In data 23 Luglio 2018, il Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro, con la “Circolare n. 1150 - Prot. 7738/U/CIRC”, ha preso posizione sul ruolo del Consulente del Lavoro e sull’organizzazione dello studio professionale di consulenza del lavoro in materia di adeguamento normativo privacy relativo alle nuove disposizioni del Regolamento Europeo Privacy UE/2016/679 (GDPR).

Secondo le conclusioni espresse dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro nella suddetta circolare privacy emerge che:

• “la co-titolarità del Trattamento è ruolo fisiologico per il Consulente del lavoro e discende dal mandato professionale assunto per la gestione dei rapporti di lavoro. In forza di tale ruolo il Consulente-titolare è autonomo nella gestione dei dati delle aziende assistite all'interno del proprio studio, restando escluso e deresponsabilizzato dalle eventuali violazioni della richiamata normativa da parte del proprio cliente nella gestione della propria organizzazione.”
• “il Responsabile del Trattamento è un preposto del Titolare, che deve adempiere alla normativa privacy su mandato e nell’interesse di quest’ultimo. È un ruolo facoltativo che il Consulente del lavoro può assumere previo nuovo e specifico incarico professionale. Comporta un significativo assoggettamento del Consulente alle direttive del cliente-Titolare e, soprattutto, implica la gestione per suo conto del trattamento dei dati personali all’interno della sua azienda”.

Tali affermazioni non sono pienamente condivisibili in quanto basate su un’interpretazione che presenta numerose imprecisioni giuridiche e errate deduzioni logiche e normative.

L’errore di fondo, è dato dalla forzata sovrapposizione del ruolo professionale previsto dalla Legge 11 Gennaio 1979, n. 12 con il ruolo privacy previsto dal Regolamento Europeo Privacy UE/2016/679 (GDPR).

Questi due profili se pur interdipendenti, sono giuridicamente distinti in quanto fanno riferimento ad aspetti diversi di una stessa attività.

Da una parte, vi è infatti, l’attività professionale, mentre dall’altra l’attività di trattamento di dati personali.

Un’attività non prevarica l’altra ed entrambe si devono armonizzare e coordinare nello svolgimento di un corretto e lecito incarico professionale.

I Possibili Ruoli Privacy del Consulente del Lavoro

Analizzando i possibili ruoli privacy, previsti dal Regolamento Privacy UE/2016/679 (GDPR), che il Consulente del Lavoro può ricoprire nell’espletamento di un incarico professionale troviamo:

• Titolare del Trattamento (art. 4.1.7 del GDPR)
• Contitolare del Trattamento (art. 26 del GDPR)
• Responsabile del Trattamento (art. 4.1.8 del GDPR)

In termini astratti e puramente teorici, il Consulente del Lavoro potenzialmente potrebbe ricoprire ciascuno di questi ruoli in base al tipo di incarico, alla modalità di svolgimento e agli accordi intercorsi con il cliente.

Tuttavia, ognuno di questi ruoli ha delle implicazioni giuridiche e comporta delle conseguenze tecniche, logistiche, organizzative e procedurali in termini di trattamento di dati personali, che non possono non essere considerate e che non devono essere superficialmente valutate.

Il primo ruolo che il Consulente del Lavoro può ricoprire è quello del Titolare del Trattamento, che il GDPR definisce come: “la persona fisica o giuridica […] che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4.1.7 del GDPR).

Il secondo ruolo, che il Consulente del Lavoro può ricoprire, è quello di Contitolare del Trattamento, la cui puntuale definizione non è presente nel GDPR, ma che può essere ricavata dalla definizione di Titolare del Trattamento e dalle disposizioni previste dall’art. 26 del GDPR per tale figura.

In sintesi, il Contitolare del Trattamento altri non è che un Titolare del Trattamento che insieme ad altri Titolari del Trattamento, determina le finalità e i mezzi del trattamento di dati personali.

Il terzo ruolo, che il Consulente del Lavoro può ricoprire, è quello del Responsabile del Trattamento, che il GDPR definisce come: “la persona fisica o giuridica […] che tratta dati personali per conto del titolare del trattamento” (art. 4.1.8 del GDPR).

Definiti i potenziali ruoli che il Consulente del Lavoro può assumere in ambito privacy, non rimane che declinare le possibili posizioni in base al rapporto giudico instaurato con l’interessato.

Il ruolo privacy del Consulente del Lavoro di Singolo Titolare del Trattamento

Il Consulente del Lavoro è singolo Titolare del Trattamento per tutti quei trattamenti per i quali in maniera univoca e individuale determina le finalità e i mezzi del trattamento. A titolo esemplificativo il Consulente del Lavoro sarà sicuramente singolo titolare del trattamento dei dati personali dei propri dipendenti e collaboratori. Per esempio quando l’incarico professionale ha ad oggetto l’assistenza e la rappresentanza in sede di contenzioso o la consulenza tecnica di parte.

Il ruolo privacy del Consulente del Lavoro di Responsabile del Trattamento

Nel caso dell’affidamento di un incarico professionale da parte di un Cliente, invece, si possono sovrapporre più posizione giuridiche e di conseguenza più ruoli privacy.

Per i dati personali conferiti da clienti persone fisiche per l’espletamento di un incarico professionale di carattere personale, individuale e non commerciale o istituzionale, il Consulente del Lavoro sarà singolo Titolare del Trattamento.

Per i dati personali conferiti da clienti persone fisiche, persone giuridiche, enti o associazioni per l’espletamento di un incarico professionale di carattere aziendale, commerciale o istituzionale, invece, si configura una situazione nella quale al Consulente del Lavoro viene esternalizzata un’attività, professionale e di trattamento (es: elaborazione cedolini paga), che potrebbe essere svolta direttamente dal cliente, ma che per espressa decisione di quest’ultimo viene delegata al Consulente del Lavoro.

In questo caso, essendo un’attività di outsourcing, al Consulente del Lavoro non spetta definire alcuna finalità del trattamento, in quanto è il Cliente che decide per che fini devono essere trattati i dati personali dei propri dipendenti e collaboratori.

Inoltre, è il Cliente, in qualità di Titolare del Trattamento dei dati personali dei propri dipendenti, che ha l’obbligo di definire i mezzi e le misure di sicurezza, che devono essere necessariamente adottate al fine di ridurre al minimo i rischi, che l’attività di trattamento in outsourcing può comportare.

Sulla base di questi presupposti, si evince chiaramente che il Consulente del Lavoro, in caso di attività svolte in outsourcing, non può che assumere il ruolo di Responsabile del Trattamento, in quanto non ha autonomia decisionale sulle finalità del trattamento, ma svolge l’attività in nome e per conto del Cliente, il quale ne risponde direttamente in termini di adempimenti giuridici e giuslavoristici nei confronti dei propri dipendenti e di terzi.

Tuttavia, questo non significa, che il Cliente possa dettare unilateralmente condizioni contrattuali, che prevedano mezzi e misure di sicurezza che il Consulente del Lavoro non può tecnicamente o economicamente adottare o garantire (es: utilizzo di specifici applicativi per l’elaborazione dei cedolini paga).

La nomina a Responsabile del Trattamento, infatti, è un atto giuridico di natura contrattuale con il quale il Cliente e il Consulente del Lavoro formalizzano le modalità di trattamento, i mezzi e le misure di sicurezza che devono essere adottati per l’espletamento dell’incarico professionale al fine di abbassare al minimo i rischi che incombono sui dati personali e adempiere correttamente agli obblighi previsti dal Regolamento Europeo Privacy. (es: crittografia dei dati e copie di sicurezza).

In verità, il reale problema, è che, nella maggior parte dei casi, questa attività di individuazione delle misure di sicurezza non viene mai fatta e che la nomina a Responsabile del Trattamento è un atto ritenuto secondario e di poca importanza, che talvolta non viene mai formalizzato o che tuttalpiù viene stipulato a posteriori una volta che l’incarico professionale è già stato accettato e l’attività di trattamento da tempo iniziata.

Il ruolo privacy del Consulente del Lavoro di Contitolare del Trattamento

Per le ragioni su menzionate, risulta, pertanto, remota la possibilità che nel caso di attività di outsourcing il Consulente del Lavoro, possa essere inquadrato come Contitolare del Trattamento.

Nonostante ciò, qualora si volesse in ogni caso percorrere questa strada, come indicato dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro nella suddetta Circolare Privacy, vi è da tenere in debito conto, che questa posizione giuridica comporta una serie di adempimenti e responsabilità onerosi e gravosi per il Consulente del Lavoro.

In primis, in termini di responsabilità, l’art. 82 comma 2 del GDPR, precisa che: “Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento […]” mentre “Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del […] regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.”

Inoltre, ai sensi dell’art. 82 comma 4 del GDPR: “Qualora più titolari del trattamento […] siano coinvolti nello stesso trattamento […] ogni titolare del trattamento […] è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato. “

Scegliendo, pertanto, la via della contitolarità si ottiene, dunque, proprio il risultato contrario a quello voluto e dichiarato nella Circolare Privacy dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro: anziché ottenere una deresponsabilizzazione si ha un aggravio delle responsabilità del Consulente del Lavoro, che agendo come Contitolare del trattamento ha l’aggravante di aver definito unitamente al Cliente le finalità e i mezzi per il trattamento e di rispondere in solido con il Cliente in caso di eventuali illeciti in materia di protezione dei dati personali.

Infine, nel caso in cui il Consulente del Lavoro decida di ricoprire il ruolo privacy di Contitolare del trattamento, gli interessati (ovvero tutti i dipendenti e collaboratori di tutti i Clienti che hanno affidato un incarico professionale al Consulente del Lavoro) ai sensi dell’art. 26 comma 3, potranno esercitare i diritti previsti dal GDPR (es: cancellazione, informazione, accesso, rettifica, integrazione, opposizione…) direttamente nei suoi confronti senza prima interpellare la propria azienda, con gravi problematiche di gestione operativa e di tutela del segreto professionale, che il Consulente del Lavoro ha nei confronti del cliente.

Conclusioni

Sulla base di quanto su ampiamente descritto, le conclusioni espresse dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro nella suddetta Circolare Privacy, non appaiono generalmente condivisibili in particolar modo per i seguenti motivi:

• la contitolarità del trattamento non è un ruolo fisiologico per il Consulente del Lavoro, ma una scelta condivisa e contrattualmente formalizzata tra professionista e cliente
• la contitolarità del trattamento non deresponsabilizza affatto il Consulente del Lavoro, ma al contrario ne aggrava le responsabilità e gli oneri
• la nomina a Responsabile del Trattamento relativa ad un incarico professionale che comporta un’attività di esternalizzazione non è facoltativa, ma un atto obbligatorio ai sensi dell’art. 28 del GDPR.

A luce di quanto evidenziato, si confida in una rettifica della posizione attualmente assunta dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro con la suddetta Circolare Privacy in termini di ruoli privacy e ci si auspica un’interpretazione giuridica e normativa, maggiormente attinente alle disposizioni del Regolamento Europeo Privacy in materia di protezione dei dati personali.

Dr. Eric Falzone – Privacy Advisor – Partner EUCS

©EUCS 2018 - Articoli Privacy EUCS