A seguito delle numerose interpellanze, presentate sia dal Consiglio Nazionale dei consulenti del lavoro che dai singoli professionisti, il Garante ha chiarito il ruolo del consulente del lavoro nel trattamento dei dati personali alla luce del GDPR.

L’Autorità per rispondere a tali quesiti ha specificato che “in via prioritaria occorre distinguere il segmento di attività in cui il consulente del lavoro tratta i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista, attività fiscalmente e normativamente regolamentata, dalla diversa attività (tipica di questo ordine professionale) per la quale il medesimo soggetto tratta i dati dei dipendenti del cliente”, alla luce di ciò ha ritenuto che il professionista sia da considerarsi:

  • “titolare del trattamento” quando opera “in piena autonomia e indipendenza, determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività”. In tali circostanze infatti “non si limita ad effettuare un’attività meramente esecutiva di trattamento, “per conto” del cliente, bensì esercita un potere decisionale del tutto autonomo sulle finalità e i mezzi del trattamento”;
  • “responsabile del trattamento” quando tratta i dati dei dipendenti dei suoi clienti a seguito dell’incarico da questi ricevuto, incarico contenente le istruzioni sui trattamenti da effettuare (come ad esempio la preparazione delle buste paga, delle pratiche di assunzione, etc.). Infatti, in tali circostanze, i dati trattati vengono raccolti dai datori di lavoro e gestiti dai consulenti a cui sono esternalizzati i servizi, “ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente”.

In chiusura il Garante ha comunque riconosciuto al consulente del lavoro, in qualità di “responsabile del trattamento”, un rilevante margine di autonomia, con correlate responsabilità, nell’individuazione e predisposizione dei sistemi e delle misure di sicurezza a protezione dei dati personali trattati.