Il lavoro parasubordinato si configura come un particolare rapporto di lavoro, che integra elementi propri del lavoro subordinato con caratteristiche tipiche del lavoro autonomo: questa natura ibrida solleva interrogativi rilevanti in materia di privacynel momento in cui i lavoratori parasubordinati, nell’ambito delle loro mansioni, effettuano trattamenti di dati personali rilevanti ai fini del Regolamento UE 2016/679 (“GDPR”).
Cerchiamo di capire se sia più opportuno nominarli responsabili del trattamento ai sensi dell’articolo 28 del GDPR o autorizzarli al trattamento sotto l’autorità del titolare ai sensi dell’articolo 29 del GDPR.
Indice degli argomenti
Lavoratori parasubordinati e privacy: quadro normativo
L’articolo 409 n. 3 del Codice di procedura civile definisce il contratto di lavoro parasubordinato come un rapporto di collaborazione continuativa, coordinata e prevalentemente personale, in assenza di rapporto di subordinazione e con gestione autonoma dell’attività lavorativa da parte del collaboratore, al quale si applica la stessa disciplina del lavoro subordinato.
Oggi il lavoro parasubordinato è regolato dal D.lgs. 81/2015, che ha abolito il contratto di lavoro a progetto (c.d. co.co.pro), mantenendo le collaborazioni coordinate e continuative (c.d. co.co.co.). In linea con la citata disposizione del Codice di procedura civile, i contratti di collaborazione coordinata e continuativa consistono in prestazioni lavorative prevalentemente personali, continuative e le cui modalità di esecuzione sono organizzate dal committente.
Per tali rapporti trova applicazione la disciplina del rapporto di lavoro subordinato, tranne in ipotesi espressamente previste dal D.lgs. 81/2015 (ad esempio, le professioni intellettuali).
Responsabili del trattamento e autorizzati al trattamento: differenze
Il GDPR definisce il responsabile del trattamento come il soggetto che tratta i dati per conto del titolare, presentando sufficienti garanzie di conformità alla normativa e di tutela dei diritti dell’interessato. Tale trattamento è disciplinato da un contratto o altro atto giuridico che lo vincoli al titolare e che contenga almeno quanto richiesto dall’articolo 28 del GDPR, tra cui, ad esempio, l’obbligo per il responsabile di adottare le misure di sicurezza previste dall’articolo 32 del GDPR.
Il ruolo di soggetto autorizzato al trattamento riceve una disciplina meno puntuale e dettagliata rispetto a quella dedicata al responsabile del trattamento. Il GDPR disciplina questa figura all’articolo 29, stabilendo che i soggetti che agiscono sotto l’autorità del titolare (o del responsabile) possono trattare i dati solo se istruiti in tal senso dal titolare.
A livello nazionale, il D.lgs. 196/2003 (“Codice Privacy”) disciplinava la figura dell’incaricato del trattamento, che il Garante, nella prima versione della guida all’applicazione del GDPR, ha sostanzialmente equiparato all’attuale autorizzato al trattamento.
Con l’entrata in vigore del D.lgs. 101/2018, che ha recepito il GDPR, la figura dell’incaricato del trattamento è stata soppressa. Tuttavia, l’articolo 2-quaterdecies del Codice Privacy, introdotto dallo stesso D.lgs. 101/2018, ne ha raccolto l’eredità riprendendone alcuni tratti tipici: questa disposizione consente al titolare (o al responsabile) di attribuire specifici compiti e funzioni connessi al trattamento dei dati a persone fisiche, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo.
Tale figura non si discosta sostanzialmente da quella descritta dall’articolo 29 del GDPR; anzi, in virtù del Considerando 8 del GDPR, che consente agli Stati membri di integrare elementi del regolamento nel proprio diritto nazionale, la disciplina nazionale contribuisce a delinearne il profilo e l’ambito.
Ruolo nella gestione dei dati personali
Il lavoratore parasubordinato che tratta dati personali pone il titolare del trattamento di fronte a un bivio: nominarlo responsabile del trattamento ex articolo 28 del GDPR, in considerazione della sua natura autonoma, oppure autorizzarlo al trattamento ai sensi dell’articolo 29 del GDPR, attribuendo maggiore rilievo alla sua posizione come risorsa interna, inserita nella struttura del titolare?
Il discrimine per effettuare la scelta non è tanto la sussistenza di un rapporto di (para)subordinazione con il titolare, quanto il grado di autonomia di cui è dotato il lavoratore parasubordinato nel trattamento dei dati personali.
Entrambe le opzioni sembrano infatti percorribili alla luce della normativa in materia di trattamento dei dati personali e delle indicazioni degli organismi competenti, quali l’European Data Protection Board (“EDPB”): il ruolo di responsabile del trattamento, infatti, non incontra alcun limite soggettivo, richiedendo unicamente che il trattamento dei dati venga effettuato in maniera autonoma e indipendente dall’autorità o dal controllo diretti del titolare.
D’altra parte, l’EDPB esclude che possano essere nominati responsabili del trattamento le risorse interne alla struttura del titolare, poiché agiscono sotto l’autorità diretta di questi: in questi casi il titolare è tenuto a istruire le risorse interne al trattamento dei dati ai sensi dell’articolo 29 del GDPR, designandoli “autorizzati”.
Proprio con riferimento alle “risorse interne”, l’EDPB non restringe il campo ai soli dipendenti, aprendo alla possibilità per i lavoratori parasubordinati – se effettivamente agiscono sotto l’autorità del titolare – di essere autorizzati al trattamento ex articolo 29 del GDPR.
A maggior ragione, il citato articolo 2-quaterdecies del Codice Privacy si riferisce alle persone fisiche inserite nell’assetto organizzativo del titolare. In tal senso, rispondono a tali requisiti non solo i dipendenti, ma anche i collaboratori esterni e i lavoratori parasubordinati, in ragione del fatto che svolgono attività lavorativa in modo coordinato e continuativo, come disciplinato dal citato D.lgs. 81/2015.
Conclusioni
La scelta del ruolo privacypiù adeguato al lavoratore parasubordinato deve essere effettuata sulla base di considerazioni pratiche e di opportunità.
Se il collaboratore gode di autonomia nel trattamento dei dati personali e soddisfa i requisiti richiesti dal GDPR in termini di capacità di presentare le necessarie garanzie e tutele, sarà preferibile per il titolare nominarlo responsabile del trattamento ai sensi dell’articolo 28 del GDPR, così da attribuirgli gli obblighi e responsabilità previsti dalla normativa in relazione al trattamento effettuato.
Al contrario, se la sua attività rientra nell’assetto organizzativo del titolare e il trattamento che effettua è soggetto all’autorità e al controllo diretto del titolare, sarà più corretto autorizzarlo al trattamento ai sensi dell’articolo 29 del GDPR, mantenendo in capo al titolare le relative responsabilità.
Questa valutazione richiede il coinvolgimento di professionisti sia in ambito privacy che giuslavoristico, integrando le rispettive competenze per individuare l’opzione più conforme alla normativa, nonché più aderente all’organizzazione del titolare.
