La posizione dei Consulenti del lavoro nel trattamento dei dati pone dilemmi sul ruolo che questi professionisti assumono alla luce del GDPR, soprattutto relativamente alla loro autonomia. Con nota del 7 febbraio 2019 il Garante della Privacy, rispondendo ad un quesito del Consiglio Nazionale dei Consulenti del lavoro, ha chiarito in quali casi questi professionisti possano considerarsi titolari autonomi del trattamento dei dati ed in quali casi invece siano responsabili esterni.
La risposta del Garante segue la nota diffusa nel settembre 2018 (nr. 1150/2018) dal Consiglio Nazionale dei Consulenti del Lavoro, nella quale si valorizzava, correttamente, l’autonomia del trattamento effettuato da questi professionisti, salvo poi scivolare nella indesiderabile ipotesi di co-titolarità fra cliente e consulente del lavoro, senza dare indicazioni sulla preferenza fra le due ipotesi proposte (titolarità autonoma e contitolarità), lasciando così i consulenti in una situazione, se possibile, più confusa di prima. Occorre dunque fare chiarezza nella normativa per precisare la posizione di questi professionisti.
Dati del cliente e di altri soggetti
La questione evidentemente non riguarda il trattamento, da parte del Consulente del Lavoro, relativo ai dati personali dei propri clienti (il Consulente sarà titolare del trattamento e fornirà adeguata informativa al cliente in sede di conferimento dell’incarico), ma piuttosto il caso in cui il Consulente tratti dati, anche appartenenti a categorie particolari, che gli sono forniti dal cliente ma si riferiscono a diversi soggetti, tipicamente i dipendenti dell’azienda assistita. Il Garante interviene scartando con decisione, in quest’ultimo caso, l’ipotesi della contitolarità, come era logico aspettarsi, e quindi si confronta sulla vera questione, ovvero se questi professionisti siano titolari autonomi del trattamento che effettuano ovvero siano responsabili esterni del trattamento ai sensi dell’art. 28 Reg. UE 2016/679. Entrambe le soluzioni presentano però rilevanti problemi di natura pratica. Se il rapporto fra Datore di Lavoro e Consulente del Lavoro venisse qualificato come titolare/responsabile, è innegabile la necessità di alcune forzature della normativa GDPR per incasellare correttamente i ruoli rispettando l’autonomia della professione intellettuale coinvolta.
Una nomina generalizzata del consulente quale responsabile esterno da parte di tutti i clienti datori di lavoro è infatti ardua da gestire, se non altro perché un contratto rigoroso che regoli i rapporti fra titolare e responsabile impone dei controlli e verifiche periodiche da parte del titolare (esplicitamente citate dall’ormai abrogato art. 29 co. 5 D.Lgs. 196/2003), altrimenti perde di senso l’onere, in capo al titolare, di verificare che il responsabile presenti “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” di cui all’art. 28 par. 1 GDPR.
Il passato: la posizione di WP29 e ICO
Coerentemente l’art. 28, par. 3 lett. h del Reg. UE 2016/679 impone al responsabile di: “Mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato”. Immaginare una simile ingerenza da parte del titolare è in effetti inverosimile, ed infatti sia il WP29 (gruppo di lavoro delle autorità garanti della privacy attivo negli anni Novanta) che l’ICO (omologo inglese del Garante della Privacy) avevano preso posizione, prima dell’entrata in vigore del GDPR, per l’autonomia del trattamento di simili figure, individuate quali titolari.
La logica era quella di evitare, per il cliente, che di fatto non ha le competenze per comprendere le modalità del trattamento effettuato dal consulente (del resto è proprio per tale motivo che una simile attività viene esternalizzata), potesse essere chiamato a rispondere per le violazioni commesse dal professionista. L’ICO affermava infatti, nel 2014 e con riferimento alla figura del tax accountant, che: “Where specialist service providers are processing data in accordance with their own professional obligations they will always be acting as the data controller and cannot agree to hand over or share data controller obligations with the client in this context”. É quindi la natura dell’attività che qualificava la posizione del consulente. Se si tratta di una professione intellettuale specialistica e regolamentata, non potremo avere una situazione subordinata del tipo titolare/responsabile, ma avremo invece due titolari autonomi.
Il WP29 assumeva una posizione simile nel Parere 1/2010 sui concetti di Titolare del trattamento e Responsabile del trattamento, parere peraltro citato anche dal Garante della Privacy nella sua nota del 7 febbraio scorso. Il WP29 afferma che solamente nel caso in cui un accountant sia di fatto assunto da un’impresa e soggetto a dettagliate istruzioni da parte della stessa, questo può essere considerato un data processor: “La qualifica degli accountant può variare a seconda del contesto. Quando forniscono servizi al pubblico in generale e ai piccoli commercianti sulla base di istruzioni molto generali (“Preparare la mia dichiarazione dei redditi”), allora – come nel caso di avvocati che agiscono in circostanze simili e per ragioni analoghe – gli accountant saranno responsabili del trattamento dei dati. Tuttavia, se un accountant è assunto da una società e soggetto alle istruzioni dettagliate dell’accountant interno, magari per effettuare un audit dettagliata, in generale, se non è un dipendente fisso, sarà un incaricato del trattamento, a causa della chiarezza delle istruzioni e del conseguente limitato margine di discrezionalità. Tuttavia, ciò è soggetto ad un’avvertenza importante, ossia che, qualora ritengano di aver rilevato irregolarità che sono tenuti a segnalare, in quel caso a causa degli obblighi professionali che hanno, stanno agendo indipendentemente come responsabili”.
Sono quindi le dettagliate istruzioni del cliente che fondano (o fondavano), secondo il Working Party, una relazione titolare/responsabile, con conseguente estensione della responsabilità per le attività del consulente al suo cliente.
L’articolo 28 del GDPR
Ulteriore problematica è costituita dalla disposizione di cui all’art. 28 par. 3 lett. a del GDPR, che prevede che il responsabile “tratti i dati personali soltanto su istruzione documentata del titolare del trattamento”. Questa disposizione tratteggia con estrema chiarezza chi è, nelle intenzioni del legislatore comunitario, il responsabile, ovvero un esecutore materiale di ordini del titolare. Si tratta di una disciplina del tutto incompatibile con l’autonomia che necessariamente caratterizza l’attività intellettuale di un consulente del lavoro, così come di un commercialista o di un avvocato.
Va poi ricordato che l’art. 28 par. 1 GDPR impone al responsabile di “non ricorrere a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento”. Sul punto sembra abbastanza evidente che l’organizzazione del lavoro di un professionista non possa soggiacere ai diktat di un cliente (tutti i clienti dovrebbero, in tesi, prestare espressa autorizzazione nel caso in cui il consulente voglia variare il fornitore del proprio gestionale in cloud). I sostenitori dell’autonomia del trattamento effettuato dai professionisti affermano che l’art. 28 Reg. UE 2016/679 è costruito per attività di trattamento effettuate per conto di un altro soggetto, mentre i professionisti non effettuerebbero attività di trattamento per conto del titolare, quanto piuttosto una prestazione professionale intellettuale che, a livello ancillare, comporta il trattamento di dati ed evidenziano come l’inquadramento del Consulente del Lavoro nel novero dei responsabili mal si concili con gli impegni cui è tenuto lo stesso Consulente a mente delle disposizioni del Codice Deontologico di riferimento (indipendenza, riservatezza e segretezza).
D’altro canto è ben intuibile quale sia la problematica se invece il Consulente del Lavoro dovesse essere considerato come titolare autonomo. In tal caso, infatti, il Consulente dovrebbe fornire ai soggetti di cui tratta i dati l’informativa ex art. 14 Reg. UE 2016/679, che impone al titolare che non abbia raccolto i dati direttamente dall’interessato di comunicare a quest’ultimo l’informativa entro un termine ragionevole. Il problema è aggravato, nel caso dei Consulenti del lavoro, anche dal fatto che questi trattano anche dati appartenenti a categorie particolari dei dipendenti del cliente, con ciò essendo necessario l’assenso degli interessati nel caso di inquadramento del Consulente come titolare autonomo del trattamento.
La decisione del Garante
Entrambe le soluzioni per risolvere il problema dell’inquadramento dei Consulenti del Lavoro, all’atto pratico, comportano quindi e comunque delle forzature alla normativa. Se si optasse per la qualificazione del Consulente del Lavoro come titolare autonomo sarebbe necessario “spostare” sul cliente l’onere di informativa e di raccolta del consenso da parte dei dipendenti ovvero esentarne i Consulenti in forza delle disposizioni in tema di segreto professionale (art. 6 L. 12/79 e art. 6 del Codice Deontologico). Se si optasse invece per la qualificazione del Consulente del Lavoro come responsabile del trattamento sarebbe necessario evidenziarne i profili di autonomia e smorzare il disposto di cui all’art. 28 par. 1 del GDPR (divieto di nomina di subresponsabili in assenza di autorizzazione) nonché di cui all’art. 28 par. 3 del GDPR (necessità di istruzioni documentate).
Il Garante sceglie, nella nota del 7 febbraio scorso questa seconda strada e afferma che, nel caso in cui il Consulente del Lavoro tratti dati dei dipendenti del cliente: “Occorre fare riferimento alla figura del responsabile, che, anche in base alla nuova disciplina pienamente in vigore nel nostro ordinamento a far data dal 25 maggio 2018 rimane connotata dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse (in termini di conoscenze specialistiche, di affidabilità, di struttura posta a disposizione, v. considerando 81, Reg. cit.), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare. Il titolare pertanto è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, assume le decisioni di fondo relative a finalità e modalità di un trattamento lecitamente effettuato in base ad uno dei criteri di legittimazione individuati dall’ordinamento (v. artt. 6 e 9 del Regolamento)”.
Il Garante legge quindi nel Reg. UE una sensibile innovazione circa la figura del responsabile del trattamento, che si adatterebbe ora anche a soggetti particolarmente qualificati, e prosegue infatti affermando che: “L’articolo 28 del Regolamento (UE) 679/2016 ha semmai, rispetto alla disciplina previgente, precisato e delimitato i compiti che possono essere attribuiti dal titolare al responsabile, individuando espressamente l’ambito delle rispettive responsabilità e gli obblighi di cooperazione cui è tenuto il responsabile esclusivamente in funzione delle attività svolte per conto del titolare (v. artt. 30, 33, par. 2 e 82 del Regolamento)”.
Ci si permette di evidenziare che un probabile corollario di questa presa di posizione del Garante sia l’alleggerimento della lettura dell’art. 30 par. 2 Reg. UE 2016/679 che impone al responsabile di tenere un registro di: “Tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento”. Pensare ad un professionista che opera in autonomia e tiene tanti registri quanti sono i suoi clienti rende la misura della complessità dell’adempimento. Si deve quindi ipotizzare la tenuta di un registro unico per tutti i clienti (titolari) che inviano dati relativi a terzi al responsabile e che subiscono un trattamento “standard” da parte del responsabile quanto a modalità, tempistiche e fini. Il vantaggio della soluzione adottata dal Garante sta nel fatto che il Consulente non dovrà preoccuparsi di fornire l’informativa e di raccogliere il consenso dei dipendenti del cliente al suo trattamento dati, come ben evidenzia la nota: “Qualora il consulente del lavoro agisca in veste di responsabile del trattamento, la base normativa che legittima il trattamento dei dati personali, anche “sensibili” riguardanti i clienti del datore di lavoro va individuata in capo al suo cliente (ovverosia il datore di lavoro/titolare) ai sensi dell’art. 9, par. 2, lett. b), del Regolamento: infatti, la legittimità del trattamento si “trasferisce” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento”.
Il responsabile esterno autonomo
Il Garante quindi, come da copione, richiama i profili di autonomia del responsabile del trattamento sotto il regolamento GDPR (tanto che qualche commentatore ha parlato della introduzione, con questo provvedimento, della nuova figura del “responsabile esterno autonomo”) ed afferma che: “Il regolamento ha inoltre attribuito direttamente al responsabile del trattamento compiti specifici in ordine alla individuazione e predisposizione delle idonee misure di sicurezza adeguate al rischio, attraverso misure tecniche ed organizzative (v. art. 32 del Regolamento). Al consulente che operi in qualità di responsabile del trattamento è dunque attribuito un apprezzabile margine di autonomia (e correlativa responsabilità) nella individuazione dei sistemi e delle misure idonee a garantire la sicurezza dei dati gestiti nei propri archivi”. E si occupa anche di fornire un suggerimento pratico relativamente all’autorizzazione alla nomina di subresponsabili. Resta da domandarsi come questa autorizzazione anticipata e generale possa conciliarsi con gli obblighi di controllo in capo al titolare che, a questo punto, non sa nemmeno a chi vengano trasferiti i dati che mette in circolazione, salvo la garanzia (teorica) di una catena di controllo sempre più sbiadita. Nel leggere il provvedimento è poi interessante soffermarsi su alcuni punti chiave dell’interpretazione del Garante, che afferma come una simile problematica sarebbe superabile nel caso in cui l’attività di Consulenza fosse riservata ex lege ai Consulenti del Lavoro.
Nell’esaminare la legge che disciplina l’ordinamento della professione di consulente del lavoro (l. 11.1.1979, n. 12) il Garante afferma che: “Non pare pertanto condivisibile la (diversa) interpretazione volta ad attribuire il potere di attribuire ex lege “la competenza a provvedere agli adempimenti” in materia lavoristica alle categorie di professionisti (peraltro assai ampia) su indicata”. Ulteriore interessante profilo, che senz’altro causerà attriti, è quello della sorte dei dati al termine del rapporto professionale, con il Garante che ricorda che: “I dati contenuti negli archivi dovranno essere cancellati (oppure anonimizzati) e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico”. Va subito precisato che l’art. 28 par. 3 lett. g del Reg. UE 2016/679 subordina questa potestà di cancellazione/anonimizzazione al fatto che non esista una normativa che preveda la conservazione dei dati e che l’accordo delle parti potrebbe essere idoneo, in questi casi, a concedere una conservazione del dato anche per un congruo periodo successivo al termine del rapporto (ferma la potestà di trattenere il dato per tutelare un diritto in sede giudiziale).
Commercialisti e avvocati
La presa di posizione del Garante pone, infine, interessanti quesiti per le categorie professionali vicine a quella dei Consulenti del Lavoro, che spesso trattano dati di terzi su incarico dei clienti. Sul punto in direzione diametralmente opposta rispetto a quella fatta propria dal Garante si era infatti espresso nel maggio 2018 il Garante Europeo Buttarelli, affermando che i commercialisti non sarebbero responsabili esterni ma piuttosto titolari autonomi del trattamento. É però evidente che il ragionamento del Garante Privacy di cui alla nota in esame sia in buona parte estensibile ai commercialisti, con conseguente possibile inquadramento anche di tale categoria professionale fra i responsabili esterni nel caso in cui trattino dati dei dipendenti dei clienti.
Meno preoccupati gli avvocati, che da un lato svolgono in buona parte attività loro riservata dalla legge e che comunque non dovrebbero rendere l’informativa ex art. 14 Reg. UE 2016/679 in forza della peculiare rilevanza della disciplina circa il segreto professionale che li interessa. Su quest’ultimo punto si segnala l’interessante presa di posizione del Bar Council britannico (l’omologo del nostro Consiglio Nazionale Forense) che con nota dell’aprile 2018, ha evidenziato che i legali che operano in regime di libera professione che dovessero firmare contratti di nomina a responsabile esterno potrebbero essere passibili di sanzione per violazione delle norme deontologiche professionali (di indipendenza e di tenuta di appropriata documentazione dell’attività svolta).
