Ai raggi X la circolare Cncl n. 1150 sul ruolo dei professionisti che affiancano l’azienda
Oneri amplificati per i titolari del trattamento dei dati
di Paolo Mazzolari Dario Fumagalli e Giorgio Salvo* *OneSeal Srl
Consulenti del lavoro «titolari» o, al più, «co-titolari» del trattamento dei dati personali a norma del regolamento Ue 2016/679 sulla privacy, congiuntamente ai loro assistiti. Questa la posizione del Consiglio nazionale dei Consulenti del lavoro, espressa con circolare n. 1150 del 23 luglio 2018 (si veda ItaliaOggi del 25 luglio 2018), sulla questione della titolarità, co-titolarità o responsabilità del trattamento dei dati nello svolgimento dell’attività professionale a favore dei clienti datori di lavoro. Una posizione che merita di essere esaminata più attentamente.
La circolare del Consiglio nazionale. Dopo aver esaminato la nozione e le attribuzioni delle diverse figure previste dal regolamento (Ue) 2016/679, ponendone in luce i profili di criticità connessi all’autonomia professionale del consulente del lavoro, nella citata circolare si sostiene, nelle conclusioni, che «la co-titolarità del trattamento» sia «ruolo fisiologico per il consulente del lavoro» e che discenda «dal mandato professionale assunto per la gestione dei rapporti di lavoro». Conseguentemente, il Consulente non sarebbe qualificabile come «responsabile del trattamento» dal momento che in tale circostanza vedrebbe «fortemente compressa» la propria autonomia operativa.
La finalità del trattamento dei dati. La nozione-chiave per distinguere il ruolo di titolare del trattamento da quello di responsabile è quella di «finalità del trattamento», che è sempre determinata dal titolare. Può accadere che un trattamento di dati possa essere giustificato da una finalità generale la quale ricomprenda più sotto-finalità che in concreto vengono determinate da chi ha le competenze e la professionalità in materia. Se anche la determinazione delle sotto-finalità comportasse l’assunzione del ruolo di titolare del trattamento ne conseguirebbe che ogni professionista (dall’avvocato, al commercialista, al consulente del lavoro) assumerebbe il ruolo di co-titolare del proprio cliente.
Ma, ad avviso di chi scrive, non è così. La nozione di finalità utile ai fini della determinazione del «titolare» ai fini del Gdpr è quella estesa, che comprende solo la finalità generale, ossia quella che ha dato il via al trattamento dei dati.
Ma c’è di più. Chi tratta dati per conto di un titolare può a sua volta assumere il ruolo di titolare (e non di responsabile), ma ciò a condizione che cambi la base giuridica sulla quale sta effettuando il trattamento e quindi la finalità.
E’ cioè possibile che nell’ambito di un unico rapporto giuridico su taluni aspetti il soggetto esterno sia titolare del trattamento e su altri sia responsabile.
Si prenda ad esempio il caso dell’avvocato. Se i dati dell’assistito vengono trattati ai fini di un parere stragiudiziale la base giuridica del trattamento effettuato dal cliente e dall’avvocato rimane la stessa e quindi l’avvocato assume il ruolo di responsabile del trattamento: la base giuridica risulta, sia per il cliente (titolare), sia per l’avvocato (responsabile) quella legata alla tutela del diritto che il cliente stesso vuole preservare. Se, al contrario, gli stessi dati vengono trattati in un aula di tribunale, la base giuridica cambia e quindi l’avvocato assume il ruolo di co-titolare del trattamento: in questo caso la base giuridica del cliente risulta ancora la tutela di un proprio diritto, mentre per l’avvocato consiste nell’obbligo legale di assistenza giudiziaria derivante dalla procura alle liti.
Nella fattispecie del consulente del lavoro, la legge istitutiva dell’Ordine professionale (legge n. 12/79) pone a fondamento del rapporto tra Consulente e cliente un’unica finalità. È il cliente datore di lavoro il soggetto al quale la legge conferisce, in via generale, l’obbligo di adempiere ad ogni onere in materia di amministrazione del personale, mentre risulta una facoltà, quella conferita dalla norma in esame, di delegare tali oneri a soggetti dotati di particolari qualifiche e competenze, al fine di assicurarsi una meticolosa conformità alle previsioni giuslavoristiche quando ciò non sia possibile da realizzare autonomamente.
La finalità del trattamento dei dati è, per così dire, circoscritta e allo stesso tempo individuata dalla norma istitutiva della professione e, sotto un altro profilo, dal cliente datore di lavoro il quale determina in piena autonomia decisionale, entro il solo limite della liceità, le proprie politiche di gestione del personale così come le funzioni da trasferire al consulente o da trattenere entro la propria organizzazione.
Sull’autonomia del responsabile del trattamento. In nessuna parte del Gdpr si esclude che il responsabile del trattamento possa godere di ampia autonomia nell’esercizio del proprio mandato.
L’art. 28, comma 3, del Gdpr specifica infatti che i trattamenti effettuati da un responsabile per conto di un titolare devono essere disciplinati da un incarico che garantisca genericamente un adeguato livello di sicurezza dei trattamenti dei dati e che preveda che il responsabile non esegua mai trattamenti al di fuori di quelli richiesti dal titolare.
Nulla pretende la norma, quindi, in merito alle scelte concrete in fatto di organizzazione, collaboratori e specifici mezzi, che restano sotto la responsabilità del professionista nominato responsabile.
Dunque il responsabile, in funzione dell’incarico ricevuto, è tutt’altro che una mera proiezione del titolare.
La centralità della nomina. Come detto, le istruzioni contenute nella nomina del responsabile del trattamento possono essere più o meno stringenti a seconda della volontà delle parti, con l’unico limite minimo costituito dalla garanzia, da parte del responsabile del trattamento, del ricorso ad adeguate misure tecniche e organizzative di sicurezza ai fini del rispetto del Gdpr. Anzi, considerando la ratio di tutta la normativa contenuta nel regolamento (Ue) 2016/679, sarebbe opportuno che le istruzioni riguardassero esclusivamente le garanzie necessarie alla protezione dei dati personali e non incidessero direttamente sulla sfera di autonomia professionale del Consulente del lavoro.
Sarà dunque onere e diritto del Consulente, di volta in volta, concentrare le proprie risorse nell’evidenziare come sia opportuno che i clienti-titolari utilizzino atti di nomina adeguati, in linea con la ratio della normativa vigente e non inutilmente lesivi dell’autonomia e delle scelte organizzative dei professionisti.
I rilevanti oneri gravanti in capo al titolare del trattamento. Se non è la qualifica di responsabile del trattamento in sé a limitare l’autonomia professionale del Consulente del lavoro, potrebbe essere proprio la qualifica di co-titolare a incidere gravosamente sulla quotidianità del professionista.
Infatti, essere investiti della titolarità del trattamento impone al consulente una dose ben maggiore di oneri e una vera e propria «legittimazione passiva» in fatto di responsabilità nella protezione dei dati trattati.
Basti pensare alle incombenze scaturenti da quanto previsto dall’art. 12 del regolamento, in merito alle informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato. Anche l’art. 15 dispone un simile onere, prevedendo che l’interessato abbia diritto di accesso ai propri dati personali trattati. Tradotto in linguaggio d’uso comune significa che il consulente-titolare potrebbe trovarsi investito di un carico notevole di adempimenti, tra i quali la consegna delle informative ai dipendenti dei propri clienti datori di lavoro o l’onere di rispondere alle richieste di esercizio dei diritti appena sintetizzati.
Fonte: