Il rapporto di lavoro domestico, per sua natura, non rientra nell’ambito di applicazione del GDPR: i trattamenti, infatti, sono effettuati per l’esercizio di attività a carattere esclusivamente personale e domestico. Cosa accade, però, quando il datore di lavoro domestico decide di avvalersi del supporto di un professionista per la gestione del rapporto di lavoro? In questo caso, è utile chiarire a che titolo il professionista, e nello specifico il consulente del lavoro, effettuerà un trattamento di dati personali nel rapporto di lavoro domestico.
Cerchiamo, quindi, di delineare gli adempimenti in capo al professionista nell’esecuzione di tale tipologia di incarico.
Indice degli argomenti
Trattamento dati nel rapporto di lavoro domestico: lo scenario
Il datore di lavoro domestico è un datore di lavoro atipico che opera in un settore in costante crescita. Secondo i dati INPS, nel 2018 i lavoratori domestici contribuenti sono stati 859.233 e, come riportato nell’ultimo dossier di DOMINA – Associazione Nazionale Famiglie Datori di Lavoro Domestico, sebbene con andamento altalenante, nell’arco degli ultimi 10 anni i lavoratori domestici regolarmente assunti dalle famiglie italiane sono cresciuti del 26%[1].
Il rapporto di lavoro domestico è un rapporto di lavoro che si instaura tra gli addetti ai servizi domestici che prestano la proprio opera, a qualsiasi titolo, per il funzionamento della vita familiare[2] e un soggetto/datore di lavoro che necessiti di tali prestazioni in ambito domestico e familiare.
Numerosi sono gli adempimenti connessi alla gestione di tali rapporti di lavoro (comunicazioni INPS, rispetto del contratto collettivo, buste paga, versamenti contributivi ecc.) che inevitabilmente comportano il trattamento di dati personali del lavoratore.
Tali trattamenti, però, essendo effettuati da una persona fisica nell’ambito di una attività di carattere esclusivamente personale o domestico e senza alcuna connessione con una attività di carattere professionale o commerciale, rientrano nelle esclusioni di applicazione materiale del Regolamento Generale sulla Protezione dei Dati (GDPR) previste dall’articolo 2.
Tuttavia, sono sempre più numerosi i datori di lavoro domestico che, non avendo le competenze necessarie o semplicemente non avendone il tempo, si affidano a soggetti esterni al nucleo familiare per avere un supporto e una consulenza nella gestione contrattuale.
In questi casi, i soggetti coinvolti negli adempimenti e nel trattamento dei dati personali ad essi collegato non si limitano al solo datore di lavoro domestico e alla sua famiglia, ma ricomprende tutta una serie di professionisti e addetti ai lavori che, al contrario del nucleo familiare, svolgendo tali trattamenti nell’ambito di una attività commerciale o professionale, sono soggetti agli adempimenti previsti dal GDPR e dal Codice privacy novellato in tema di trattamento dei dati personali.
Cercheremo di individuare gli adempimenti e le possibili modalità operative, concentrandoci sui trattamenti svolti dai consulenti del lavoro a cui venga affidata l’esecuzione degli obblighi previsti dalla normativa lavoristica e dal contratto di lavoro in considerazione della condizione di estraneità del datore di lavoro domestico all’applicazione del GDPR.
Trattamento dati nel rapporto di lavoro domestico: ruolo dei consulenti del lavoro
Il ruolo dei consulenti del lavoro nel trattamento dei dati personali dei dipendenti dei propri clienti è stato chiarito in maniera abbastanza netta dal Garante per la protezione dei dati personali, in risposta ad uno specifico quesito posto dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro: le prestazioni svolte dal consulente del lavoro che assume gli adempimenti in materia di lavoro, previdenza e assistenza sociale dei lavoratori dipendenti dei propri clienti devono essere, di regola, inquadrate nello schema titolare/responsabile del trattamento regolato dall’art. 28 del GDPR.
Come sottolineato dal Garante, infatti, è il datore di lavoro che decide di affidare all’esterno lo svolgimento di compiti strettamente legati all’esecuzioni di obblighi previsti dalla normativa lavoristica e dalla contrattazione collettiva, affidando al Consulente il relativo incarico.
Pur operando nel rispetto delle discipline di settore e delle relative regole deontologiche, il consulente tratterà le informazioni relative ai lavoratori sulla base dei dati raccolti dal datore di lavoro (titolare del trattamento) nel perseguimento di finalità legittime e sulla base di criteri e direttive che questi gli impartisce relativamente alla gestione del rapporto sottostante.
Sebbene le condizioni sopra esposte valgano anche per i rapporti di lavoro domestico, la particolare posizione del datore di lavoro domestico rispetto all’applicazione della normativa sul trattamento dei dati personali rende di fatto inapplicabile lo schema richiamato dal Garante.
Il datore di lavoro domestico, infatti, essendo escluso dall’applicazione del GDPR non è un titolare del trattamento, con la conseguenza che i trattamenti svolti esternamente per suo conto non potranno ricadere nello schema titolare/responsabile disciplinato dall’art. 28 e richiamato dal Garante nel definire il ruolo del consulente che tratta i dati personali dei dipendenti dei suoi clienti.
Appare evidente che, venendo a mancare la figura del datore di lavoro titolare del trattamento, il consulente non potrà che effettuare i trattamenti relativi ai dati dei dipendenti domestici in qualità di titolare.
Questo comporta ovviamente obblighi diversi in capo al professionista che, in quanto titolare, sarà soggetto a una serie di adempimenti tipici di tale figura, a cui invece risulta essere estraneo laddove svolga l’incarico per conto di un datore di lavoro/titolare in qualità di responsabile.
Titolare del trattamento: gli obblighi
Il titolare del trattamento è il soggetto a cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
In sostanza, dunque, il titolare non solo è colui che ha facoltà di trattare i dati personali degli interessati senza ricevere istruzioni da altri (e senza dover rendere conto a terzi che non siano gli interessati), ma è anche colui che decide sia le ragioni che le modalità del trattamento dei dati, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa in materia di protezione dei dati personali.
I principali obblighi del titolare del trattamento possono essere così sintetizzati:
- avere coscienza dei trattamenti effettuati;
- valutare i rischi collegati alle specifiche attività di trattamento svolte, in modo da poter garantire un livello di sicurezza adeguato al rischio;
- porre in essere una scelta consapevole delle misure tecniche e organizzative adeguate a garantire, sin dalla fase della progettazione, la tutela dei diritti degli interessati;
- rispettare il dovere di riservatezza dei dati cui è vincolato, inteso come dovere di non utilizzare, comunicare o diffondere i dati al di fuori del trattamento, e garantire pertanto che i dati non vengano persi, alterati, distrutti o comunque trattati illecitamente;
- fornire agli interessati le dovute informazioni sul trattamento dei dati personali che li riguarda;
- ricorrere a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a tutelare i diritti degli interessati;
- dare opportune istruzioni a tutti coloro che trattino i dati di cui è titolare sotto la sua autorità (autorizzati al trattamento) o per suo conto (responsabili del trattamento);
- rispondere alle richieste di tutela dei propri dati, e più in generale alle richieste di esercizio dei propri diritti da parte degli interessati;
- notificare al Garante e agli interessati in tutti i casi in cui tale adempimento sia previsto.
Appare evidente che alcune delle condotte sopra elencate debbano essere poste in essere indipendentemente dal fatto che il trattamento dei dati venga svolto in qualità di titolare o di responsabile.
Si pensi, ad esempio, al fatto di istruire tutti i soggetti che effettuano trattamenti sotto la propria autorità o per proprio conto, ricorrere a responsabili del trattamento che presentino le opportune garanzie, o individuare le misure tecniche e organizzative che garantiscano che i dati non vengano persi, alterati, distrutti o trattati illecitamente.
Ci soffermeremo di seguito sui doveri e le responsabilità che riguardano esclusivamente il titolare e che, nel caso del trattamento dei dati connesso alla gestione del rapporto domestico, potrebbe presentare delle criticità soprattutto per quanto riguarda il trattamento dei dati dei lavoratori.
I soggetti interessati
Partiamo dall’individuazione dei soggetti interessati.
I trattamenti connessi alla gestione di un rapporto di lavoro domestico da parte del consulente riguardano due categorie di soggetti: il datore di lavoro, con il quale il consulente stipula un contratto avente ad oggetto lo specifico incarico, e i lavoratori con i quali invece non sussiste di norma un rapporto diretto.
Il consulente, infatti, accede e tratta i dati del lavoratore domestico in virtù del conferimento di un incarico da parte del datore di lavoro che decida di non svolgere personalmente gli adempimenti connessi al rapporto di lavoro.
Sarà quest’ultimo a raccogliere i dati e fornirli al professionista per rendere possibile lo svolgimento dell’incarico che gli ha affidato.
Il consulente, pertanto, tratterà i dati del lavoratore in funzione del rapporto di lavoro intercorrente tra i due interessati e del contratto in essere con il cliente/datore di lavoro.
Il trattamento dei dati del lavoratore effettuato dal professionista, dunque, è a tutti gli effetti veicolato dalla figura del datore di lavoro e dalla sua volontà di affidare gli adempimenti che gli competono ad un soggetto terzo.
Lo stesso consulente avrà interesse a trattare i dati del lavoratore fintantoché rimarrà in essere l’incarico professionale conferitogli dal datore di lavoro suo cliente.
Poiché però il professionista effettua il trattamento in qualità di titolare, il lavoratore costituisce a tutti gli effetti un interessato con cui egli è tenuto a interloquire fornendogli informazioni e comunicazioni previste dal GDPR.
Trattamento dati nel rapporto di lavoro domestico: finalità e base giuridica
Per quanto riguarda la finalità del trattamento, essa può essere agevolmente individuata nello svolgimento di un servizio di consulenza riguardante la gestione del rapporto di lavoro domestico.
Il consulente/titolare del trattamento sarà tenuto, oltre a definire le finalità del trattamento, ad individuare le condizioni di liceità dello stesso tra le sei basi giuridiche individuate dall’art. 6:
- consenso;
- esecuzione di un contratto di cui l’interessato è parte;
- adempimento di un obbligo legale cui è soggetto il titolare;
- salvaguardia di un interesse vitale;
- esecuzione di un compito legato a pubblici interessi o all’esercizio di pubblici poteri riconosciuti al titolare;
- legittimo interesse del titolare o di un terzo.
In relazione al trattamento dei dati del datore di lavoro/cliente, la base giuridica può essere agevolmente individuata nell’esecuzione di un contratto, il trattamento viene infatti legittimamente effettuato in virtù del conferimento di incarico professionale in essere tra le parti.
Non è invece possibile ricorrere a tale condizione di legittimità per quanto riguarda il trattamento dei dati del lavoratore, in quanto non esiste alcun rapporto contrattuale tra Consulente e lavoratore a cui poter fare riferimento.
La base giuridica andrà pertanto ricercata in una delle altre cinque condizioni di liceità individuate dall’art. 6.
In considerazione delle caratteristiche dell’attività svolta dal professionista e della tipologia di trattamento svolto, è difficile possano trovare applicazione le condizioni sub lettera d) ed e).
Per quanto riguarda gli obblighi legali che scaturiscono dal rapporto di lavoro, invece, essi restano in capo al datore di lavoro che gli affida l’incarico, e non si potrà quindi parlare di obbligo legale del professionista.
Alla luce di questi primi ragionamenti, i presupposti che possono legittimare il trattamento dei dati del lavoratore domestico da parte del consulente del lavoro è di fatto limitata a sole due possibili condizioni: il consenso e il legittimo interesse del titolare o di un terzo.
Il consenso è un atto di volontà dell’interessato che attraverso “la libera espressione di una scelta intenzionale”[3] dichiara in maniera inequivocabile la propria accettazione del trattamento, con la possibilità di revocare il consenso prestato in qualsiasi momento.
Pur essendo apparentemente la strada più facilmente percorribile in grado di legittimare qualsiasi trattamento, il consenso è in realtà la base giuridica maggiormente insidiosa e di più difficile gestione, soprattutto in relazione ai rapporti di lavoro.
Lo stesso WP29 ha escluso che, nella generalità dei casi, la fonte di legittimazione al trattamento dei dati personali nell’ambito del rapporto di lavoro possa essere costituita dal consenso dell’interessato.
Nel caso in esame le criticità legate al fatto di fondare il trattamento sul consenso possono essere così sintetizzate:
- il lavoratore potrebbe decidere di non prestare il consenso, rendendo in questo modo impossibile l’esecuzione dell’incarico conferito;
- insorge per il titolare l’obbligo di mettere l’interessato nelle condizioni di poter liberamente revocare il consenso in qualsiasi momento e di documentare e dimostrare che esso sia stato adeguatamente prestato;
- laddove il lavoratore decidesse di revocare il consenso precedentemente prestato farebbe venir meno la base di legittimità del trattamento e con essa la possibilità di continuare a svolgere gli adempimenti che gli sono stati affidati dal suo cliente.
Appare evidente che affidare la possibilità di effettuare trattamenti in maniera legittima alla volontà del lavoratore di accettare o meno che il consulente tratti i propri dati personali espone il professionista a numerosi rischi, primo fra tutti l’impossibilità di poter svolgere o continuare a svolgere il proprio incarico.
Senza considerare il fatto che questo potere riconosciuto al lavoratore andrebbe ad incidere in maniera significativa sulla decisione del datore di lavoro di affidare ad un soggetto esperto la gestione del rapporto lavorativo.
Il legittimo interesse è un concetto nuovo per il nostro ordinamento che consente di procedere al trattamento laddove non vi sia un rapporto contrattuale, non vi siano degli obblighi legali, non esistano interessi vitali da salvaguardare, e non vi sia esercizio di pubblici poteri, senza il bisogno di ricorrere al consenso dell’interessato.
L’utilizzo del legittimo interesse quale base giuridica è subordinato ad alcuni requisiti:
- il titolare del trattamento deve avere la necessità di elaborare il dato per fini propri o di terzi (nel caso in oggetto potremmo parlare di legittimo interesse sia del professionista che dello stesso datore di lavoro, individuabili rispettivamente nella possibilità di svolgere l’incarico professionale che gli è stato conferito e nella possibilità di demandare ad un soggetto esterno gli adempimenti legati alla gestione del rapporto di lavoro).
- il titolare, nell’ottica del nuovo principio di accountability, dovrà bilanciare gli interessi propri o del terzo con quelli dell’interessato, considerando i seguenti elementi:
- l’effettiva necessità del trattamento in considerazione del possibile pregiudizio che ne deriverebbe al titolare qualora non effettuasse il trattamento;
- l’impatto sugli interessati e la loro ragionevole aspettativa relativamente ai propri dati personali;
- la presenza di misure addizionali di protezione dei dati che possano limitare gli impatti del trattamento sugli interessati.
- il trattamento dei dati deve essere equo e rispettare i principi di protezione dei dati.
Principio di trasparenza e diritti degli interessati
Il consulente sarà inoltre tenuto, in qualità di titolare del trattamento, a rispettare il principio di trasparenza, informando gli interessati su come vengono utilizzati i loro dati.
La trasparenza dovrà riferirsi alle informazioni fornite prima dell’inizio del trattamento sulla base di quanto previsto dagli articoli 13 e 14, alle informazioni che dovranno essere facilmente accessibili agli interessati nel corso del trattamento, nonché alle informazioni da fornire agli interessati nel caso di richieste di accesso ai dati che li riguardano.
Per quanto riguarda i lavoratori domestici, considerando che il consulente non ha con essi un rapporto diretto e che egli ottiene dati che li riguardano dal datore di lavoro, il professionista dovrà fornire loro le informazioni previste dall’art. 14.
Trattandosi di dati non raccolti presso l’interessato, pertanto, l’informativa dovrà essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati a terzi o all’interessato.
Con riferimento al datore di lavoro/cliente, invece, poiché i dati vengono raccolti direttamente presso l’interessato, le informazioni concernenti il nome e l’indirizzo del titolare del trattamento, la base giuridica e le finalità del trattamento dei dati effettuato, le categorie dei dati trattati e i loro destinatari, il periodo di conservazione dei dati, eventuali trasferimenti al di fuori dell’Unione Europea, nonché i mezzi per esercitare i diritti, dovranno essere fornite nel momento in cui si ottengono i dati personali, così come previsto dall’art. 13.
In caso di richiesta di diritto di accesso, gli interessati avranno diritto di ottenere la conferma che ci sia o meno un trattamento di dati che li riguardi e, in caso di risposta affermativa, di conoscere quali dati siano soggetti a tale trattamento, avendo in questo modo la possibilità di determinare la correttezza o meno dei dati.
Il consulente/titolare del trattamento dovrà inoltre garantire agli interessati l’esercizio di tutti gli altri diritti che gli sono riconosciuti: diritto alla cancellazione; diritto alla rettifica; diritto alla limitazione del trattamento; diritto alla portabilità dei dati; diritto di opposizione.
Quest’ultimo è particolarmente importante nel caso in cui il consulente individui la base giuridica del trattamento dei dati del lavoratore sul legittimo interesse. Il diritto di opporsi per motivi connessi alla situazione particolare dell’interessato è infatti volta a trovare il giusto equilibrio tra i diritti di protezione dei dati degli interessati e i diritti legittimi di terzi nel trattamento di dati che li riguardano.
Analisi dei rischi e data breach
Ulteriori adempimenti a cui il consulente è soggetto nel momento in cui tratta i dati in qualità di titolare del trattamento riguardano la valutazione dei rischi connessi ai trattamenti effettuati e l’eventuale impatto sui diritti degli interessati, e le comunicazioni conseguenti ad eventuali violazioni dei dati (data breach) che dovessero verificarsi.
Con riferimento a questo secondo aspetto, nel caso di data breach, il consulente sarà tenuto a registrare l’evento accaduto all’interno del proprio registro delle violazioni, indicando le caratteristiche dello stesso e le azioni eventualmente intraprese, nonché a notificare la violazione nelle modalità e nei tempi prescritti dal GDPR.
Nello specifico, laddove la violazione comporti probabili rischi per i diritti e le libertà degli interessati, il Consulente sarà tenuto, senza ingiustificato ritardo ed entro 72 ore dal momento in cui ne è venuto a conoscenza, a notificare tale violazione all’autorità competente, utilizzando lo specifico modello di comunicazione predisposto dal Garante.
In ogni caso, la notifica dovrà contenere almeno una descrizione dei seguenti ambiti:
- natura della violazione dei dati;
- identità coordinate di contatto del titolare del trattamento;
- conseguenze della violazione;
- misure proposte o adottate dal titolare del trattamento per porre rimedio alla violazione, incluse quelle per attenuarne gli effetti.
Nel caso in cui dalla violazione possa derivare un rischio elevato per i diritti e le libertà dell’individuo, il Titolare del trattamento sarà tenuto a contattare, senza alcun ritardo, gli interessati colpiti dalla violazione.
Tale comunicazione dovrà essere effettuata: indicando con un linguaggio semplice e chiaro la natura della violazione dei dati personali; mediante mezzi di comunicazione che garantiscano la certezza della trasmissione nonché velocità nella ricezione da parte degli interessati; indicando le raccomandazioni eventualmente prescritte dal Garante a tutela degli interessati.
Trattamento dati nel rapporto di lavoro domestico: i dati particolari
Una ulteriore riflessione sul trattamento di dati personali nel rapporto di lavoro domestico va fatta sulle particolari categorie di dati che il professionista potrebbe trovarsi a trattare nell’esecuzione degli adempimenti legati al rapporto di lavoro domestico.
Si pensi a informazioni legate allo stato di salute che potrebbe trattare in caso di infortunio o malattia, o informazioni legate al credo religioso nel caso in cui il lavoratore dovesse richiedere un giorno di riposo settimanale diverso rispetto alla domenica.
Indipendentemente dalla motivazione per cui il professionista potrebbe trattare tali particolari categorie di dati, il loro trattamento è, a parere di chi scrive, possibile senza ricorrere al consenso dell’interessato. I trattamenti infatti, sebbene svolti da un intermediario, sono comunque necessari per adempiere agli obblighi ed esercitare diritti specifici dell’interessato nel contesto dell’occupazione, della sicurezza sociale e della protezione sociale così come previsto dalla lettera b del paragrafo 2 dell’art. 9.
Conclusioni
In conclusione, come emerso dalle valutazioni fatte in precedenza, i trattamenti di dati personali legati alla gestione dei rapporti di lavoro domestico nel momento in cui vengono demandati ad un intermediario divengono automaticamente oggetto di applicazione del GDPR e del Codice Privacy novellato.
Non essendo più trattati all’interno delle sole mura domestiche, infatti, tali trattamenti non possono più essere considerati effettuati per l’esercizio di attività a carattere esclusivamente personale o domestico.
Sia i professionisti che tutti gli altri addetti ai lavori (si pensi ad esempio le agenzie specializzate in ricerca e selezione di babysitter, colf, badanti) effettueranno infatti i trattamenti di dati personali nell’ambito della propria attività e, come del resto previsto dallo stesso Considerando 18, ad essi dovrà applicarsi la normativa in materia.
Nello specifico caso analizzato, il consulente del lavoro, che di norma effettua i trattamenti sui dati dei lavoratori dei propri clienti in qualità di responsabile del trattamento, data l’esclusione del datore di lavoro domestico dal campo di applicazione del GDPR, si troverà ad operare come titolare del trattamento.
Di conseguenza, andranno considerati tutti gli adempimenti che il ruolo di titolare comporta, e a cui il professionista non è soggetto laddove svolga gli stessi trattamenti in qualità di responsabile.
Nello svolgimento del proprio incarico di gestione del rapporto di lavoro domestico, pertanto, il consulente sarà tenuto a:
- definire le finalità dei trattamenti;
- individuare le condizioni che lo legittimano;
- rispettare il principio di trasparenza nei confronti degli interessati con conseguente obbligo di fornire agli stessi (incluso il lavoratore domestico) le informazioni richieste dall’art. 13 o 14 nei tempi previsti a seconda che i dati vengano o meno raccolti presso l’interessato;
- garantire agli interessati l’esercizio dei propri diritti;
- effettuare l’analisi dei rischi e considerare l’impatto sugli interessati;
- effettuare le notifiche che dovessero rendersi necessarie al verificarsi di eventuali data breach.
NOTE
- Dossier 9, Il lavoro domestico in Italia: dettaglio regionale, pubblicato a dicembre 2018 ↑
- art. 1 L. 339/58; art. 1 CCNL ↑
- Relazione esplicativa della Convenzione n°108 modernizzata, punto 42 ↑