Labor consultants act as data processors, the Data Protection Authority states.

The labor consultants act as data controllers pursuant to par. 28 of Regulation (EU) 2016/679, and the processing of personal data carried out on behalf of its customers must therefore be regulated by a contract or other legal act: this is what emerges from the letter of the Italian Data Protection Authority sent to the National Council of labor consultants on January 22, 2019.

IL FATTO:

A seguito della posizione assunta dal Consiglio nazionale dei consulenti del lavoro con circolare 23 luglio 2018, n. 1150, nell’ambito della quale veniva riconosciuto in capo al consulente il ruolo di titolare nelle attività di trattamento di dati dei propri clienti e dei dipendenti di questi ultimi, si è rivelato necessario l’intervento del Garante per chiarire in maniera definitiva il rapporto tra i consulenti del lavoro ed i propri clienti in merito al trattamento dei dati personali dei dipendenti di questi ultimi nella cornice del Regolamento (UE) 2016/679 (il “Regolamento”).

Il Garante innanzitutto fa una netta distinzione tra il trattamento da parte dei consulenti del lavoro dei dati dei propri clienti (limitatamente, nello specifico, alle persone fisiche) o dipendenti ed il trattamento dei dati dei dipendenti del cliente: mentre nel primo caso il consulente ricopre effettivamente il ruolo di titolare, in quanto “agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività”, nel secondo esso non può che assumere il ruolo di responsabile del trattamento, come descritto dall’art. 4, c.1, n. 8) del Regolamento.

Secondo l’Autorità di controllo – che rigetta quindi l’orientamento assunto dal Consiglio – non è possibile riconoscere in capo al consulente del lavoro il ruolo di titolare del in quanto, pur richiedendo l’elaborazione e la predisposizione delle buste paga (attività tipica del consulente) professionalità particolarmente qualificate e l’iscrizione ad un albo professionale dedicato, trattasi di un trattamento effettuato “per conto” del cliente, sulla base delle scelte organizzative di questo e nell’ambito della sua totale autonomia ed indipendenza nel selezionare le finalità ed i mezzi del trattamento.

I dati personali dei dipendenti necessari per lo svolgimento dell’incarico del consulente, infatti, vengono raccolti e trattati dalle singole società in esecuzione al contratto di lavoro da queste concluso con il singolo dipendente, nonché in adempimento ad obblighi ad esse imposti dalla legge: il fatto che un segmento del trattamento relativo ai dipendenti venga poi esternalizzato in una logica di efficienza (o, perché no, semplice convenienza del titolare) certifica il fatto che il consulente, pur nell’adempimento dei propri doveri professionali e deontologici, si limita ad operare su incarico del proprio cliente e per conto di questo, con conseguente piena applicabilità alla fattispecie dell’art. 28 del Regolamento.

Il Garante sottolinea poi come tale interpretazione non risulti dissimile rispetto a quanto da esso stabilito, ancora sotto la vigenza della precedente normativa in materia di tutela dei dati personali, con riferimento a tutta una serie di soggetti esterni cui le aziende affidano attività connesse alla gestione dell’impresa, quali i soggetti che forniscano servizi di localizzazione geografica, di gestione e manutenzione della posta elettronica aziendale o di videosorveglianza e televigilanza.

PERCHÉ È IMPORTANTE:

La presente presa di posizione del Garante appare di particolare interesse in quanto aiuta a fare chiarezza nel quadro non sempre chiarissimo dei rapporti tra le aziende ed i propri fornitori di servizi e consulenti, fornendo criteri interpretativi aventi una valenza che trascende il caso di specie.

Ove un’impresa intenda affidare a terzi un particolare ambito della propria attività, dovrà dunque valutare con attenzione se esso preveda il trattamento di dati personali di titolarità della società (ad es. di clienti, dipendenti, fornitori, ecc.): in caso di risposta affermativa, è probabile che sia necessario procedere alla sottoscrizione di un apposito documento, ulteriore rispetto al contratto tra le Parti, che disciplini in concreto il trattamento di dati effettuato dal terzo per conto dell’azienda, tenendo in considerazione i compiti in concreto affidati e riportando tutti gli elementi previsti dall’art. 28 del Regolamento.

Per non perderti le novità e gli approfondimenti di Tonucci & Partners, iscriviti alle nostre newsletter

    I have read the Privacy Policy
    and i authorize the processing of my personal data

    No Comments
    Leave a Reply