Il contratto di somministrazione di lavoro è stato introdotto per la prima volta dal Pacchetto Treu 196/97; successivamente è stato disciplinato e regolarizzato con la Legge Biagi (L. 14 febbraio 2003, n. 30), ma ciò non l’ha reso esente da successive modifiche.
Oggi, infatti, la definizione del presente contratto “giuslavoristico” è contenuta all’interno dell’art. 30 del D.lgs 15 giugno 2015, N. 81: “Il contratto di somministrazione di lavoro è il contratto, a tempo indeterminato o determinato, con il quale un’agenzia di somministrazione autorizzata, ai sensi del decreto legislativo n. 276 del 2003, mette a disposizione di un utilizzatore uno o più lavoratori suoi dipendenti, i quali, per tutta la durata della missione, svolgono la propria attività nell’interesse e sotto la direzione e il controllo dell’utilizzatore”.
GDPR, tutto ciò che bisogna sapere su titolare e responsabile del trattamento nelle Linee guida EDPB
Per l’appunto, il contratto di somministrazione di lavoro coinvolge tre soggetti: un’Agenzia interinale (Somministratore), l’Azienda (Utilizzatore) e infine i lavoratori (Somministrati), assunti direttamente dall’Agenzia di somministrazione. Questo, nella pratica, si traduce nella determinazione di due distinti rapporti contrattuali: il primo viene individuato come contratto commerciale di somministrazione, concluso tra Somministratore e Utilizzatore, il secondo, invece, viene inquadrato come contratto di lavoro sottoscritto tra Somministratore e lavoratore.
È chiaro, quindi, che la complessità dell’organizzazione dei rapporti contrattuali nasce anche dalla divisione degli obblighi e doveri tra datore di lavoro e agenzia di somministrazione in materia di trattamento dei dati personali del lavoratore.
Il “nocciolo della questione”: tre possibili ruoli per l’azienda utilizzatrice
L’azienda coinvolta nel rapporto, ovvero il cosiddetto utilizzatore, non avendo un rapporto contrattuale “diretto” con il lavoratore, ma trattando incidentalmente dati personali a lui riferiti, assume la qualità di titolare autonomo del trattamento oppure di responsabile del trattamento?
Una situazione non del tutto scontata e sicuramente labile, nella quale manca chiarezza e riferimenti normativi precisi in tema di adempimenti dal punto di vista della protezione dei dati personali.
Infatti, il quesito che con questo articolo si vuole porre come fondamento di un’analisi critica – sebbene non esaustiva – ha come intento quello di capire e comprendere come gestire e regolarizzare il rapporto che si instaura tra l’azienda e l’agenzia autorizzata in ordine al contratto di somministrazione di lavoro, sotto il profilo del trattamento dei dati personali del lavoratore, in ossequio a quanto stabilito in materia dal GDPR.
Se il ruolo dell’Agenzia Interinale – sotto il profilo della normativa sulla protezione dei dati personali – risulta essere ben definito, lo stesso non si può dire per le aziende utilizzatrici. Tale incertezza è data sia dalla complessità dei rapporti che viene ad evidenziarsi in questa particolare tipologia di schema contrattuale, sia dall’inerzia del legislatore e dell’Autorità Garante in merito alla chiara definizione dei ruoli in conformità ai principi e alle disposizioni del GDPR.
Vengono, pertanto, a crearsi tre possibili scenari, che coinvolgono l’azienda utilizzatrice da un lato, e il lavoratore somministrato dall’altro, ossia l’interessato del trattamento.
L’utilizzatrice come titolare autonomo del trattamento
Nonostante il silenzio del legislatore e del Garante per la Protezione dei Dati Personali, sul punto si ha un riferimento esplicito, contenuto nella circolare n. 4 del 2018 dell’Associazione Nazionale delle Agenzie per il Lavoro (Assolavoro).
“Assolavoro” sposa il ragionamento esposto da alcuni esperti del settore in materia di privacy, arrivando quindi a qualificare l’azienda utilizzatrice come titolare autonomo. Ma su quali basi si fonda tale impostazione?
Questa specifica regolamentazione trae linfa dal contratto “sui generis” di somministrazione di lavoro, in quanto il lavoratore somministrato, sì sottoscrive il contratto con l’agenzia interinale, ma allo stesso tempo entra all’interno dell’organizzazione aziendale dell’Utilizzatore svolgendo la propria attività sotto il controllo e la direzione della stessa azienda.
Per questo specifico motivo non va prevista alcune nomina in capo all’azienda in quanto sarà quest’ultima ad assumere le vesti di titolare autonomo, determinando e legittimando le proprie finalità ai sensi dell’articolo 6 comma 1 lettera b), ossia in base “all’esecuzione di un contratto” commerciale di somministrazione concluso propriamente tra somministratore e utilizzatore.
L’utilizzatrice come responsabile del trattamento
Altri studiosi, invece, non prendono in considerazione l’azienda utilizzatrice come autonomo titolare del trattamento, ma preferiscono inquadrare questa, con la stipula della nomina formale, come Responsabile del trattamento ai sensi dell’articolo 28 del GDPR.
Nel caso di specie, l’Utilizzatore effettua il trattamento dei dati personali del lavoratore per conto dell’Agenzia e sulla base delle finalità imposte sempre da questa. Pertanto, in tal caso, l’Azienda tratta i dati del lavoratore su alcune finalità specifiche decise dall’Agenzia, come può essere la rilevazione delle presenze all’interno dell’apparato organizzativo aziendale.
Precisamente in questo contesto si andrebbe a creare un rapporto ai sensi del GDPR, in cui l’Agenzia risulterebbe essere Titolare autonomo, mentre l’Azienda risulterebbe essere Responsabile del trattamento sulla base della nomina sottoscritta, con tutte le prerogative richieste dalla normativa.
Una visione ibrida: tra titolare e responsabile del trattamento
Abbiamo visto le due tesi che si sono venute a formare in merito al delicato tema del ruolo da attribuire all’azienda utilizzatrice nei contratti di somministrazione, le quali però non sono sufficienti per considerare il tema esente da ulteriori riflessioni critiche.
Posto, infatti, che, entrambe le visioni sopra esposte si fondano su presupposti logico – giuridici validi, verrebbe altrettanto spontaneo pensare che prendere in considerazione gli elementi di entrambe le tesi congiuntamente possa essere considerata una terza strada da poter seguire.
Basandoci, infatti, sui principi e le indicazioni offerte dalla normativa di settore – primo fra tutti il Regolamento Ue 679/2016 – si potrebbe attribuire alla figura dell’azienda utilizzatrice il ruolo di titolare e quello di responsabile, a seconda delle singole attività di trattamento da essa effettuate, conseguentemente riferendoci a diverse basi giuridiche e tenendo in considerazione le diverse finalità.
Se, ad esempio, l’utilizzatrice sottoporrà al lavoratore somministrato un’informativa privacy specifica per la videosorveglianza in Azienda – dovendo il lavoratore svolgere le sue mansioni all’interno dell’organizzazione, ma soprattutto nelle strutture dell’utilizzatrice – e la finalità di tale trattamento è quella di tutelare il patrimonio aziendale, allora per tali dati personali del lavoratore l’azienda utilizzatrice sarà considerabile titolare del trattamento. Questo perché, in siffatto caso specifico, l’azienda determina autonomamente le finalità del trattamento da effettuare, senza nessun tipo di interferenza o connessione con l’Agenzia di somministrazione del lavoro.
Lo stesso, però, non si potrà dire ad esempio, per altre tipologie di trattamento, le quali dovrebbero avere una base giuridica su cui fondarsi e una finalità determinata dall’Azienda Utilizzatrice. Se queste due condizioni non possono essere soddisfatte considerando l’Azienda Utilizzatrice quale titolare autonomo, allora l’unica ipotesi plausibile è quella di considerarlo invece responsabile del trattamento.
Questo impianto, quindi, farebbe confluire nel medesimo soggetto due diversi ruoli “privacy”, a seconda della tipologia di trattamento che esso andrà a compiere.
Conclusioni
Alla luce di quanto esposto, a parere degli scriventi, sembra chiaro che sia necessario un intervento sul punto del legislatore, oltre che del Garante per la protezione dei dati personali: tale prospettiva sarebbe l’unica in grado di porre fine alle divergenze interpretative sul tema e a conferire certezza dei rapporti in casi delicati come quello appena esposto. Sebbene, infatti, i principi e gli adempimenti da seguire in materia di protezione dei dati personali siano contenuti nel Regolamento UE 679/2016, quest’ultimo – come per altri temi e casi specifici – risulta essere poco dettagliato e generico, e il contestuale “silenzio” delle Autorità Competenti lascia tutt’ora un velo di incertezza che è necessario scoprire al più presto.