Il Garante per la privacy, in risposta ad alcuni quesiti, con documento web n. 9080970 del 22 gennaio 2019, ha precisato il ruolo e le responsabilità dei Consulenti del Lavoro nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, identificandoli come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti.
Il Regolamento (UE) 679/2016 conferma le definizioni di titolare e responsabile del trattamento, nelle quali il primo resta il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo colui che “tratta dati personali per conto del titolare del trattamento”. Pertanto, i Consulenti del Lavoro non possono esimersi dall’essere “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri clienti quando siano persone fisiche o giuridiche. Sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare. Sono i casi, ad esempio, dei Consulenti e società che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.
Il Garante ha chiarito, infine, che ai consulenti, pur in qualità di “titolari” del trattamento, vengono gravati di responsabilità anche con riguardo all’individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.
Si ritiene necessario pertanto che la GEPS sas e lo Studio si adoperino per provvedere ad adempiere a determinati obblighi attraverso la predisposizione di sistemi e impianti idonei a garantire la tutela dei dati personali trattati, in quest’ultimo caso (titolari) per cui esiste comunque un obbligo che si era ritenuto fino ad oggi non obbligatorio.