Il Garante della Privacy ha fornito risposta agli interrogativi presentati dal Consiglio Nazionale dei consulenti del lavoro in merito alla responsabilità dei consulenti del lavoro nel trattamento dei dati personali alla luce del nuovo Regolamento UE 679/2016.
Primariamente sono descritte due definizioni:
– il titolare del trattamento dei dati, ovvero il soggetto che determina le finalità e i mezzi del trattamento di dati personali;
– il responsabile del trattamento, ovvero il soggetto che tratta i dati personali per conto del titolare.
Quindi, I consulenti del lavoro ricoprono il ruolo di “titolari” nel momento in cui trattano i dati dei propri dipendenti e dei propri clienti in piena autonomia e indipendenza, mentre sono “responsabili” allorché trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare.
Nella seconda eventualità, le informazioni raccolte, utilizzate dai datori di lavoro in base al contratto e a norme di legge, sono amministrati dai consulenti relativamente alle discipline di settore e alle regole deontologiche.
Ne consegue quindi che la legittimità dei trattamenti dei dati del consulente si fonda sul contratto di affidamento dell’incarico e di designazione come responsabile del trattamento da parte del cliente.
Inoltre è sottolineato dal Garante che ai consulenti viene assegnata una certa autonomia, e correlativa responsabilità, anche con riguardo all’individuazione e alla predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.
