Privacy: Il Garante chiarisce quando il Consulente del Lavoro deve essere nominato Responsabile del Trattamento

Privacy: Il Garante chiarisce quando il Consulente del Lavoro deve essere nominato Responsabile del Trattamento

Il Garante si pronuncia in merito alla nomina del Consulente del Lavoro in qualità di Responsabile del trattamento. Ricostruzione a nostro avviso, corretta e condivisibile.

Il Garante per la Protezione dei Dati Personali, con risposta al quesito relativo al ruolo del Consulente del lavoro, in applicazione del regolamento UE 679/2016, chiarisce in maniera chiara e netta, tramite un ragionamento giuridico che non lascia scampo a diverse conclusioni, i tratti che caratterizzano quest'ultimo quale Responsabile del Trattamento. Il Garante interpreta correttamente, ad avviso dello scrivente, il Reg. Europeo 679/2016 - art. 28 -, delineando le situazioni in cui il Consulente del lavoro deve quindi essere obbligatoriamente nominato in tale veste.

Difatti appare chiaro, analizzando l'attività di questa categoria di Professionisti, che questi eseguano sostanzialmente due tipologie di trattamenti: la prima è relativa ai dati dei propri dipendenti o dei propri clienti, mentre la seconda è data dal trattamento dei dati dei dipendenti dei propri clienti.

Tale sfumatura fa sì che, nel primo caso, il Consulente assuma la qualità di Titolare del trattamento, in quanto raccoglie in prima persona i dati fornitigli dagli interessati, che hanno contatto diretto con lui. Inoltre, tratto distintivo del Titolare, il Consulente ha, su questi dati, piena signoria ed autonomia nel decidere e definire le finalità e le modalità di trattamento, senza dover soggiacere a direttive o ordini impartiti da altri soggetti.

Questa autonomia viene a mancare nel secondo caso sopra descritto, poichè qui abbiamo il cliente del Consulente che gli fornisce i dati dei propri dipendenti e gli impone di eseguire un trattamento "per suo conto". Qui è facile comprendere che lo schema è molto diverso: il Consulente non ha rapporto diretto con gli interessati i cui dati tratta per conto del titolare, in quanto sono raccolti da quest'ultimo e da questi trasferiti al Consulente, con ordini e richieste ben specifiche.

L'autonomia di cui parlavamo prima, in questo caso, è assente, essendo un esercizio di attività delegata, un trattamento eseguito per conto di un altro titolare, che determina finalità e modalità di trattamento che il Consulente deve religiosamente rispettare.
Tale fattispecie fattuale si incardina perfettamente a quanto previsto dall'art. 28 del GDPR che delinea appunto la figura del Responsabile del trattamento.

In ultimo, si vuole sottolineare che allo scrivente, già ad una prima lettura della norma, appariva chiaro che il Consulente del lavoro dovesse essere nominato in tale qualità, ma notava alcune lievi resistenze ed intolleranze dai nominati, non abituati, evidentemente, a tali adempimenti.

Avv. Giovanni Crocetti Bernardi
Foro di Ravenna
Studio Legale Integrato