Il Garante per la privacy ha pubblicato nel documento web n. 9080970 pubblicato nella newsletter del 7 febbraio 2019, alcune precisazioni sulle responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, in particolare riguardo il trattamento dei dati dei dipendenti dei propri clienti.
Il documento ricorda innanzitutto che il nuovo Regolamento (UE) conferma la distinzione tra:
- "titolare" , cioè il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e
- "responsabile del trattamento dei dati", ovvero colui che “tratta i dati personali per conto del titolare del trattamento”.
Per questo motivo in riferimento alle procedure che coinvolgono i consulenti del lavoro questi professionisti saranno da considerare “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti come persone fisiche, come ad esempio i liberi professionisti,
Invece, nel trattamento dei dati dei dipendenti dei loro clienti, sono da considerare "responsabili" in quanto agiscono sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare ad es. predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali,
Posto che il grado di responsabilità attribuito dalla normativa alle due figure è diverso, il Garante ha comunque chiarito che i consulenti potranno individuare idonee misure di sicurezza sia tecniche che organizzative che consentono un certo margine di autonomia nel trattamento dei dati.
Da questo consegue però anche una adeguata corresponsabilità in caso di violazioni in materia.
