Il trattamento dei dati personali che afferiscono i prestatori di lavoro rappresenta una tematica che, soprattutto nell’ultimo periodo, sta assumendo rilevanza strategica nella data governance e nella data protection. Le innovazioni tecnologiche e l’introduzione di specifiche previsioni normative, oltre a quelle già note ai tecnici del settore, richiedono un costante aggiornamento ed una elevata preparazione tecnica. Inoltre, la convivenza di compositi diritti ed interessi legittimi, che per le caratteristiche proprie del rapporto e del sinallagma contrattuale sono contrapposti, contraddistingue questo trattamento dei dati personali configurandolo come un trattamento ‘speciale’.
Trattamenti di dati personali in ambito di lavoro effettuati da soggetti esterni: non solo responsabilità, ma anche opportunità per il consulente del lavoro
Muovendo da queste premesse è evidente come il Consulente del Lavoro rappresenti una figura chiave nella gestione della privacy delle risorse umane e forse, a parere di chi scrive, una tra le figure ‘legittimate’ a queste funzioni, atteso – anche – il ruolo pubblicistico di terzietà tra datori di lavoro e lavoratori.
Tenuto conto di quanto precede il consulente del lavoro potrà quindi assumere diversi ruoli in base alla concreta attività svolta; ovvero potrà essere titolare, contitolare o responsabile del trattamento, oppure offrire consulenza in materia di privacy.
Con riguardo alle prime due funzioni che, all’alba dell’applicazione del regolamento privacy, hanno creato sin da subito dubbi interpretativi l’Autorità Garante ha precisato in quali casi il CDL rivestirà ruolo di titolare e quando invece quello di responsabile. Tale precisazione è confluita nella risposta all’interpello proposto dal Consiglio Nazionale dei Consulenti del Lavoro pubblicato in data 22 gennaio 2019 (Doc. Web. 9080970).
Infatti, nel primo caso, qualora determinasse le finalità e i mezzi del trattamento dei dati del cliente, agendo in piena autonomia e indipendenza, per il perseguimento delle finalità attinenti alla gestione della propria attività egli ricoprirà il ruolo di titolare del trattamento. Invece, nella seconda ipotesi, qualora il trattamento sia semplicemente delegato dal titolare il quale, all’esito di proprie scelte organizzative individua nel CDL un soggetto particolarmente qualificato allo svolgimento delle stesse, saremo nell’ambito di operatività del ruolo di responsabile del trattamento dei dati personali.
Dunque, sarà necessaria una valutazione sostanziale, e non meramente formale, del trattamento effettivamente svolto dal consulente del lavoro per poter determinare se ci troviamo nell’ambito di operatività dell’uno o dell’altro caso, anche per determinare la corretta base giuridica a fondamento del trattamento dei dati.
L’ulteriore funzione che il CDL può ricoprire è quella della consulenza privacy che potrà assumere aspetti variegati in base ai ruoli che il Consulente del lavoro deciderà di accettare, in relazione a quelle che sono le richieste del mercato e della filiera della privacy.
Sicuramente, tra i primi posti troviamo il ruolo del privacy officer da intendersi come professionista che eroga servizi relativi alla corretta applicazione della disciplina privacy e giuslavoristica in relazione, anche, agli ulteriori processi aziendali.
Troviamo poi la figura del privacy auditor con ruolo di professionista indipendente che si occuperà di condurre le attività di verifica sulla compliance dei trattamenti di dati personali effettuati dalla azienda cliente.
Segue poi la figura del formatore privacy che – considerata la formazione obbligatoria ex lege – risulta fondamentale non solo per adempiere agli obblighi normativi ma per tutte quelle aziende che puntano su un know-how aziendale costantemente aggiornato circa l’andamento del mercato e le innovazioni tecnologiche.
Va, infine, segnalata la figura del data protection officer (DPO o RPD) disciplinata all’art. 39 del GDPR, che senza ombra di dubbio può essere svolta dal consulente del lavoro considerato quanto sopra indicato.
Una ulteriore precisazione va fatta sul valore aggiunto che il CDL apporterà alla propria consulenza in ambito privacy considerate le norme deontologiche e professionali che disciplinano l’attività professionale. Infatti, la garanzia di una elevata qualità della consulenza sarà fornita, a titolo esemplificativo, dall’obbligo di assumere gli incarichi solo se possono essere svolti in maniera competente (art.9, Cod. Deont.) o dal segreto professionale (art. 25, Cod. Deont. e art. 622, C.P.).
Dunque, le opportunità relative alla consulenza privacy qui segnalate possono rappresentare uno stimolo per la crescita professionale dei consulenti del lavoro che potranno arricchire il ventaglio di offerta destinato alla propria clientela.
A cura di Angelo Lo Bello