Il Consiglio nazionale dell’ordine dei consulenti del lavoro interviene con la circolare n. 1150 del 23 luglio scorso a chiarire i dubbi circa il ruolo dei consulenti del lavoro nell’ambito del trattamento dei dati personali in base alla nuova disciplina del GDPR.
Secondo l’interpretazione del Consiglio dell’ordine, le norme del GDPR non impongono che il consulente del lavoro debba necessariamente essere nominato responsabile esterno del trattamento da parte dei clienti, in quanto, tale ruolo non sarebbe strettamente connaturato alla natura del mandato. Pertanto, il consulente può respingere tale nomina quando proviene dai clienti.
A parere del Consiglio, l’art. 28 del Regolamento n. 679/2016 vede il Responsabile del trattamento come un preposto del titolare che ne segue pedissequamente le istruzioni impartite tramite il contratto contemplato dallo stesso art. 28 e secondo i rigidi vincoli previsti anche dall’art. 30 del Regolamento. Il Responsabile, secondo la norma, deve svolgere il trattamento attenendosi diligentemente alle istruzioni impartite dal titolare, il quale, anche tramite audit periodici, controlla l’operato del responsabile e la sua conformità alle istruzioni impartite.
La sfera di autonomia del Responsabile appare dunque fortemente schiacciata non solo dalla puntuale descrizione dei compiti a lui affidati, ma anche da un’ingerenza continua del titolare che nei suoi riguardi applica poteri di direzione e vigilanza anche dopo avergli affidato il trattamento. Il Responsabile sarebbe pertanto, in via generale, una figura senza una propria autonomia concettuale, cosa che, secondo l’interpretazione del consiglio dei consulenti del lavoro, si pone in netto contrasto, con la l. n. 12/1979 e ancor di più in relazione al mandato professionale ad essa sotteso, in virtù del quale, secondo il dettato normativo, il datore di lavoro affida completamente gli adempimenti in materia di amministrazione del personale, nell’ambito di una prestazione professionale autonoma e indipendente, quella del consulente. Secondo l’art. 1 della suddetta norma, “Tutti gli adempimenti in materia di lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, quando non sono curati dal datore di lavoro, direttamente od a mezzo di propri dipendenti, non possono essere assunti se non da coloro che siano iscritti nell'albo dei consulenti del lavoro”. La titolarità a svolgere gli adempimenti in materia di lavoro è riconosciuta dalla legge innanzi tutto al datore di lavoro, altrimenti, solo a professionisti all’uopo individuati dalla stessa norma, i consulenti del lavoro, la cui designazione non si fonda sul mandato, ma viene attribuita loro dalla legge.
Ragion per cui, dice il consiglio, il Consulente del lavoro che gestisce i dati dei propri clienti ha piena autonomia di decisione in merito al trattamento nella sua definizione più generale e quindi nella scelta delle modalità e dei mezzi (anche tecnologici) ritenuti più opportuni, così come nella scelta dei collaboratori cui affidare il trattamento medesimo. Se invece il Professionista dovesse costantemente e sistematicamente rendere conto al proprio cliente -Titolare delle modalità utilizzate per il trattamento dei dati a lui affidati, tale autonomia sarebbe irrimediabilmente compromessa.
Pertanto, il ruolo di responsabile del trattamento del consulente del lavoro nel contesto del regolamento non sarebbe automatico, in quanto ne verrebbe compromessa l’autonomia professionale che viene conferita a tali soggetti dalla legge. Di conseguenza e chiaramente, il Consulente del lavoro nelle attività di trattamento dei dati dei propri clienti e dei dipendenti di questi ultimi, può assumere la qualifica di titolare del trattamento, al più, sarebbe possibile ravvisare una fattispecie di co-titolarità.
In tale contesto, dunque, i consulenti del lavoro potranno sottoscrivere un contratto, che può avere anche la forma di un addendum al contratto di conferimento dell’incarico professionale, con cui entrambe le parti fissano in modo trasparente “le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e14” del GDPR.
Nulla vieta, ad ogni modo, che il consulente del lavoro possa decidere di assumere - ma è una scelta propria - di ricoprire il ruolo di responsabile del trattamento dei dati trattati per conto del proprio cliente, ma questo comporta l’assunzione di un nuovo incarico di natura professionale autonomo (ancorché connesso) rispetto al mandato riferito allo svolgimento dell’incarico professionale principale e, come tale, remunerato a parte rispetto al primo.
Concludendo, in base all’interpretazione dell’art. 28 del GDPR adottata dalla presente circolare:
- il consulente del lavoro è un autonomo titolare rispetto ai dati trattati per conto dei suoi clienti, pertanto, nel contesto del trattamento dei dati che sorge con l’incarico conferito dal cliente può assumere fisiologicamente il ruolo di co-titolare In virtù di tale ruolo il Consulente, resta escluso e deresponsabilizzato dalle eventuali violazioni della richiamata normativa da parte del proprio cliente nella gestione della propria organizzazione.
- nulla toglie al consulente del lavoro di decidere volontariamente di svolgere il ruolo di responsabile del trattamento per conto del suo cliente e sottostare alle rigide istruzioni e ai controlli da questi impartitigli nel trattamento dei dati personali nell’ambito dello svolgimento del suo ruolo professionale; tuttavia, tale incarico è autonomo rispetto al mandato ancorchè ad esso collegato e deve essere remunerato a parte.