Quali responsabilità ricadono sui consulenti del lavoro nel trattamento dei dati personali dei clienti , nel rispetto del nuovo regolamento europeo (GDPR)? Il Garante Privacy è intervenuto sull’argomento (con la nota 2205/130783 del 22 gennaio 2019), specificando che tali figure sono responsabili del trattamento quando trattano i dati dei dipendenti di clienti sulla base di un preciso incarico ricevuto da questi ultimi.
=> Sicurezza IT: PMI italiane ferme al GDPR
Più precisamente:
- i consulenti del lavoro sono titolari quando trattano i dati dei propri dipendenti, in piena autonomia e indipendenza, ma anche i dati dei clienti identificati come persone fisiche. In questo caso:
il Consulente del Lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività. Per tali ragioni egli ricopre il ruolo di titolare del trattamento, in quanto non si limita ad effettuare un’attività meramente esecutiva di trattamento ‘per conto’ del cliente, bensì esercita un potere decisionale del tutto autonomo sulle finalità e i mezzi del trattamento.
- Il ruolo di responsabili, invece, ricade sui consulenti quando il trattamento riguarda dati dei dipendenti dei loro clienti secondo quanto previsto dall’incarico, che deve contenere anche le istruzioni.
l’affidamento dell’incarico al consulente avverrà, anche in base alle norme di diritto applicabili, attraverso la sottoscrizione di un “contratto o altro atto giuridico” stipulato concordemente dalle parti tenendo conto dei compiti in concreto affidati, del contesto, delle finalità e modalità del trattamento, e non in base a modelli non aderenti alle circostanze del caso concreto o imposti unilateralmente.
=> Adeguamento al GDPR in 10 step
È sempre il Garante a fornire un esempio pratico.
Prendiamo il caso di uno studio che tratta una pluralità di dati personali dei lavoratori (compresi quelli sensibili) per conto di datori di lavoro: buste paga, pratiche di assunzione e fine rapporto, previdenziali e assistenziali. La legittimità del trattamento risiede sul contratto di affidamento dell’incarico, che prevede appunto la designazione a responsabile del trattamento da parte del cliente.
L’autorità per la privacy ha anche ribadito che i consulenti, quando responsabili del trattamento, possono contare su un margine di autonomia anche relativamente alla individuazione e predisposizione di specifiche misure di sicurezza, sia tecniche sia organizzative, sempre al fine di garantire la tutela dei dati personali trattati.