Insieme ai commercialisti (e non è raro incontrare professionisti e studi che svolgono entrambe le attività), i consulenti del lavoro sono le figure più frequenti che le aziende utilizzano per delegare alcune “incombenze”, e per questo sono ottimi esempi di Responsabili del Trattamento (in questo caso, la gestione del personale). Si ricorda che la configurazione del Consulente del Lavoro come Responsabile del Trattamento è assodata secondo quanto riportato nel parere dell’Autorità Garante del 22 gennaio 2019.
I trattamenti
L’incarico principale del consulente del lavoro è quello dell’elaborazione delle buste paga. Per poter espletare questo compito, esso necessita di parecchie informazioni riguardanti i singoli dipendenti delle aziende clienti: presenze e orari di lavoro, permessi e giustificativi (inclusi quelli di mutua e relativi alla legge 104), appartenenza sindacale, eventuali permessi di soggiorno, dati sui familiari, etc; in casi più particolari, è possibile trovarsi ad avere accesso a dati giudiziari (per le posizioni per cui fossero obbligatori) ed anche nelle pratiche o semplici consulenze relative ai licenziamenti. ; in pratica tratta diverse categorie particolari di dati personali, nonché altre informazioni che possiamo definire “delicate”.
Inoltre, da non sottovalutare la necessità della comunicazione di questi dati da e verso le aziende clienti, il che ha un peso nell’analisi dei rischi e relative misure di sicurezza da implementare.
Gli adempimenti formali
Visti i tipi di dati ed i trattamenti svolti, la necessità del Registro dei Trattamenti svolti per conto terzi (le aziende clienti) è palese; per i trattamenti di cui è Titolare, probabilmente non sussiste l’obbligatorietà del Registro, ma come di consueto in questi casi redigerlo completo è altamente consigliabile.
Riguardo alla nomina di un Responsabile Protezione Dati, nella solita impossibilità di quantificare il concetto di larga scala, è necessario considerare: il numero di aziende clienti; la loro grandezza (in termini di dipendenti); ed anche la grandezza dello studio (in termini di professionisti e collaboratori presenti). Volendo sbilanciarsi, è molto probabile che uno studio con tre o più professionisti abilitati si debba considerare obbligato alla nomina, mentre un singolo professionista senza collaboratori può evitarla.
Assolutamente obbligatorio è l’accordo sul trattamento di dati personali (cosiddetta nomina a Responsabile del Trattamento) ex art. 28 del GDPR, con tutte le aziende clienti: in modo analogo ai commercialisti, nel caso le aziende (in quanto Titolari del trattamento) non provvedano di loro iniziativa, è bene sottoporre una propria proposta, nonché procedere col tempo ad inserirla nei contratti dell’incarico.
Non si ravvisa invece l’obbligo di una formale Valutazione di Impatto, nei casi più comuni: si tratta infatti di trattamenti ben noti e standardizzati, che possono essere gestiti con un’adeguata analisi dei rischi per l’individuazione delle misure di sicurezza necessarie.
Da citare ancora: la redazione delle informative, nomine degli addetti e dei propri Responsabili del trattamento, registro delle violazioni, etc.
Le misure di sicurezza
Poiché molto del lavoro del consulente del lavoro viene svolto con l’ausilio di strumenti software (applicativi), nella scelta di questi ultimi è fondamentale verificare la loro conformità al GDPR: questo è possibile in prima istanza con la documentazione che spesso è a disposizione anche preventivamente sui loro siti web. Uno degli aspetti da valutare riguarda l’accessibilità diretta da parte dei lavoratori stessi ai loro dati su tali applicativi nel caso essi siano “in cloud”: ciò permette sia un esercizio diretto di alcuni dei diritti del Regolamento (l’accesso in primis), ma anche di proteggere il trasferimento dei dati.
A proposito del trasferimento dei dati tra l’azienda (e, se previsto, direttamente con il lavoratore) e il Consulente, vista la natura dei dati risulta essere comunque obbligatorio che avvenga attraverso canali protetti. Gli applicativi in cloud, è presumibile lo siano (protocollo HTTPS); ma poiché molte volte viene utilizzata la posta elettronica con file allegati, in questo caso è necessario prevedere la crittografia dei contenuti, per quanto ciò ne renda l’utilizzo più complicato.
La conservazione dei dati dei lavoratori delle aziende clienti devo ovviamente essere regolato nell’accordo (“nomina”) sopra citato; secondo il già citato parere del Garante, allo scadere dell’incarico la scelta è tra la restituzione, cancellazione, o anonimizzazione dei dati stessi. Tuttavia, la delicatezza dei dati in questione (si pensi a quelli contributivi) spesso impone che essi siano conservati oltre i termini di legge, poiché le Pubbliche Amministrazioni possono loro stesse richiedere evidenze dei calcoli o pagamenti effettuati anche a distanza di molti anni. Questa necessità sarebbe in capo al Titolare (l’azienda cliente), ma non sempre le aziende sopravvivono ai loro dipendenti, per cui se si attua tale prassi di conservazione “lunga”, essa deve essere compresa nelle istruzioni del Titolare verso il Responsabile nel relativo accordo. Ciò implica anche che il Consulente del Lavoro deve prevedere le proprie procedure interne di conservazione (non ultime quelle dei backup e possibilmente anche di disaster recovery), e soprattutto di gestione delle richieste di esercizio dei diritti da parte dei lavoratori delle aziende clienti, incluse quelle non più tali.
La formazione degli addeti, come in moltissimi casi, risulta indispensabile: essa va focalizzata non solo sugli aspetti normativi, ma anche (e forse principalmente) sulle procedure interne adottate e sui rischi specifici (sia in termini di sicurezza, che di impatti sugli interessati).
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.