Informativa 22/2019 – Trattamento dei dati personali dei propri clienti e dei dipendenti di questi ultimi

Informativa 22/2019 – Trattamento dei dati personali dei propri clienti e dei dipendenti di questi ultimi

1 Premessa

La presente Circolare analizza il ruolo assunto dal soggetto che tratta, da un lato, i dati personali dei propri dipendenti ovvero dei propri clienti (persone fisiche), dall’altro, i dati personali dei di­pen­denti dei propri clienti.

Sul punto, è intervenuto il Garante per la protezione dei dati personali, che, nel parere 22.1.2019, ha illustrato il quadro normativo in materia precisando il ruolo, in particolare, del consulente del lavoro. Secondo il Garante, per il consulente del lavoro si configura la qualifica di:

  • titolare del trattamento dei dati, qualora tratti i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista, attività fiscal­­mente e normativamente regolamentata;
  • responsabile del trattamento dei dati, qualora tratti i dati dei dipendenti dei pro­pri clienti, assolvendo adempimenti in materia di lavoro, previdenza ed assi­stenza sociale affidati dal datore di lavoro.

Tali considerazioni, però, possono valere, in linea più generale, anche rispetto agli altri profes­sio­ni­sti, quali commercialisti e avvocati per i rispettivi ambiti e adempimenti, che si trovino a trattare i medesimi dati nell’ambito di processi di progressiva esternalizzazione da parte del titolare del trattamento.

2 Ambito soggettivo nel trattamento dei dati

Il regolamento UE 27.4.2016 n. 679 (GDPR – General Data Protection Regulation), relativo alla pro­­te­zione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che ha abrogato la direttiva CE 24.10.95 n. 46, e il codice della privacy (di cui al DLgs. 196/2003), così come modificato dal DLgs. 101/2018, hanno previsto i seguenti soggetti coinvolti nel trattamento dei dati personali:

  • il titolare del trattamento dei dati personali;
  • il responsabile del trattamento dei dati personali;
  • il rappresentante nell’Unione europea del titolare/responsabile del trattamento dei dati personali stabilito al di fuori dell’Unione europea;
  • le persone autorizzate al trattamento dei dati;
  • il responsabile della protezione dei dati personali (RPD o “Data Protection Officer” – DPO);
  • l’interessato;
  • il destinatario;
  • il terzo.

 

Regolamento UE 27.4.2016 n. 679 – Soggetti coinvolti nel trattamento dei dati
art. 4 Interessato
(n. 1)
La definizione di “interessato” viene collegata dal regolamento a quel­la di “dato per­so­na­le”, inteso come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”.

A tal fine, si considera “identificabile” la persona fisica che può essere identificata, diret­ta­mente o indirettamente, con particolare riferimento ad uno dei seguenti elementi:

·       il nome;

·       un numero di identificazione;

·       i dati relativi all’ubicazione;

·       un identificativo on line;

·       uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Regolamento UE 27.4.2016 n. 679 – Soggetti coinvolti nel trattamento dei dati
segue Titolare del trattamento
(n. 7)
È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unio­ne europea o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unio­ne europea o degli Stati membri.

 

Si configura l’ipotesi di contitolarità del trattamento qualora due o più titolari del trattamento determinano congiuntamente finalità e mezzi del trattamento (art. 26 del regolamento).

Responsabile del trattamento (n. 8) È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

 

Ai fini della nomina da parte del titolare del trattamento, il responsabile del trattamento deve presentare “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’inte­res­sato” (art. 28 par. 1 del regolamento).

Il responsabile del trattamento può ricorrere a un altro respon­sa­bile, purché vi sia una preventiva autorizzazione scritta, specifica o generale, del titolare del trattamento. I trattamenti da parte di un responsabile devono essere disciplinati da un contratto o da altro atto giuridico (art. 28 par. 2 e 3 del regolamento).

Destinatario
(n. 9)
È la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.

Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati per­­sonali nell’ambito di una specifica indagine conformemente al diritto dell’Unio­ne europea o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.

Terzo (n. 10) È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.
Rappresentante dell’Unione europea
del titolare/
responsabile del trattamento stabilito
al di fuori dell’Unione europea
(n. 17)
È la persona fisica o giuridica stabilita nell’Unione europea che, designata dal titolare o dal responsabile del trattamento per iscritto, li rappresenta per quanto riguarda gli obblighi rispettivi stabiliti dal regolamento.

La nomina del rappresentante dell’Unione europea avviene nel caso di trat­tamento dei dati personali di interessati che si trovano nell’Unione europea, effettuato però da un titolare o da un responsabile del trattamento che non sia stabilito nell’Unione europea, quando le attività di trattamento riguardino (art. 3 par. 1 del regolamento, richiamato dall’art. 27 par. 1):

·       l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unio­ne europea, indipendentemente dall’obbligatorietà di un pagamento dell’in­teressato;

·       il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione europea.

 

Tale obbligo è escluso nei seguenti casi (art. 27 par. 2 del regolamento):

 

Regolamento UE 27.4.2016 n. 679 – Soggetti coinvolti nel trattamento dei dati
segue   ·       dal punto di vista oggettivo, per il trattamento occasionale, se non include il trat­ta­men­to, su larga scala, di categorie particolari di dati o di dati personali relativi a condanne penali e a reati (artt. 9 e 10 del regola­men­to), ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell’am­­bito di applica­zione e delle finalità del trattamento;

·       dal punto di vista soggettivo, per le Autorità pubbliche o gli organismi pubblici.

Artt. 37 – 39 Responsabile della protezione dei dati
personali
(RPD o “Data
Protection
Officer
” – DPO)
La nomina del responsabile della protezione dei dati, da parte del titolare e del respon­sa­bile del trattamento dei dati, è obbligatoria per:

·       l’Autorità pubblica o l’organismo pubblico (salvo il trattamento dei dati sia effet­tua­to dalle Autorità giurisdizionali nell’esercizio delle funzioni giurisdizionali);

·       tutti i soggetti la cui attività principale consista in trattamenti che, per la loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

·       tutti i soggetti la cui attività principale consista nel trattamento, su larga scala, di categorie particolari di dati personali e i dati relativi a condanne penali e reati (artt. 9 e 10 del regolamento).

 

Il RPD viene designato anche in relazione ai trattamenti di dati personali effettuati dalle Autorità giudiziarie nell’esercizio delle loro funzioni secondo quanto prescritto dal regolamento (art. 2-sexiesdecies del codice della
privacy).

 

Quanto ai compiti, al responsabile della protezione dei dati devono essere attribuiti almeno i seguenti (art. 39 par. 1 del regolamento):

·       informare e fornire consulenza al titolare del trattamento o al responsa­bi­le del trattamento, oltre che ai dipendenti che eseguono il trattamento, sugli obblighi derivanti dal regolamento e da altre disposizioni dell’Unio­ne europea o degli Stati membri relative alla protezione dei dati;

·       sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unio­ne europea o degli Stati membri relative alla protezione dei dati, delle politiche del titolare del trat­tamento o del responsabile del trattamento in materia di protezione dei dati per­so­nali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la for­ma­zione del personale, che partecipa ai trattamenti e alle connesse attività di controllo;

·       fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla prote­zio­ne dei dati e sorvegliarne lo svolgimento;

·       cooperare con l’Autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento (tra cui la consultazione preventiva ai sensi dell’art. 36 del regolamento) ed effettuare, se del caso, consultazioni relativamente a qua­lun­­­que altra questione.

3 Differenze fra responsabile e titolare del trattamento

In linea di continuità con la previgente disciplina, il regolamento distingue il ruolo di ti­to­la­re da quello di responsabile del trattamento rispetto:

  • da un lato, alla definizione in auto­nomia di finalità e mezzi di trattamento dei dati;
  • dall’altro, allo svolgimento di attività delegate dal titolare del trattamento stesso.

Sull’argomento è intervenuto il Garante della privacy con il parere 22.1.2019, reso in risposta a un quesito posto dal Consiglio nazionale dei Consulenti del Lavoro.

Il professionista, nel caso di trattamento dei dati dei propri clienti (o dipendenti), è diret­tamente il titolare del trattamento di tali dati, in quanto lo stesso esercita un potere decisionale del tutto autonomo e indipendente:

  • determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi riguardanti la gestione della propria attività;
  • non limitandosi ad effettuare un’attività meramente esecutiva di trattamento, cioè “per conto” del cliente.

Il professionista, invece, nel caso di trattamento dei dati dei dipendenti dei propri clienti, è il responsabile del trattamento di tali dati, in quanto la sua attività è connessa allo svolgimento di attività delegate dal titolare.

È, infatti, il titolare del trattamento che, alla luce del concreto contesto nel quale avviene il trat­tamento, assume le decisioni relative a finalità e modalità di un trattamento. Lo stesso decide, poi, all’esito di proprie scelte organizzative, di individuare il responsabile come soggetto parti­co­larmente qualificato allo svolgimento delle suddette attività delegate:

  • delimitando così l’ambito delle rispettive attribuzioni;
  • fornendo specifiche istruzioni sui trattamenti da effettuare.

Distinta, poi, dalla figura del responsabile del trattamento è quella di soggetto autorizzato al trat­tamento, in quanto lo stesso opera sotto la diretta autorità del titolare o del responsabile del trattamento, in base alle istruzioni impartite e senza alcun margine di autonomia nel trattamento (art. 29 del regolamento e art. 2-quaterdecies del codice della privacy).

3.1 Esternalizzazione delle attività e Trattamenti “delegati”

L’or­di­naria gestione degli obblighi derivanti dalla disciplina di settore e/o dal contratto ap­pli­ca­bile (individuale o collettivo) viene affidata sempre più spesso dal datore di lavoro a soggetti esterni nell’am­bito di processi di progressiva e più generale esternalizzazione di alcuni segmenti dell’attività di impresa.

In tale ambito possono essere ricompresi:

  • l’elaborazione e predisposizione delle buste paga;
  • la gestione dei trattamenti relativi all’assunzione e a quelli di fine rapporto;
  • la gestione degli adempimenti previsti dalla disciplina previdenziale ed assisten­zia­le.

Lo svolgimento di tali attività comporta l’utilizzo di professionalità esterne, coinvolgendo il flusso, mediante il trattamento, di una pluralità di dati personali anche sensibili relativi ai lavoratori, come ad esempio:

  • i dati identificativi;
  • i dati relativi a qualifica e carriera;
  • i dati sanitari;
  • i dati relativi all’adesione a organizzazioni sindacali.

In tale contesto, il datore di lavoro può fornire anche:

  • i criteri in base ai quali attribuire progressioni economiche e giuridiche;
  • informazioni per:
  • l’erogazione di somme “una tantum”, premi di produttività e/o di presenza;
  • la decurtazione di somme a seguito di provvedimenti disciplinari;
  • il compimento degli atti relativi all’instaurazione o all’interruzione del rapporto di lavoro.

Di seguito si riportano le definizioni correlate a “dato personale” e “trattamento”.

 

Regolamento UE 27.4.2016 n. 679 – Trattamento dei dati personali e definizioni
Dato
personale
Si veda quanto già riportato con riguardo al soggetto “interessato” al trattamento
(art. 4 n. 1).
Trattamento Si tratta di qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come (art. 4 n. 2):

·       la raccolta;

·       la registrazione;

·       l’organizzazione;

·       la strutturazione;

·       la conservazione;

·       l’adattamento o la modifica;

·       l’estrazione;

·       la consultazione;

·       l’uso;

·       la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione;

·       il raffronto o l’interconnessione;

·       la limitazione;

·       la cancellazione o la distruzione.

Categorie particolari
di dati
Si tratta di dati idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica, di dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 9).

Si intende per:

·       dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione (art. 4 n. 13);

·       dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici (art. 4 n. 14);

·       dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4 n. 15).

Dati personali relativi a
condanne penali e reati
Si tratta dei dati c.d. “giudiziari”, cioè quelli idonei a rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato (si veda l’art. 10).

Basi giuridiche del trattamento nell’ambito del rapporto di lavoro

La raccolta delle informazioni e l’ulteriore trattamento dei dati dei lavoratori da parte del datore di lavoro avvengono in base al contratto e alla normativa applicabile (basi giuridiche del trattamento nell’ambito del rapporto di lavoro).

Pertanto, il trattamento dei dati relativi ai lavoratori da parte del professionista che svolge le attività esternalizzate avviene mediante l’uso di dati già raccolti dal datore di lavoro nel perseguimento di finalità legittime, oltre che in base a criteri e direttive impartite da quest’ultimo circa la gestione del rapporto di lavoro sottostante (si vedano anche le FAQ della Commissione europea su “Cosa sono il titolare del trattamento e il responsabile del trattamento?”, disponibili sul sito https://ec.europa.eu/).

3.2 Ruolo del consulente del lavoro e degli altri professionisti “delegati”

Secondo il Garante della privacy, nell’ambito di tale ricostruzione rientrano anche le prestazioni svolte dal consulente del lavoro e, come visto anche dagli altri professionisti, come commercialisti ed avvocati, che svolgono gli adempimenti in materia di lavoro, previdenza ed assistenza sociale affidati all’esterno dal datore di lavoro.

Ai sensi, infatti, dell’art. 1 co. 1 della L. 11.1.79 n. 12, “tutti gli adempimenti in materia di lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, quando non sono curati dal datore di lavoro, direttamente od a mezzo di propri dipendenti, non possono essere assunti se non da coloro che siano iscritti nell’albo dei consulenti del lavoro a norma dell’articolo 9 della presente legge, salvo il disposto del successivo articolo 40, nonché da coloro che siano iscritti negli albi degli avvocati e procuratori legali, dei dottori commercialisti, dei ragionieri e periti commerciali, i quali in tal caso sono tenuti a darne comunicazione agli ispettorati del lavoro delle province nel cui ambito territoriale intendono svolgere gli adempimenti di cui sopra”.

Più nel dettaglio, la base giuridica che legittima il trattamento da parte del professionista dei dati personali re­la­tivi ai:

  • propri clienti, cioè il datore di lavoro che gli trasmette i dati dei suoi dipendenti, è rinvenibile direttamente in capo al professionista quale titolare del trattamento nell’esecuzione del contratto (art. 6 par. 1 lett. b) del regolamento);
  • dipendenti del datore di lavoro, come cliente del professionista, è rinvenibile in capo al cliente stesso, quale titolare del trattamento, il quale, in virtù del contratto di designazione del professionista a responsabile del trattamento, trasferisce la legittimità del trattamento alle operazioni svolte dal medesimo; ciò vale anche per i dati sensibili (art. 9 par. 2 lett. b) del regolamento); l’atto di designazione deve essere stipulato in maniera concorde dalle parti, tenendo in considerazione i compiti in concreto affidati, il contesto, le finalità e le modalità del trattamento, senza ricorrere a modelli non aderenti alle circostanze del caso concreto o imposti unilateralmente.

Si segnala, infine, che il professionista che opera come responsabile del trattamento:

  • può avvalersi di collaboratori di propria fiducia che, rispetto alle concrete opera­zioni di trattamento affidate, possono configurarsi come:
  • soggetti autorizzati al trattamento, in quanto operano sotto la sua diretta autorità e in base alle istruzioni impartite dal responsabile del trattamento;
  • subresponsabili del trattamento, qualora sia demandata l’esecuzione di specifiche attività di trattamento per conto del titolare;
    • ha un apprezzabile margine di autonomia (e correlativa responsabilità) nell’in­di­vi­dua­zione dei sistemi e delle misure idonee a garantire la sicurezza dei dati gestiti nei propri archivi.

 

You May Also Like