Il Garante per la protezione dei dati personali si è espresso in merito al ruolo e responsabilità del consulente del lavoro, a cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti.

L’Autorità, sollecitata da numerosi quesiti pervenuti sul tema, ha confermato in sostanza quanto espresso dal GDPR, nel quale si opera una distinzione tra i ruoli di titolare e responsabile del trattamento, rispettivamente demandati di “determinare le finalità e i mezzi del trattamento di dati personali” e “trattare dati personali per conto del titolare del trattamento”.

Stando a quanto espresso dal Garante dunque, i consulenti del lavoro assumono la veste di “titolari” quando trattano dati personali propri e i dati dei propri clienti (determinandone finalità e modalità) mentre sono configurabili quali “responsabili” laddove trattino i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto. Quest’ultimo riporterà le relative istruzioni e specifiche sui trattamenti da effettuare (ad esempio come nel caso della predisposizione delle buste paga).

Nonostante questa presa di posizione volta a chiarire la “doppia veste” del consulente del lavoro e ad orientare l’operato di numerosi professionisti, il Garante precisa che, seppure essi agiscano in qualità di responsabili, hanno un apprezzabile margine di autonomia anche con riguardo all’individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.