Trattamento
dei dati personali
dei propri clienti e dei dipendenti
di questi ultimi – Chiarimenti
del Garante della privacy
Sul punto, è intervenuto il Garante per la protezione dei dati personali, che, nel parere 22.1.2019, ha illustrato il quadro normativo in materia precisando il ruolo, in particolare, del consulente del lavoro. Secondo il Garante, per il consulente del lavoro si configura la qualifica di:
Tali considerazioni, però, possono valere, in linea più generale, anche rispetto agli altri professionisti, quali commercialisti e avvocati per i rispettivi ambiti e adempimenti, che si trovino a trattare i medesimi dati nell’ambito di processi di progressiva esternalizzazione da parte del titolare del trattamento.
2 Ambito soggettivo nel trattamento dei dati
Il regolamento UE 27.4.2016 n. 679 (GDPR – General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che ha abrogato la direttiva CE 24.10.95 n. 46, e il codice della privacy (di cui al DLgs. 196/2003), così come modificato dal DLgs. 101/2018, hanno previsto i seguenti soggetti coinvolti nel trattamento dei dati personali:
| Regolamento UE 27.4.2016 n. 679 – Soggetti coinvolti nel trattamento dei dati | ||
| art. 4 |
Interessato (n. 1) | La definizione di “interessato” viene collegata dal regolamento a quella di “dato personale”, inteso come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”. A tal fine, si considera “identificabile” la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad uno dei seguenti elementi: |
| Regolamento UE 27.4.2016 n. 679 – Soggetti coinvolti nel trattamento dei dati | ||
| segue |
Titolare del trattamento (n. 7) | È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione europea o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione europea o degli Stati membri. Si configura l’ipotesi di contitolarità del trattamento qualora due o più titolari del trattamento determinano congiuntamente finalità e mezzi del trattamento (art. 26 del regolamento). |
| Responsabile del trattamento (n. 8) | È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Ai fini della nomina da parte del titolare del trattamento, il responsabile del trattamento deve presentare “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” (art. 28 par. 1 del regolamento). Il responsabile del trattamento può ricorrere a un altro responsabile, purché vi sia una preventiva autorizzazione scritta, specifica o generale, del titolare del trattamento. I trattamenti da parte di un responsabile devono essere disciplinati da un contratto o da altro atto giuridico (art. 28 par. 2 e 3 del regolamento). | |
|
Destinatario (n. 9) | È la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione europea o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento. | |
| Terzo (n. 10) | È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile. | |
|
Rappresentante
dell’Unione europea del titolare/ responsabile del trattamento stabilito al di fuori dell’Unione europea (n. 17) | È la persona fisica o giuridica stabilita nell’Unione europea che, designata dal titolare o dal responsabile del trattamento per iscritto, li rappresenta per quanto riguarda gli obblighi rispettivi stabiliti dal regolamento. La nomina del rappresentante dell’Unione europea avviene nel caso di trattamento dei dati personali di interessati che si trovano nell’Unione europea, effettuato però da un titolare o da un responsabile del trattamento che non sia stabilito nell’Unione europea, quando le attività di trattamento riguardino (art. 3 par. 1 del regolamento, richiamato dall’art. 27 par. 1): Tale obbligo è escluso nei seguenti casi (art. 27 par. 2 del regolamento): |
| Regolamento UE 27.4.2016 n. 679 – Soggetti coinvolti nel trattamento dei dati | ||
| segue | ||
| Artt. 37 – 39 |
Responsabile della protezione dei dati personali (RPD o “Data Protection Officer” – DPO) |
La nomina del responsabile della
protezione dei dati, da parte del titolare e del responsabile del
trattamento dei dati, è obbligatoria per:
Il
RPD viene designato anche in relazione ai trattamenti di dati personali
effettuati dalle Autorità giudiziarie nell’esercizio delle loro funzioni
secondo quanto prescritto dal regolamento (art. 2-sexiesdecies del codice della privacy). Quanto ai compiti, al responsabile della protezione dei dati devono essere attribuiti almeno i seguenti (art. 39 par. 1 del regolamento): |
3 Differenze fra responsabile e titolare del trattamento
In linea di continuità con la previgente disciplina, il regolamento distingue il ruolo di titolare da quello di responsabile del trattamento rispetto:
Sull’argomento è intervenuto il Garante della privacy con il parere 22.1.2019, reso in risposta a un quesito posto dal Consiglio nazionale dei Consulenti del Lavoro.
Il professionista, nel caso di trattamento dei dati dei propri clienti (o dipendenti), è direttamente il titolare del trattamento di tali dati, in quanto lo stesso esercita un potere decisionale del tutto autonomo e indipendente:
Il professionista, invece, nel caso di trattamento dei dati dei dipendenti dei propri clienti, è il responsabile del trattamento di tali dati, in quanto la sua attività è connessa allo svolgimento di attività delegate dal titolare.
È, infatti, il titolare del trattamento che, alla luce del concreto contesto nel quale avviene il trattamento, assume le decisioni relative a finalità e modalità di un trattamento. Lo stesso decide, poi, all’esito di proprie scelte organizzative, di individuare il responsabile come soggetto particolarmente qualificato allo svolgimento delle suddette attività delegate:
Distinta, poi, dalla figura del responsabile del trattamento è quella di soggetto autorizzato al trattamento, in quanto lo stesso opera sotto la diretta autorità del titolare o del responsabile del trattamento, in base alle istruzioni impartite e senza alcun margine di autonomia nel trattamento (art. 29 del regolamento e art. 2-quaterdecies del codice della privacy).
3.1 Esternalizzazione delle attività e Trattamenti “delegati”
L’ordinaria gestione degli obblighi derivanti dalla disciplina di settore e/o dal contratto applicabile (individuale o collettivo) viene affidata sempre più spesso dal datore di lavoro a soggetti esterni nell’ambito di processi di progressiva e più generale esternalizzazione di alcuni segmenti dell’attività di impresa.
In tale ambito possono essere ricompresi:
Lo svolgimento di tali attività comporta l’utilizzo di professionalità esterne, coinvolgendo il flusso, mediante il trattamento, di una pluralità di dati personali anche sensibili relativi ai lavoratori, come ad esempio:
In tale contesto, il datore di lavoro può fornire anche:
Di seguito si riportano le definizioni correlate a “dato personale” e “trattamento”.
| Regolamento UE 27.4.2016 n. 679 – Trattamento dei dati personali e definizioni | |
|
Dato
personale |
Si veda quanto già riportato con riguardo al
soggetto “interessato” al trattamento (art. 4 n. 1). |
| Trattamento | Si tratta di qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come (art. 4 n. 2): |
|
Categorie
particolari di dati | Si tratta di dati idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica, di dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 9). Si intende per: |
|
Dati
personali relativi a condanne penali e reati | Si tratta dei dati c.d. “giudiziari”, cioè quelli idonei a rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato (si veda l’art. 10). |
Basi giuridiche del trattamento nell’ambito del rapporto di lavoro
La raccolta delle informazioni e l’ulteriore trattamento dei dati dei lavoratori da parte del datore di lavoro avvengono in base al contratto e alla normativa applicabile (basi giuridiche del trattamento nell’ambito del rapporto di lavoro).
Pertanto, il trattamento dei dati relativi ai lavoratori da parte del professionista che svolge le attività esternalizzate avviene mediante l’uso di dati già raccolti dal datore di lavoro nel perseguimento di finalità legittime, oltre che in base a criteri e direttive impartite da quest’ultimo circa la gestione del rapporto di lavoro sottostante (si vedano anche le FAQ della Commissione europea su “Cosa sono il titolare del trattamento e il responsabile del trattamento?”, disponibili sul sito https://ec.europa.eu/).
3.2 Ruolo del consulente del lavoro e degli altri professionisti “delegati”
Secondo il Garante della privacy, nell’ambito di tale ricostruzione rientrano anche le prestazioni svolte dal consulente del lavoro e, come visto anche dagli altri professionisti, come commercialisti ed avvocati, che svolgono gli adempimenti in materia di lavoro, previdenza ed assistenza sociale affidati all’esterno dal datore di lavoro.
Ai sensi, infatti, dell’art. 1 co. 1 della L. 11.1.79 n. 12, “tutti gli adempimenti in materia di lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, quando non sono curati dal datore di lavoro, direttamente od a mezzo di propri dipendenti, non possono essere assunti se non da coloro che siano iscritti nell’albo dei consulenti del lavoro a norma dell’articolo 9 della presente legge, salvo il disposto del successivo articolo 40, nonché da coloro che siano iscritti negli albi degli avvocati e procuratori legali, dei dottori commercialisti, dei ragionieri e periti commerciali, i quali in tal caso sono tenuti a darne comunicazione agli ispettorati del lavoro delle province nel cui ambito territoriale intendono svolgere gli adempimenti di cui sopra”.
Più nel dettaglio, la base giuridica che legittima il trattamento da parte del professionista dei dati personali relativi ai:
Si segnala, infine, che il professionista che opera come responsabile del trattamento: