GDPR – Il Consulente del lavoro trova pace?

di Andrea Merati – Consulente sistemi di gestione aziendale

Mentre l’Information Security & Privacy della School of Management del Politecnico di Milano riferisce che solo il 23% delle imprese italiane si è adeguata al GDPR, il Garante della protezione dei dati personali produce, con tempestività inaudita, una precisazione che riguarda i Consulenti del lavoro.

Il suddetto si è pregiato di precisare ruolo e responsabilità dei Consulenti del lavoro nel trattamento dei dati personali della clientela, identificandoli come Responsabili del trattamento quando trattano i dati dei dipendenti dei propri clienti, in esecuzione del mandato ricevuto.

Esortato dal Consiglio Nazionale dei Consulenti del lavoro e da una nutrita sequela di richieste dirette dei professionisti, il Garante ricorda che il Regolamento EU n. 679/2016 identifica nel Titolare del trattamento il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e nel Responsabile colui che “tratta dati personali per conto del titolare del trattamento”.

Per questo motivo i Consulenti del lavoro sono Titolari quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti nel caso in cui siano persone fisiche, determinando precisamente finalità, modalità e mezzi del trattamento. Sono invece Responsabili, quando trattano i dati dei dipendenti dei loro clienti sulla base del mandato ricevuto.

Incamerata codesta indicazione, interessante per quietare certi animi ma poco operativa per coloro che già si erano preoccupati di adempiere alla normativa continentale e nazionale, risulta interessante anche altro che possiamo incontrare al punto 5 del documento (nella sua esauriente completezza si trova qui: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9080970).

Il Garante ci conferma che i collaboratori, non dipendenti (come rappresentato dal Consiglio dell’Ordine nella nota del 3 dicembre 2018), potranno assumere in concreto il ruolo di subresponsabili, qualora sia loro demandata “l’esecuzione di specifiche attività di trattamento per conto del titolare”.

Il documento si chiude senza saluti ma con una indicazione che può essere problematica: “Al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati (oppure anonimizzati) e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico”.

Ciò significa che se il Consulente, per qualsiasi evenienza o prudenza, dovesse preferire una conservazione più lunga, ciò sarà bene che venga precisato nell’incarico.

Chiudo ellitticamente riprendendo lo studio del Politecnico che, ancora, conferma questioni già espresse ma non sempre condivise. La principale vulnerabilità dei dati è costituita dal comportamento umano: per l’82% delle imprese la prima criticità risiede in distrazione e scarsa consapevolezza dei dipendenti, seguita da sistemi informatici obsoleti o eterogenei (41%) e da aggiornamenti e patch non effettuati regolarmente (39%).

Preleva l’articolo completo in pdf