Ultime News

Notizie ed eventi a cura di Intuitus

I commercialisti e i consulenti del lavoro anche quando elaborano sono titolari del trattamento ai sensi del GDPR

 

Alcuni esperti di GDPR considerano il commercialista che tiene la contabilità e il Consulente del Lavoro che elabora una busta paga alla stessa stregua del fornitore di un mero spazio di archiviazione in cloud. Li ritengono cioè “responsabili del trattamento” anziché “titolari” dello stesso. A ben vedere invece, la significativa discrezionalità che tali soggetti hanno nella gestione dei dati dovrebbe far propendere per la soluzione opposta. Ad esempio, il commercialista non può contabilizzare costi non giustificati, od omettere ricavi, nemmeno su specifica richiesta del cliente. In alcuni casi potrebbe essere costretto a segnalare il cliente all’antiriciclaggio, contro la sua volontà. Quando effettua un’assunzione, il consulente del lavoro non manda soltanto un file telematico ma suggerisce la soluzione più agevolata tra quelle possibili. Rispetto all’elaborazione del LUL, può perfino attestare la regolarità contributiva del cliente.

Non è facile districarsi tra due definizioni foriere di equivoci, in quanto non redatte per essere mutuamente escludentesi e collettivamente esaustive. In base all’art. 4 GDPR, è infatti “titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali“. Il responsabile del trattamento è invece “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento“.

Valutiamo le conseguenze della prima interpretazione. E’ legittimo che il cliente si intrometta nel lavoro del suo professionista tanto dal dargli istruzioni dettagliate su come trattare i propri dati? D’ora in avanti sarà il cliente a decidere quante volte i professionisti fanno il backup e con che tipo di strumenti?
Inoltre, nel caso di violazioni dei dati causate dal professionista, la nomina dello stesso quale responsabile del trattamento ribalta indebitamente sul cliente la responsabilità civile e amministrativa in termini di culpa in eligendo e culpa in vigilando. Nel caso il professionista tratti i dati in modo illegittimo, il cliente diviene quindi autonomamente sanzionabile dal Garante.

Per dirimere la questione, il documento WP 169, Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento”, adottato il 16 febbraio 2010 dal Gruppo di Lavoro dei 29 Garanti Europei, tradotto e diffuso sul sito web del Garante con numero documento 1791922, rimane a tutt’oggi il principale riferimento. Nell’elaborato, a prima vista i “contabili” (accountants) sono ritenuti “responsabili del trattamento”, ma una nota del traduttore avverte (solo i lettori più attenti) che i termini vanno intesi in modo invertito rispetto al D.lgs. 196/03. Verificando sul testo inglese non ci sono più dubbi: nell’elaborazione contabile e lavoristica commercialisti e consulenti del lavoro sono titolari del trattamento. Pertanto eventuali richieste di sottoscrizione di nomine a responsabile saranno cortesemente da respingere, e comunque in caso di verifica sarebbero considerate con ogni probabilità dal Garante o dal giudice prive di qualsiasi validità. Titolari del trattamento infatti “si nasce”, mentre responsabili del trattamento “si diventa”. In senso conforme, seppure con diverse motivazioni, si esprime anche la recente circolare n. 1150 del 23 luglio 2018 del Consiglio Nazionale dei Consulenti del Lavoro.