Quando il professionista deve essere nominato Responsabile del trattamento dei dati

di Stefano Bacchiocchi* 

Il Garante della Privacy, dopo l’approvazione del GDPR e, a seguire, del d.lgs. 101/2018, ha avuto modo di offrire precisazioni riguardo alla nomina e ai profili di responsabilità dei professionisti impegnati in tale ambito.In questo articolo esaminerò le criticità della nomina del responsabile del trattamento dei dati personali prevista dalla nuova normativa privacy. Torno sull’argomento (ne avevo già discusso su questa stessa rivista nel numero di settembre/ottobre 2018) in quanto è diventato di scottante attualità, soprattutto per chi si occupa di consulenza in tema di paghe e contributi.

Con la circolare 11560/2018, il Consiglio nazionale dell’ordine dei Consulenti del lavoro aveva consigliato ai propri iscritti che si occupano delle attività tipiche (consulenza su paghe e contributi ecc.) per conto dei propri clienti di non procedere a nomine in qualità di responsabili del trattamento; si riteneva infatti che il professionista dovesse essere configurato quale titolare autonomo del trattamento. In quella circolare, il consiglio nazionale affermava inoltre che tra cliente e professionista dovesse esserci, al più, un rapporto di contitolarità.

Per ottenere un parere definitivo, è stato posto al Garante della privacy il quesito dell’effettiva sussistenza della obbligatorietà per il professionista, nell’ambito dello svolgimento delle proprie attribuzioni, di essere nominato quale “responsabile del trattamento” da parte dei propri clienti ed aderire a format predeterminati in maniera unilaterale.

Il Garante, con il provvedimento del 22 gennaio 2019, ha avuto modo di rispondere ripercorrendo le definizioni mutuate dalla normativa privacy: il “titolare del trattamento” è il soggetto che, singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento dei dati personali; il “responsabile del trattamento”, invece, è il soggetto che tratta i dati personali per conto del titolare del trattamento.

Nella disamina di queste definizioni, il Garante ha deciso di portare l’attenzione sull’attività di chi si occupa di lavoro; esistono almeno due tipologie di attività di trattamento dei dati: quella dove il professionista agisce in autonomia ed indipendenza, determinando le finalità ed i mezzi del trattamento, e la tipologia in cui il consulente svolge attività delegate per conto dei propri clienti.

È infatti questa seconda tipologia ad essere più frequente negli studi, dove quindi il professionista deve essere nominato quale responsabile del trattamento dal proprio cliente.

In linea con quanto avevamo espresso su questa stessa rivista, nel numero citato, il Garante dà conferma che il cliente debba nominare chi si occupa di lavoro in qualità di responsabile del trattamento e che quest’ultimo debba essere adeguatamente strutturato ed ottemperante, a sua volta, alla normativa privacy.

Infatti, la maggior parte delle attività che pertengono all’ordinaria gestione, si pensi alla elaborazione dei cedolini paga, alle assunzioni, al trattamento di fine rapporto (Tfr), alle denunce contributive Inps, agli adempimenti Inail e così via, necessitano di informazioni di cui il consulente non può disporre come vuole e di cui non può definire autonomamente le finalità.

In base alla disciplina di riferimento è pur sempre il datore di lavoro ad affidare al professionista il relativo incarico e, peraltro, ciò non lo esime dall’assunzione della responsabilità prevista dall’ordinamento in caso di violazione degli obblighi posti in materia di lavoro, previdenza ed assistenza sociale.

In altre parole, il professionista ed i suoi collaboratori, per essere nominati quali responsabili del trattamento, dovranno essere obbligatoriamente formati in materia privacy e sono sottoposti alla disciplina del GDPR. In pratica, si dovrà dimostrare di aver fatto quanto necessario per formarsi e strutturarsi in maniera adeguata: mostrando attestati di partecipazione, nomine, contrattualistica ecc. e, non ultima, la nomina della figura del DPO che, pur essendo spesso non obbligatoria, è già stata più volte consigliata dal Garante.

Il Garante si sofferma anche sulla gestione dell’archivio informatico di studio: il responsabile del trattamento deve individuare e predisporre delle misure di sicurezza adeguate al rischio, adottando le misure tecniche ed organizzative tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Al termine del rapporto professionale, i dati dovranno essere cancellati (oppure anonimizzati) e/o consegnati al cliente.

Il professionista, allora, quando può definirsi titolare autonomo del trattamento? Quando agisce in autonomia ed indipendenza determinando le finalità ed i mezzi di trattamento, cioè quando non svolge attività delegata; ad esempio, sarà titolare del trattamento autonomo dei dati dei propri dipendenti e dei propri clienti (persone fisiche).

In ottica delle responsabilità e delle sanzioni che gravano sul professionista è indubbio che la relazione “titolare autonomo – cliente (o contitolare)” è più forte e gravosa rispetto a quella “responsabile del trattamento – cliente”. In estrema sintesi, il titolare autonomo risponderà dei danni e delle responsabilità riguardo ai trattamenti effettuati senza alcuna esclusione; mentre il responsabile nominato risponderà qualora non abbia correttamente adempiuto agli obblighi contrattuali. Come già ricordato nei precedenti articoli e, a maggior ragione, tenendo conto delle precisazioni espresse dal Garante, è assolutamente indispensabile redigere dei contratti scritti tra professionista “responsabile del trattamento” e cliente, che regolino le disposizioni in tema privacy. Il mio consiglio è che questi contratti di nomina siano già previsti all’interno del mandato professionale.

* Odcec Brescia