Nella (per ora) breve storia del GDPR in Italia, ai consulenti del lavoro è toccato il destino di essere oggetto di un dibattito piuttosto acceso in merito al loro ruolo nell’ambito delle figure definite dal Regolamento Europeo 679/2016.
Fin dagli esordi, nel maggio 2018, si sono avvicendate svariate opinioni, con prese di posizione anche contrastanti tra loro, alcune delle quali – va detto – degne di nota per la loro originalità ma non particolarmente lineari né cristalline nell’interpretazione della norma di cui all’art. 28 GDPR.
Già nel luglio del 2018 ne davo atto in questo Blog, in un articolo (“Titolare, responsabile o contitolare?“) nel quale esprimevo forti perplessità, sia teoriche sia pratiche,in merito al fatto che si potesse considerare i consulenti del lavoro come contitolari del trattamento.
Senonché, il 23 luglio 2018 il Consiglio Nazionale dell’Ordine dei consulenti del lavoro smentiva le mie conclusioni con la circolare n.1150, con la quale si sosteneva che “la co-titolarità del Trattamento è ruolo fisiologico per il Consulente del lavoro e discende dal mandato professionale assunto per la gestione dei rapporti di lavoro. In forza di tale ruolo il Consulente-titolare è autonomo nella gestione dei dati delle aziende assistite all’interno del proprio studio, restando escluso e deresponsabilizzato dalle eventuali violazioni della richiamata normativa da parte del proprio cliente nella gestione della propria organizzazione”.
La presa di posizione del Consiglio Nazionale dei consulenti del lavoro ha risvegliato il dibattito; all’epoca, ho personalmente condiviso la presa di posizione di Cesare Gallotti: “mi ricorda il dibattito sulla natura della luce (ossia incomprensibile, se non che la soluzione è impossibile nei termini posti)” .
Più tecnico, ma altrettanto condivisibile è stato anche il commento di Davide Foresti: “La recente circolare n. 1150 del Consiglio Nazionale dell’Ordine dei Consulenti del lavoro mi pare si basi su un completo travisamento del concetto stesso di Responsabile, che appare quasi intenzionale da come vengono citati ad hoc parti della normativa. Una interpretazione che nasce forse per il comprensibile scopo di tutelare la categoria, ma che finisce col risultare troppo influenzata dal grande timore che i consulenti sembrano avere delle ‘attività di revisione e ispezioni’ ex art. 28 del GDPR”.
Per mesi si è rimasti in questa situazione di (virtuale) stallo, ma, finalmente, con la newsletter del 7 febbraio 2019, il nostro Garante ci ha chiarito che i consulenti del lavoro sono veri e propri responsabili del trattamento quando trattano i dati dei dipendenti dei clienti in base all’incarico ricevuto da questi ultimi.
Querelle finita? Speriamo di si!
Rispondendo proprio alle domande di quel Consiglio Nazionale che aveva preso posizione a favore della contitolarità dei propri iscritti, il nostro Garante ha precisato che il GDPR si pone in linea di continuità con la Direttiva 95/46/CE e conferma le definizioni di titolare e responsabile del trattamento, nelle quali il primo resta il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo colui che “tratta dati personali per conto del titolare del trattamento”.
Pertanto, conclude, il Garante, i consulenti del lavoro:
– sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche (ad esempio, liberi professionisti), determinando puntualmente le finalità e i mezzi del trattamento;
– sono “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare (ad esempio, curando per conto di datori di lavoro, la predisposizione delle buste paga, le pratiche di assunzione, i conteggi di fine rapporto o quelli previdenziali e assistenziali, trattando una pluralità di dati personali, anche particolari, dei lavoratori).
Ci sono voluti quasi 9 mesi e si è dovuto addirittura scomodare la massima autorità del Paese in materia di protezione dei dati per scoprire che l’acqua è bagnata.
Speriamo che ora il nostro Garante possa dedicare il suo tempo a incombenze più qualificate e qualificanti.
Buon giorno Avvocato.Mi chiedo se lo stesso ragionamento si può fare per l’avvocato che segue una causa tra DL e lavoratore. L’avvocato è titolare dei dati che riguardano il DL e responsabile (nominato dal DL) per i dati del lavoratore che il DL gli passa per la gestire la causa? Complimenti per il blog. Massimo Aquilini