Il libero professionista, avendo personalità sia fisica che giuridica, rientra perfettamente nella definizione di Responsabile del Trattamento (art. 4, n. 8 del GDPR); tuttavia, nella realtà delle situazioni che incontriamo tutti i giorni, esistono molti casi in cui il libero professionista è equiparabile ad un lavoratore subordinato (da qui in avanti, “addetto”). In questo senso, distinguere tra le due situazioni può in qualche caso non essere banale, considerando anche che il Regolamento giustamente non fa riferimento a specifiche forme contrattuali, ma solo alla rispondenza o meno alle definizioni date. Quai sono quindi i parametri per capire se inquadrare un libero professionista come addetto o responsabile del trattamento?

Definizioni normative

Non è inutile ricordare che addetti e RdT condividono la necessità di essere istruiti dal TdT rispetto ai trattamenti di dati personali che vengono assegnati loro (art. 29 del Regolamento, ma anche art. 28, c. 3, lett. a). La distinzione deriva più che altro dal Codice Privacy, che con la modifica del settembre 2018 (D.lgs 101/18) sostituisce la figura del responsabile interno con le persone fisiche espressamente designate (art. 2-quaterdecies), “nell’ambito del proprio assetto organizzativo” (si parla relativamente ad un soggetto giuridico, sia esso TdT o RdT). Tale specificazione estende, in un certo senso, il riferimento che si trova nel Regolamento all’art 4, c. 10 (persone autorizzate al trattamento di dati personali sotto l’autorità diretta del titolare o responsabile).

“Addetto”, “persone fisiche espressamente designate” e “persone autorizzate” (e anche i più sintetici “autorizzati” e “designati”) sono quindi da considerarsi sinonimi.

Criteri

In definitiva, ciò che si deve analizzare è se il libero professionista, rispetto al soggetto giuridico, opera “nell’ambito del proprio assetto organizzativo” e/o “sotto l’autorità diretta”. Non c’è, ovviamente, una ricetta pronta e valida per tutti. Ma per i casi più complessi (ossia quelli non evidenti), si possono analizzare alcuni parametri, che possono essere sintetizzati come riportato in tabella:

Parametri di valutazione Addetto RdT
Ore di lavoro per TdT Equivalenti ad un part time fino a tempo pieno Poche
Utilizzo strumenti (computer, archivi, email) del soggetto giuridico Si No
Utilizzo da parte del soggetto giuridico di strumenti (applicativi, archivi) del professionista No Si
Tipologie di attività Intrattentimento di rapporti con l’esterno per conto del TdT; Inserimento in team di progetto; Ruoli manageriali o gestionali Servizi specifici o a capitolato; Consulenze
Presenza nelle sedi del soggetto giuridico Frequente Saltuaria
Autonomia decisionale rispetto al vertice Bassa Media

La tabella esprime, per ciascuno dei 6 parametri ritenuti significativi, quella che è la situazione tipica nei due casi, addetto o Responsabile del Trattamento. Rappresenta un ausilio all’analisi, magari conteggiando, per una specifica situazione, se ricade più volte in una colonna o nell’altra. Ciò non toglie, comunque, che a prescindere dagli altri parametri, uno solo di essi possa essere sufficiente, o anche mandatorio, per la decisione finale.

Le nomine

Una volta stabilito in quale caso si ricade, è necessario formalizzare il rapporto (oltre alle già citate istruzioni). Nel caso del Responsabile del Trattamento, è ormai ben noto  che sia obbligatorio un atto giuridico (eventualmente inserito nel contratto) che rispetti i requisiti dell’art. 28 del GDPR. Per gli addetti, invece, è bene sottolineare che l’art. 2-quaterdecies del Codice Privacy riporta la dicitura “espressamente designate”, con la conseguenza che essi (in questo caso parliamo anche dei dipendenti tradizionali) debbano ricevere e firmare una designazione scritta in relazione ai trattamenti che sono autorizzati ad eseguire.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.