Il Gdpr allarga l’orizzonte in cui si muovono vecchie e nuove professioni. In questo senso anche i consulenti del lavoro possono veder declinare i propri confini e responsabilità in base al tipo di gestione dei dati di loro pertinenza. Si tratta di nuove strade da percorrere in allineamento con la nuova direttiva: ma non sempre è tutto chiaro. Ecco un’analisi che aiuta a chiarire il perimetro di questa figura professionale.
Nei mesi scorsi, nella attività quotidiana svolta sul tema del GDPR, ma anche in articoli pubblicati su questa rivista digitale (ad esempio qui), ci sono state diverse diatribe circa il ruolo che il generico consulente del lavoro svolge, in ottica GDPR, quando, per conto di un titolare del trattamento, elabora e produce le buste paga per i lavoratori/dipendenti della azienda cliente.
A fronte di una posizione per la quale il ruolo del consulente del lavoro, in casi come questi, non potesse che essere quello di Responsabile del trattamento ai sensi dell’art. 28 del GDPR, la posizione di molti consulenti era invece che il ruolo del consulente del lavoro fosse quello di Titolare autonomo del trattamento.
Cosa specifica il Garante
Il Garante, con il chiarimento del 22 gennaio 2019, ha chiaramente specificato che quando un consulente del lavoro tratta di dati di dipendenti di un’azienda sua cliente, il ruolo che riveste in questo caso è quello di Responsabile del trattamento ex art. 28, mentre ovviamente risulta essere titolare del trattamento quando tratta i dati dei propri dipendenti.
Ritengo che ci siano vari piani di analisi che permettono sempre, in casi come questi, di essere in grado, di volta in volta, di valutare correttamente il ruolo svolto dagli attori che svolgono il trattamento dati.
Il primo, più ortodosso e naturale, è quello che si ha dalla lettura e comprensione di quanto contenuto nel Regolamento.
All’articolo 4 paragrafo 7 il Titolare del trattamento viene definito, tra le altre cose, come colui che “determina le finalità” del trattamento, mentre al paragrafo 8 dello stesso articolo il Responsabile del trattamento viene definito come “colui che tratta i dati personali per conto del titolare”.
Se si torna all’esempio del ruolo del consulente del lavoro, appare evidente che tra le finalità per le quali il titolare del trattamento (il datore di lavoro) tratta i dati personali dei suoi dipendenti non può non esserci quella legata alla necessità di retribuire, con la busta paga, il lavoro dei dipendenti. E’ una finalità specifica del datore di lavoro e, direi ovviamente, non può essere invece questa la finalità che ha un consulente quando si considera “titolare” autonomo consulente del lavoro.
Tra l’altro esistono ancora aziende (poche) che hanno al loro interno un settore per le paghe: pertanto, se considerassimo il consulente del lavoro titolare autonomo, ci troveremmo nell’assurdo per cui due aziende avrebbero – sul tema dipendenti – finalità diverse, a secondo di chi produce le paghe.
Cosa comporta la “terzietà” per il consulente del lavoro nel Gdpr
D’altra parte, appare evidente come è proprio il ruolo di Responsabile del trattamento quello che fotografa esattamente ciò che succede nella realtà: il titolare ha determinato le finalità del trattamento e ha deciso di affidare l’attività operativa ad una terza parte – il consulente del lavoro – che, come indicato dal GDPR, tratta i dati personali dei dipendenti – preparando le buste paga – per conto del titolare.
Quindi, sicuramente – e non può che essere che così – la lettura del GDPR permette – in questo primo piano di analisi – la determinazione del ruolo giocato dai singoli attori.
Il secondo piano di analisi (che emula ovviamente il primo portando alle stesse conclusioni usando concetti diversi) è invece legato ad un concetto, diverso dal trattamento, che è, almeno dal mio punto di vista e per la mia esperienza, più intuitivo. Si tratta del concetto di “processo”.
Non c’è dubbio che nei processi aziendali gestiti da un imprenditore, che comprendono acquisti e commercializzazione, fatturazione e assistenza, esiste anche il processo di gestione dei propri dipendenti che si conclude con la produzione, ogni mese, della busta paga.
Si tratta di un’attività che sta all’interno delle cose che l’imprenditore deve fare, dei processi che gestisce e presidia, e l’imprenditore può valutare se svilupparlo in proprio ovvero se subappaltarlo ad un suo fornitore (in questo caso di servizi).
Ogni volta che un’azienda subappalta una parte di processo a proprio carico ad un suo fornitore, se nel processo appaltato entra il tema del trattamento dei dati personali di interessati, quel fornitore, per il GDPR, è un responsabile.
Ecco come la finalità gioca una parte cruciale per il consulente del lavoro
Per sviluppare il concetto, se invece un titolare vuole (o deve) passare dei dati ad una terza parte non allo scopo di sviluppare e portare a termine un suo processo (nel primo piano di analisi diremmo per le sue finalità) ma per permettere alla terza parte di sviluppare un proprio processo (nel primo piano diremmo “le sue finalità”), diverso ed autonomo dal proprio, il GDPR identifica questa terza parte come “destinatario” del trattamento che, a sua volta, diventa un nuovo responsabili autonomo nei confronti dell’interessato.
Il caso tipico è quello di un pediatra che si trova a dover curare un piccolo paziente affetto da morbillo. Il trattamento dei dati svolto dal pediatra ha la finalità di cura; però la legge lo obbliga a dover informare, nel caso di morbillo, l’ufficio igiene della ASL di competenza. E’ chiaro che il processo che si sviluppa in ASL (le finalità della ASL) sono “esterne” e autonome rispetto alle finalità di cura del pediatra del singolo paziente.
Pertanto, mentre un sostituto del pediatra che cura il bambino in sua vece è un responsabile del trattamento, l’ufficio igiene della ASL è un destinatario, e quindi un nuovo responsabile autonomo.
Quindi, l’analisi dei processi (ed in particolare della ownership dei processi) è un modo, alternativo alla analisi delle finalità del trattamento, che può condurre a valutare, in modo corretto, il ruolo dei personaggi.
Il ruolo economico del titolare del trattamento
Il terzo e ultimo piano di analisi è sicuramente quello più semplificato e rudimentale, ma ritengo corretto (finora non mi sono mai trovato a casi che dimostrino che possa portare a conclusioni errate).
Per utilizzarlo basta porsi la semplicissima domanda: “chi paga” per l’attività svolta dalla terza parte?
Seguendo il ragionamento fin qui svolto (finalità e processi), è evidente che quando una figura terza svolge un’attività per conto di un titolare (quindi definibile come “responsabile del trattamento”), il primo corollario che ne segue è che il titolare deve pagare la terza parte per fargli svolgere l’attività che – nel processo o nelle finalità del trattamento – è a suo carico. Poi può anche capitare che la terza svolga la sua attività a titolo gratuito, ma il “senso” delle figure cliente (il titolare) – fornitore (il responsabile) è ben chiaro e definito.
Invece, nel caso di destinatari – nuovi titolari – il concetto è totalmente ribaltato: è la terza parte ad avere interesse ad avere a disposizione i dati degli interessati (del titolare) per portare avanti le proprie finalità o i propri processi. E quindi è questa terza parte che ha il ruolo di Cliente, e che quindi dovrebbe essere disponibile a pagare il titolare (fornitore) per entrare in possesso di quei dati personali.
L’esempio del pediatra e dell’ufficio igiene fa vedere che non sempre il nuovo titolare “paga” per avere quei dati: nel caso in specie è la legge a definire il passaggio di dati personali come un obbligo del pediatra. Ciò non toglie che l’interesse ad avere quei dati, per portare avanti il “proprio” processo, è dell’ufficio igiene, che quindi risulta essere un destinatario. Mentre nel caso del sostituto, l’interesse è del pediatra ad affidargli la sua attività quando va in ferie, pagando quindi, come cliente, per la prestazione.
Insomma, in questo terzo piano di analisi, “chi paga” definisce il ruolo.
