Il Consiglio Nazionale dell’ordine dei consulenti del lavoro, con circolare n. 1150/2018 ha specificato che il consulente del lavoro, in materia di privacy, si configura quale co-titolare del trattamento dei dati con i propri clienti. Ciò, secondo l’Ordine, comporta che il consulente-titolare è autonomo nella gestione dei dati delle aziende assistite all’interno del proprio studio, ma resta deresponsabilizzato dalle eventuali violazioni della normativa privacy da parte del proprio cliente nella gestione della propria organizzazione. Tuttavia, dall’analisi del GDPR sembra emergere una diversa realtà. Alla luce del Regolamento, infatti, il consulente del lavoro è titolare del trattamento dei dati dei suoi clienti e dei suoi dipendenti ma, per l’attività che svolge in outsourcing per conto dei suoi clienti si configura quale responsabile del trattamento e ciò perché spetta al cliente (titolare del trattamento) definire le finalità del trattamento.
Il Consulente potrebbe essere, invece, titolare del trattamento nel caso in cui abbia un potere decisionale autonomo sulle finalità e modalità del trattamento effettuato nel proprio ambito (es: consulenza tecnica, rappresentanza dell’azienda nelle vertenze extragiudiziali derivanti dai rapporti di lavoro dipendente ed autonomo ecc..) e ciò perché in tali casi non svolge un’attività in outsourcing.
Se il Consulente del lavoro fosse co-titolare del trattamento andrebbe incontro a sanzioni non indifferenti: risponderebbe, infatti, per il danno cagionato dal suo trattamento che violi il regolamento e ne risponderebbe in solido con l’altro titolare, per l’intero ammontare; mentre un responsabile esterno risponde per il danno causato dal trattamento solo se:
- Non ha adempiuto gli obblighi del regolamento specificatamente diretti ai responsabili del trattamento;
- Ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
In conclusione, il consulente del lavoro non è co-titolare del trattamento per i dati che tratta per conto dei propri clienti in outsourcing, ma si configura quale responsabile del trattamento.
E’ dunque auspicabile un intervento chiarificatore del Garante per la protezione dei dati personali.