Fatto
Il consiglio nazionale dei consulenti del lavoro si era rivolto al Garante per ottenere dei chiarimenti circa il ruolo del consulente del lavoro alla luce del nuovo regolamento europeo entrato in vigore nel maggio 2018. In particolare il consiglio nazionale dei consulenti aveva chiesto al Garante di fornire dei chiarimenti circa i compiti e responsabilità dei consulenti in materia di privacy nonché in riferimento alla qualifica di “titolare” e di “responsabile” del trattamento.
In ordine al predetto quesito il Garante al fine di poter rispondere in modo preciso ha ritenuto preliminare distinguere le attività del consulente del lavoro. Distinguendo quelle per le quali il professionista tratta dati dei propri dipendenti o dei propri clienti da quelle per le quali tratta i dati dei dipendenti del cliente.
In riferimento al primo caso, il Garante ha evidenziato che il consulente del lavoro ricopre il ruolo di titolare del trattamento, in quanto esercita un potere decisionale sulla determinazione delle finalità e dei mezzi del trattamento dei dati. Tale ruolo trova la sua base giuridica nel contratto stipulato tra il consulente del lavoro ed il suo dipendente o il cliente.
Nel secondo caso, invece, e cioè nelle attività per le quali il consulente del lavoro tratta dati dei dipendenti del proprio cliente, egli riveste il ruolo di responsabile del trattamento. In questo caso, infatti, il consulente del lavoro svolge attività delegate dal titolare, che fornisce specifiche istruzioni sui trattamenti da effettuare. La base normativa che legittima il trattamento dei dati personali, anche “particolari” riguardanti i dipendenti dei clienti è rinvenibile nel contratto esistente tra cliente e consulente del lavoro, che designa quest’ultimo come responsabile del trattamento.
Il Garante ha, dunque, escluso una con-titolarità del trattamento dei dati personali tra il cliente ed il consulente del lavoro.
Chiarito questo aspetto, il Garante ha precisato che nessuna modifica è stata introdotta dal nuovo Regolamento in riferimento ai ruoli di responsabile e titolare, ma che, viceversa, sono state introdotte novità sui compiti, che possono essere attribuiti dal titolare al responsabile. Il nuovo regolamento europeo ha, infatti, individuato espressamente l’ambito delle rispettive responsabilità e gli obblighi di cooperazione cui è tenuto il responsabile esclusivamente in funzione delle attività svolte per conto del titolare. Inoltre ha previsto la possibilità di attribuire specifiche funzioni e compiti a soggetti designati dal titolare o dal responsabile, assimilabili al ruolo di incaricati del trattamento.
Il Garante ha, poi, concluso la risposta al quesito proposto dal Consiglio nazionale dei consulenti del lavoro dando chiarimento rispetto alla gestione dell’archivio informatico tenuto dal consulente del lavoro. In merito a ciò il Garante ha dichiarato che l’individuazione e la predisposizione delle misure di sicurezza adeguate al rischio, è posta in carico anche al responsabile, il quale deve adottare le misure tecniche ed organizzative adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati (oppure anonimizzati) e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.
Volume consigliato
Scrivi un commento
Accedi per poter inserire un commento