Il sito è sviluppato da ADVISER S.R.L. C.F. / P.IVA 05064880288

Ogni diritto riservato © 2017

Il Garante Privacy chiarisce il ruolo dei Consulenti del Lavoro

Avv. Piergiovanni Cervato - Adviser


Il Garante per la Protezione dei Dati Personali ha chiarito il ruolo dei Consulenti del Lavoro nell'ambito delle figure disciplinate dal Regolamento (UE) 679/2016 (GDPR).

Titolare o Responsabile

Distinguendo il contesto in cui il Consulente del Lavoro tratta i dati dei propri dipendenti ovvero dei propri clienti - persone fisiche nella sua qualità di professionista, da quello in cui il medesimo soggetto tratta i dati dei dipendenti del proprio cliente, il Garante chiarisce che:

  • nel primo caso il Consulente del Lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati, per cui ricopre il ruolo di Titolare del trattamento;

  • nel secondo caso, invece, il Consulente riveste la figura del Responsabile del trattamento (art. 28 GDPR), il cui ruolo rimane connotato dallo svolgimento di attività delegate dal Titolare, "per conto" del quale il trattamento dei dati viene dunque eseguito. Il Garante chiarisce infatti che il soggetto che svolge le attività esternalizzate di gestione dei profili fiscali e previdenziali del lavoro tratta di regola le informazioni relative ai lavoratori utilizzando i dati raccolti dal datore di lavoro, per cui svolge operazioni di trattamento "per conto" nel senso dell'art. 28 GDPR.

Sub-responsabili e delegati autorizzati

Qualora il Consulente del Lavoro si avvalga di collaboratori, essi potranno operare sotto la sua diretta autorità ed in base alle istruzioni impartite, configurandosi quali delegati autorizzati al trattamento (già denominati "incaricati"), ai sensi dell'art. 29 GDPR e dell'art. 2-quaterdecies del Codice Privacy Adeguato (D.Lgs. 196/2003, come riformato dal D.Lgs. 101/2018). Ciò in particolare qualora detti soggetti eseguano “specifici compiti e funzioni connessi al trattamento" delegati dal Consulente.

In alternativa, i collaboratori potranno assumere il ruolo di sub-responsabili, qualora sia loro demandata “l’esecuzione di specifiche attività di trattamento per conto del titolare”, ai sensi dell'art. 28 GDPR.

Le condizioni di liceità del trattamento (basi legali)

Quanto alle condizioni di liceità del trattamento (basi legali), il Garante ha chiarito che:

  • nell'ambito del ruolo del Consulente del Lavoro quale Titolare, ossia in relazione al trattamento dei dati relativi ai propri clienti o ai propri collaboratori e dipendenti, la base giuridica si rinviene nell’esecuzione del contratto ai sensi dell'art. 6.1 lett. b GDPR;

  • nell'ambito del ruolo del Consulente del Lavoro quale Responsabile, la base legale va individuata invece in capo al suo cliente (ossia al datore di lavoro/titolare) ed ovviamente deve essere specificata nel contratto di Responsabile ai sensi dell'art. 28 GDPR.

Misure di sicurezza

Quanto alla gestione dell’archivio tenuto dal Consulente del Lavoro, l’individuazione e la predisposizione delle misure di sicurezza adeguate al rischio spetta al Responsabile e quindi al Consulente del Lavoro, che dovrà tenere conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, ai sensi dell'art. 32 GDPR.

Conservazione dei dati (data retention)

Al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati (oppure anonimizzati) e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.


Per il testo integrale del provvedimento del Garante Privacy, leggi https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9080970


Avv. Piergiovanni Cervato

Avvocato e Master in Diritto della Rete

con esperienza nei settori IP e ICT

Responsabile Protezione Dati (RPD/DPO) di Enti Pubblici e Privati