L’attività svolta dal consulente del lavoro viene generalmente annoverata fra le figure portate ad esempio per le attività di trattamento di dati personali per cui è necessaria una nomina a responsabile del trattamento ex art. 28 del Regolamento (UE) 2016/679. Pur essendo questa l’impostazione generale a livello italiano nazionale, troviamo delle differenze di impostazione, quando il territorio di riferimento è la Germania.
Premessa
La regolamentazione dei rapporti privacy fra l’azienda titolare del trattamento e i soggetti esterni a cui questa trasmette dati personali per l’effettuazione di un’attività di trattamento per suo conto è uno dei punti principali che un’azienda deve affrontare nel percorso di compliance privacy.
Al fine di poter procedere con la regolamentazione privacy con i soggetti esterni (liberi professionisti, organizzazioni, società, ecc.) con cui l’azienda collabora in determinati ambiti e aspetti, fra le figure che vengono annoverate come esempio chiarificatore c’è senz’altro il consulente del lavoro. Indubbio è infatti il trattamento di dati personali: tale soggetto effettua numerose attività che includono e si basano su dati personali, pensiamo ad esempio all’attività di elaborazione dei cedolini paga e dei contributi, alla gestione dei trattamenti relativi all’assunzione e a quelli di fine rapporto, alla gestione degli adempimenti previsti dalla disciplina previdenziale e assistenziale. I dati personali trattati si riferiscono ai dipendenti e ai collaboratori dell’azienda, che li raccoglie per le proprie finalità, fra cui appunto quelle esternalizzate e affidate al consulente del lavoro. Eppure, per quanto possa sembrare chiaro in linea di principio l’inquadramento del consulente del lavoro come responsabile del trattamento, ci sono stati a livello nazionale tentativi di diversa impostazione. Spostandoci in altri stati europei, possono esserci impostazioni diverse di cui tenere conto.
Il quesito posto dai consulenti del lavoro al Garante Privacy
Il dibattito non è nuovo. Le divergenze di interpretazione sulla lettera della legge – in primis, riguardo a cosa la normativa all’art. 28 del Regolamento (UE) 2016/679 intenda con un’attività svolta “per conto” del titolare del trattamento, possono legittimamente esserci. E ci sono state, da parte dei consulenti del lavoro stessi, i quali anche mediante l’organizzazione che li rappresenta a livello nazionale (Consiglio nazionale dei consulenti del lavoro), hanno sottoposto al Garante la questione sul ruolo da loro svolto. Alla luce dell’allora normativa europea, entrata in vigore da pochi mesi, essi dovevano considerarsi titolari del trattamento oppure responsabili del trattamento?
Da questa diversa qualifica infatti discendono compiti e responsabilità molto diverse. L’organizzazione nazionale dei consulenti del lavoro aveva inoltre fornito una propria interpretazione, che ne vedeva la titolarità del trattamento alla luce della autonomia di decisione della modalità e dei mezzi (anche tecnologici) ritenuti più opportuni nonché alla necessità di aderire a format predeterminati.
La posizione del Garante Privacy
A fronte delle numerose richieste di chiarezza da parte dei consulenti del lavoro, il Garante si è espresso chiaramente: si tratta di responsabili del trattamento, quando trattano dati dei dipendenti dei propri clienti in base all’incarico da questi ricevuto.
Come motivazioni principali si annovera il fatto che le attività svolte dal consulente del lavoro comportano il flusso di una moltitudine di dati personali, anche appartenenti a categorie particolari (art.9 Regolamento Europeo, i cd. Ex “dati sensibili”), raccolti e trattati dal datore di lavoro in base al contratto e alle norme di legge applicabili. L’attività viene inoltre svolta in base ai criteri e alle direttive impartire dal datore di lavoro, in relazione alla gestione del rapporto di lavoro sottostante
Ulteriormente, l’affidamento dell’incarico al consulente avviene mediante sottoscrizione di un “contratto o altro atto giuridico” con l’azienda, il quale definire i compiti affidati, il contesto, le finalità e le modalità del trattamento. Infine, al termine del rapporto professionale, i dati detenuti dal consulente del lavoro dovranno essere cancellati (o anonimizzati) e/o riconsegnati al titolare, conformemente a quanto stabilito del contratto di affidamento dell’incarico.
Naturalmente, per quanto riguarda i dati personali dei propri dipendenti, anche i consulenti del lavoro si pongono in qualità di titolari del trattamento.
Sostanzialmente, quindi, si ha riguardo all’attività di trattamento svolta dal soggetto operante quale consulente del lavoro. In linea di principio, dunque, qualora l’attività di trattamento svolta da un soggetto esterno rientri nell’ambito squisitamente giuslavoristico del consulente del lavoro, indipendentemente dall’altra ulteriore ed eventuale attività svolta, rientra in questa impostazione.
L’impostazione in Germania
Sulla base delle medesime premesse nonché delle divergenze di interpretazione possibili, vi possono tuttavia essere differenze di inquadramento fra gli ordinamenti europei, sulla base di una normativa nazionale. È questo, ad esempio, il caso in Germania, ambito territoriale in cui sulla questione è intervenuta addirittura una legge (Steuerberatungsgesetz, nell’ultima versione, modificata a dicembre 2020), la quale ha posto un fondamento chiaro: l’attività del commercialista e dell’avvocato (e ulteriori soggetti previsti dall’art. 3) è da intendersi come svolta in qualità di titolare del trattamento, quale attività svolta “weisungsfrei” (il riferimento normativo sta nell’art. 11 dedicato proprio al trattamento di dati personali, “Verarbeitung personenbezogener Daten”), ossia non diretta da istruzioni altrui. Anche qualora un commercialista svolga anche attività che, in sé considerate, rientrano nell’alveo del consulente del lavoro, non c’è necessità di nomina a responsabile del trattamento. Invece, qualora l’attività sia svolta da un soggetto meramente ed esclusivamente consulente del lavoro, la necessità di nomina sussiste.
Cercando di sintetizzare, si può qui considerare a parere di chi scrive una divergenza di impostazione fra i due ordinamenti: mentre a livello nazionale italiano sulla base di un ragionamento specificamente dedicato al trattamento e alle sue caratteristiche, indipendentemente dal soggetto che le effettua, si perviene all’inquadramento del soggetto che effettua le attività quale responsabile del trattamento, in Germania è la qualifica del soggetto e le sue caratteristiche ad essere preminente e a determinare l’inquadramento quale titolare del trattamento.
La casistica qui proposta pone in rilievo quanto la normativa privacy europea debba comunque essere considerata nel contesto dell’ordinamento in cui si incardina, da cui possono derivare differenze di concezione delle figure e del loro operato nel trattamento dati.
*I diritti delle immagini appartengono ai rispettivi proprietari. Per maggiori informazioni relativamente all’immagine del presente articolo, si prega di visitare il sito web Retirement Planner.
Hai dubbi in merito? Noi saremo lieti di aiutarTi a trovare la soluzione per la Tua realtà aziendale.