Dal punto di vista della materia della riservatezza, per molto tempo il ruolo del Consulente del lavoro non è mai stato limpido. La dottrina si è infatti più volte divisa interpretando in via restrittiva o estensiva il dettato normativo ed in particolare la definizione di Titolare del trattamento, cioè colui che “determina le finalità e i mezzi del trattamento”.
In altre parole, si è sempre riscontrata una certa difficoltà ed incertezza nello stabilire il ruolo di tale figura professionale, a volte considerata Titolare, a volte Responsabile del trattamento, spesso confondendo il piano dell’autonomia organizzativa e professionale con quello delle finalità e mezzi del trattamento.
Sul punto è intervenuto definitivamente il Garante della Privacy con il provvedimento dd. 22 gennaio 2019, il quale ha stabilito che…dipende!
Il Garante muove infatti dal presupposto che la risposta non può essere univoca, in quanto occorre tener ben distinte due situazioni diverse, cioè bisogna “distinguere il segmento di attività in cui il consulente del lavoro tratta i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista, attività fiscalmente e normativamente regolamentata, dalla diversa attività (tipica di questo ordine professionale) per la quale il medesimo soggetto tratta i dati dei dipendenti del cliente.”
Nel primo caso il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività. Per tali ragioni, egli ricopre il ruolo di titolare del trattamento (art. 4, par. 1, punto 7, del Regolamento), in quanto non si limita ad effettuare un’attività meramente esecutiva di trattamento, “per conto” del cliente, bensì esercita un potere decisionale del tutto autonomo sulle finalità e i mezzi del trattamento.
Nel secondo caso occorre fare riferimento alla figura del responsabile, che, anche in base alla nuova disciplina pienamente in vigore nel nostro ordinamento a far data dal 25 maggio 2018 rimane connotata dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse (in termini di conoscenze specialistiche, di affidabilità, di struttura posta a disposizione, v. considerando 81, Reg. cit.), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare. Il titolare pertanto è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, assume le decisioni di fondo relative a finalità e modalità di un trattamento lecitamente effettuato in base ad uno dei criteri di legittimazione individuati dall’ordinamento (v. artt. 6 e 9 del Regolamento).”
Di conseguenza è corretto affermare che il ruolo del Consulente del lavoro varia a seconda dei dati trattati:
1) se tratta i dati dei propri dipendenti è Titolare del trattamento;
2) se invece tratta i dati dei dipendenti dei propri clienti allora è Responsabile e quindi dovrà essere nominato tale dal suo cliente, il quale rivestirà il ruolo di Titolare.
Tutto ciò ovviamente propaga i suoi effetti in tema di adempimenti rilevanti ai fini privacy (es. chi è obbligato a rilasciare l’informativa all’interessato?) ma anche nei confronti della software house di cui il consulente si avvale, la quale quindi, nelle casistiche di cui sopra, può rivestire un duplice ruolo: o responsabile del trattamento ex art. 1. I par. GDPR, oppure subresponsabile ai sensi dell’art. 28, IV par. GDPR.
Roberto De Bellis – Centro Studi CGN