TRATTAMENTO DEI DATI PERSONALI DEI PROPRI CLIENTI E DEI DIPENDENTI DI QUESTI ULTIMI Chiarimenti del Garante della privacy. La presente Circolare analizza, sulla base dei chiarimenti del Garante della privacy, il ruolo assunto dal professionista che: – da un lato, tratta i dati personali dei propri dipendenti ovvero dei propri clienti (persone fisiche); – dall’altro, tratta i dati personali dei dipendenti dei propri clienti, in relazione agli adempimenti in materia di lavoro, previdenza ed assistenza sociale affidati all’esterno dal datore di lavoro.

Trattamento dei dati personali
dei propri clienti e dei dipendenti
di questi ultimi – Chiarimenti
del Garante della privacy

1 premessa

La presente Circolare analizza il ruolo assunto dal soggetto che tratta, da un lato, i dati personali dei propri dipendenti ovvero dei propri clienti (persone fisiche), dall’altro, i dati personali dei di­pen­denti dei propri clienti.

Sul punto, è intervenuto il Garante per la protezione dei dati personali, che, nel parere 22.1.2019, ha illustrato il quadro normativo in materia precisando il ruolo, in particolare, del consulente del lavoro. Secondo il Garante, per il consulente del lavoro si configura la qualifica di:

Tali considerazioni, però, possono valere, in linea più generale, anche rispetto agli altri profes­sio­ni­sti, quali commercialisti e avvocati per i rispettivi ambiti e adempimenti, che si trovino a trattare i medesimi dati nell’ambito di processi di progressiva esternalizzazione da parte del titolare del trattamento.

2 Ambito soggettivo nel trattamento dei dati

Il regolamento UE 27.4.2016 n. 679 (GDPR – General Data Protection Regulation), relativo alla pro­­te­zione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che ha abrogato la direttiva CE 24.10.95 n. 46, e il codice della privacy (di cui al DLgs. 196/2003), così come modificato dal DLgs. 101/2018, hanno previsto i seguenti soggetti coinvolti nel trattamento dei dati personali:

Regolamento UE 27.4.2016 n. 679 – Soggetti coinvolti nel trattamento dei dati
art. 4 Interessato
(n. 1)
La definizione di “interessato” viene collegata dal regolamento a quel­la di “dato per­so­na­le”, inteso come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”. A tal fine, si considera “identificabile” la persona fisica che può essere identificata, diret­ta­mente o indirettamente, con particolare riferimento ad uno dei seguenti elementi:
Regolamento UE 27.4.2016 n. 679 – Soggetti coinvolti nel trattamento dei dati
segue Titolare del trattamento
(n. 7)
È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unio­ne europea o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unio­ne europea o degli Stati membri.   Si configura l’ipotesi di contitolarità del trattamento qualora due o più titolari del trattamento determinano congiuntamente finalità e mezzi del trattamento (art. 26 del regolamento).
Responsabile del trattamento (n. 8) È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.   Ai fini della nomina da parte del titolare del trattamento, il responsabile del trattamento deve presentare “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’inte­res­sato” (art. 28 par. 1 del regolamento). Il responsabile del trattamento può ricorrere a un altro respon­sa­bile, purché vi sia una preventiva autorizzazione scritta, specifica o generale, del titolare del trattamento. I trattamenti da parte di un responsabile devono essere disciplinati da un contratto o da altro atto giuridico (art. 28 par. 2 e 3 del regolamento).
Destinatario
(n. 9)
È la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati per­­sonali nell’ambito di una specifica indagine conformemente al diritto dell’Unio­ne europea o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.
Terzo (n. 10) È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.
Rappresentante dell’Unione europea
del titolare/
responsabile del trattamento stabilito
al di fuori dell’Unione europea
(n. 17)
È la persona fisica o giuridica stabilita nell’Unione europea che, designata dal titolare o dal responsabile del trattamento per iscritto, li rappresenta per quanto riguarda gli obblighi rispettivi stabiliti dal regolamento. La nomina del rappresentante dell’Unione europea avviene nel caso di trat­tamento dei dati personali di interessati che si trovano nell’Unione europea, effettuato però da un titolare o da un responsabile del trattamento che non sia stabilito nell’Unione europea, quando le attività di trattamento riguardino (art. 3 par. 1 del regolamento, richiamato dall’art. 27 par. 1):   Tale obbligo è escluso nei seguenti casi (art. 27 par. 2 del regolamento):
Regolamento UE 27.4.2016 n. 679 – Soggetti coinvolti nel trattamento dei dati
segue  
Artt. 37 – 39 Responsabile della protezione dei dati
personali
(RPD o “Data
Protection
Officer
” – DPO)
La nomina del responsabile della protezione dei dati, da parte del titolare e del respon­sa­bile del trattamento dei dati, è obbligatoria per:   Il RPD viene designato anche in relazione ai trattamenti di dati personali effettuati dalle Autorità giudiziarie nell’esercizio delle loro funzioni secondo quanto prescritto dal regolamento (art. 2-sexiesdecies del codice della
privacy).   Quanto ai compiti, al responsabile della protezione dei dati devono essere attribuiti almeno i seguenti (art. 39 par. 1 del regolamento):

3 Differenze fra responsabile e titolare del trattamento

In linea di continuità con la previgente disciplina, il regolamento distingue il ruolo di ti­to­la­re da quello di responsabile del trattamento rispetto:

Sull’argomento è intervenuto il Garante della privacy con il parere 22.1.2019, reso in risposta a un quesito posto dal Consiglio nazionale dei Consulenti del Lavoro.

Il professionista, nel caso di trattamento dei dati dei propri clienti (o dipendenti), è diret­tamente il titolare del trattamento di tali dati, in quanto lo stesso esercita un potere decisionale del tutto autonomo e indipendente:

Il professionista, invece, nel caso di trattamento dei dati dei dipendenti dei propri clienti, è il responsabile del trattamento di tali dati, in quanto la sua attività è connessa allo svolgimento di attività delegate dal titolare.

È, infatti, il titolare del trattamento che, alla luce del concreto contesto nel quale avviene il trat­tamento, assume le decisioni relative a finalità e modalità di un trattamento. Lo stesso decide, poi, all’esito di proprie scelte organizzative, di individuare il responsabile come soggetto parti­co­larmente qualificato allo svolgimento delle suddette attività delegate:

Distinta, poi, dalla figura del responsabile del trattamento è quella di soggetto autorizzato al trat­tamento, in quanto lo stesso opera sotto la diretta autorità del titolare o del responsabile del trattamento, in base alle istruzioni impartite e senza alcun margine di autonomia nel trattamento (art. 29 del regolamento e art. 2-quaterdecies del codice della privacy).

3.1 Esternalizzazione delle attività e Trattamenti “delegati”

L’or­di­naria gestione degli obblighi derivanti dalla disciplina di settore e/o dal contratto ap­pli­ca­bile (individuale o collettivo) viene affidata sempre più spesso dal datore di lavoro a soggetti esterni nell’am­bito di processi di progressiva e più generale esternalizzazione di alcuni segmenti dell’attività di impresa.

In tale ambito possono essere ricompresi:

Lo svolgimento di tali attività comporta l’utilizzo di professionalità esterne, coinvolgendo il flusso, mediante il trattamento, di una pluralità di dati personali anche sensibili relativi ai lavoratori, come ad esempio:

In tale contesto, il datore di lavoro può fornire anche:

Di seguito si riportano le definizioni correlate a “dato personale” e “trattamento”.

Regolamento UE 27.4.2016 n. 679 – Trattamento dei dati personali e definizioni
Dato
personale
Si veda quanto già riportato con riguardo al soggetto “interessato” al trattamento
(art. 4 n. 1).
Trattamento Si tratta di qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come (art. 4 n. 2):
Categorie particolari
di dati
Si tratta di dati idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica, di dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 9). Si intende per:
Dati personali relativi a
condanne penali e reati
Si tratta dei dati c.d. “giudiziari”, cioè quelli idonei a rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato (si veda l’art. 10).

Basi giuridiche del trattamento nell’ambito del rapporto di lavoro

La raccolta delle informazioni e l’ulteriore trattamento dei dati dei lavoratori da parte del datore di lavoro avvengono in base al contratto e alla normativa applicabile (basi giuridiche del trattamento nell’ambito del rapporto di lavoro).

Pertanto, il trattamento dei dati relativi ai lavoratori da parte del professionista che svolge le attività esternalizzate avviene mediante l’uso di dati già raccolti dal datore di lavoro nel perseguimento di finalità legittime, oltre che in base a criteri e direttive impartite da quest’ultimo circa la gestione del rapporto di lavoro sottostante (si vedano anche le FAQ della Commissione europea su “Cosa sono il titolare del trattamento e il responsabile del trattamento?”, disponibili sul sito https://ec.europa.eu/).

3.2 Ruolo del consulente del lavoro e degli altri professionisti “delegati”

Secondo il Garante della privacy, nell’ambito di tale ricostruzione rientrano anche le prestazioni svolte dal consulente del lavoro e, come visto anche dagli altri professionisti, come commercialisti ed avvocati, che svolgono gli adempimenti in materia di lavoro, previdenza ed assistenza sociale affidati all’esterno dal datore di lavoro.

Ai sensi, infatti, dell’art. 1 co. 1 della L. 11.1.79 n. 12, “tutti gli adempimenti in materia di lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, quando non sono curati dal datore di lavoro, direttamente od a mezzo di propri dipendenti, non possono essere assunti se non da coloro che siano iscritti nell’albo dei consulenti del lavoro a norma dell’articolo 9 della presente legge, salvo il disposto del successivo articolo 40, nonché da coloro che siano iscritti negli albi degli avvocati e procuratori legali, dei dottori commercialisti, dei ragionieri e periti commerciali, i quali in tal caso sono tenuti a darne comunicazione agli ispettorati del lavoro delle province nel cui ambito territoriale intendono svolgere gli adempimenti di cui sopra”.

Più nel dettaglio, la base giuridica che legittima il trattamento da parte del professionista dei dati personali re­la­tivi ai:

Si segnala, infine, che il professionista che opera come responsabile del trattamento:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.