i volti dei dipendenti erano associati a emoticon che rappresentavano, in forma sintetica, i giudizi, positivi o negativi, espressi sul socio, corredati, se del caso, dalle contestazioni disciplinari. La valutazione negativa comportava una decurtazione dallo stipendio.

Il Garante, sul punto, ritiene che sia conforme a normativa che il datore di lavoro tratti i dati necessari a compiere la valutazione sul corretto adempimento della prestazione lavorativa del proprio dipendente, cui eventualmente consegue l’esercizio del potere disciplinare nei modi e nei limiti previsti dalla disciplina di settore. Tuttavia, la sistematica messa a disposizione delle medesime informazioni mediante affissione su una bacheca all’interno dei locali della società, pubblicamente, in modo da rendere edotti tutti gli altri dipendenti ed eventuali terzi visitatori, non appare lecita, in quanto, tali soggetti, non sono legittimati a conoscere i dati personali riguardanti valutazioni e rilievi disciplinari.

I trattamenti effettuati si pongono, dunque, in contrasto con il Regolamento (UE) 2016/679 e sono da ritenersi illeciti perché non rispondenti al principio di liceità, correttezza e trasparenza, nonché a quello della minimizzazione dei dati. Le informazioni concernenti valutazioni e contestazioni disciplinari sono particolarmente delicate poiché incidono sulla dignità professionale del dipendente.

Del resto, il fatto che i soci lavoratori avessero prestato il proprio consenso a partecipare al concorso non pare essere dirimente: tale manifestazione di volontà non può costituire la base giuridica idonea a legittimare il trattamento di dati personali. La ragione è data da un lato, dalla sussistenza di un’asimmetria tra le rispettive parti del rapporto di lavoro, cui consegue la necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso; dall’altro, il consenso prestato dai soci potrebbe unicamente riguardare l’autorizzazione a detrarre dalla busta paga eventuali decurtazioni derivanti da valutazioni negative.