Il Consulente del lavoro, la figura di responsabile ex art. 28 e la circolare dell’Ordine.

[:it]

Purtroppo continuano a vedersi curiose circolari da parte di Ordini Professionali e Associazioni di Categoria in materia di GDPR.
 
Stavolta tocca ai consulenti del lavoro.
 
Secondo la circolare n. 1150/2018, il ruolo di Responsabile del trattamento dati ex art. 28 GDPR per il Consulente del Lavoro è del tutto facoltativo e può essere rifiutato.
 
Inoltre, sempre secondo la circolare, comportando la posizione di responsabile maggiori oneri, può giustificare una integrazione degli onorari specifica per questa attività.
 
Ora: è bene precisare un punto. Se faccio un lavoro e una professione che comporta il trattamento dei dati personali è bene che mi prepari a rispettare tutti gli adempimenti previsti dal GDPR per quella specifica attività. Se passa il concetto per cui basta rifiutare l’incarico quale responsabile ex art. 28 per essere esente da responsabilità in merito al trattamento dati, si commette un errore grossolano e siamo di fronte ad una confusione di fondo che peraltro andrebbe contro il principio dell’accountability su cui si fonda il GDPR.
 
La circolare in commento, infatti, limitando il concetto di responsabilità ad un rapporto tra consulente del lavoro e cliente (azienda), sembrerebbe proporre due soluzioni: A) il consulente non firma il contratto di responsabile ex art. 28 perchè non è obbligato a firmarlo; B) il consulente diviene co-titolare del trattamento dati dei dipendenti dell’azienda-cliente perchè così ha completa autonomia rispetto al cliente e nessun potere di ingerenza da parte di quest’ultimo.
 
La soluzione A mi sembra sia come tagliare con una accetta il nodo gordiano. Ritengo, a mio modesto avviso, che se un consulente del lavoro rifiuta di assumersi le responsabilità previste dal 28 GDPR in relazione ai dati personali dei dipendenti del suo cliente, potrebbe andare contro il citato principio dell’accountability . Se invece chiede compensi integrativi perchè i doveri imposti dal cliente-azienda e le relative istruzioni sono particolarmente impegnative, ci può stare, ma questo è un altro discorso che attiene alla limitata autonomia contrattuale che le parti hanno nella redazione del contratto ex art. 28 GDPR che, a parte gli elementi essenziali previsti dal regolamento, lascia alle parti la facoltà di modulare al meglio determinati aspetti. Non vedo quindi in alcun modo compressa l’autonomia del professionista che potrà ovviamente svolgere la sua attività come meglio crede ma dovrà semplicemente evitare (faccio un esempio assurdo) di caricare i dati del cliente e dei suoi dipendenti su software di dubbia sicurezza o peggio condividendoli tramite cloud i cui server sono localizzati in paesi a rischio (ovvero quelli che non offrono un livello di sicurezza adeguato).
 
La soluzione B mi lascia alquanto perplesso. Perchè sembra che il consulente, assumendo la posizione di co-titolare del trattamento (insieme al suo cliente) sui dati dei dipendenti, sia libero da qualunque ingerenza. Al di di ogni commento in merito alla applicabilità di questa figura nel caso di specie, direi questo: il GDPR, per quanto possa sembrare strano, mira a tutelare PRINCIPALMENTE, i soggetti titolari dei dati che devono e possono avere sempre qualunque potere di ingerenza su come e dove vengono trattati i loro dati.
 
E’ una impresa ardua e quasi impossibile. Vero. Viviamo in un mondo dove la privacy non esiste, come dice qualcuno.
Ma il GDPR ha un obbiettivo: mettere un argine allo strapotere di determinate aziende nel macinare i nostri dati.
La macchina dei dati  funziona molto spesso all’insaputa sia dei titolari che dei responsabili del trattamento dati i quali credono di svolgere il loro lavoro al meglio e con la massima sicurezza ma, spesso non avendo competenze tecniche in ambito software e non avendo idea del rischio connesso a servizi cloud, servizi di messaggistica via email, sistemi anti-virus e quant’altro, non sono altro che degli incolpevoli “partner” di quelle aziende che hanno come unico obbiettivo quello di profilare, classificare, raccogliere e trattare dati in piena violazione del GDPR.
Quella che alcuni chiamano ingerenza nella attività del responsabile, io la chiamo cooperazione per tentare di lavorare tramite architetture informatiche più serie e affidabili.
Come già detto in altre sedi, stiamo assistendo a scomposte reazioni da parte di soggetti che rifiutano qualunque intervento del titolare del trattamento non rendendosi conto che l’ingerenza vera è quella del titolare del dato e, in sua tutela, del Garante Privacy competente.
Tentare di rifiutarsi di assumere una responsabilità dovuta in relazione alla professione svolta è evidentemente un errore.
Pretendere invece una giusta integrazione degli onorari perchè si migliora la sicurezza e si adottano procedure che comportano maggiore lavoro per il Consulente, mi pare corretto.
La prossima puntata vedremo la circolare di Federalberghi in materia di GDPR.

[:]