Assolavoro (l’Associazione di categoria delle agenzie per il lavoro), nella sua circolare n. 4 del 2018 si è espressa su di un tema che ha il sapore del “tecnicismo” ma che in realtà è una questione assai di peso per quelle imprese che utilizzano la cosiddetta somministrazione e quindi si ritrovano a dover gestire privacy e contratti di somministrazione lavoro.
La questione è la seguente: come regolamentare i rapporti fra agenzia per il lavoro e utilizzatore (di seguito “l’azienda”) per quanto concerne il trattamento dei dati personali. Assolavoro propone la lettura fornita dallo Studio Toffoletto De Luca Tamajo secondo cui le parti sono “autonomi titolari del trattamento” e quindi alcun ulteriore adempimento è previsto.
Le ragioni esposte dallo Studio Toffoletto De Luca Tamajo sono assolutamente corrette. Invero, lo stesso afferma che: “è di chiara evidenza che, quando, come nel caso della somministrazione, il lavoratore entra, sia pure senza esserne formalmente dipendente, nell’organizzazione aziendale dell’utilizzatore […] va considerato, a tutti gli effetti, “dentro” la realtà aziendale di cui, appunto, integra l’organizzazione”.
Tuttavia, alcune Agenzie per il Lavoro hanno travisato il contenuto della circolare. In questa sede è utile chiarire.
Indice degli argomenti
Privacy e contratti di somministrazione lavoro: esempio pratico
La circolare si riferisce ai trattamenti effettuati dal lavoratore all’interno dell’organizzazione aziendale sotto la responsabilità dell’azienda. È palese anche a chi scrive che alcuna responsabilità possa essere attribuita in capo al somministratore (di seguito “l’agenzia”) per le attività di trattamento effettuate dal lavoratore sotto la direzione dell’azienda.
Ed è pacifico che sia in capo all’azienda, in questo caso, l’onere di istruire il lavoratore a norma dell’art. 29 del Reg. UE 679/2016 (GDPR) secondo le procedure adottate dalla stessa.
Ma per quanto riguarda i dati personali del lavoratore in quanto interessato, come dovranno comportarsi azienda e agenzia? Per spiegarlo è utile un esempio.
L’azienda si rivolge all’agenzia per acquisire un collaboratore amministrativo in somministrazione. L’agenzia lo assume e lo manda in azienda. Quest’ultima provvederà ad istruirlo circa le proprie procedure privacy.
Tuttavia, l’azienda è tenuta, in ragione del contratto stipulato con l’agenzia, a provvedere alla medicina del lavoro, ai corsi di formazione e alla registrazione delle presenze del lavoratore medesimo.
In azienda, inoltre, è installata la videosorveglianza. In questo caso, appare evidente che l’azienda effettui trattamenti di dati “per conto” dell’agenzia in quanto finalità e mezzi del trattamento sono definite dall’agenzia stessa.
Invero, l’agenzia avrebbe facoltà di richiedere (per esempio) che la rilevazione presenze venga effettuata con diverse modalità (leggi “mezzi del trattamento”). Nella maggior parte dei casi, questa richiesta non viene avanzata (comporterebbe la discriminazione dei lavoratori somministrati), ma questo non significa che rientri da principio nella libertà decisionale dell’Azienda.
Ciò comporterebbe che l’Agenzia per il Lavoro sia tenuta a nominare l’azienda quale responsabile del trattamento a norma dell’art. 28 del Reg. UE 679/2016.
La lettura fornita in questa sede, tuttavia, non appare condivisa dalla maggior parte delle Agenzie per il Lavoro, le quali propongono la versione “autonomi titolari del trattamento”. Tale posizione affermano essere “tacitamente accolta dall’Autorità Garante” che non si è mai espressa né a favore né contro.
Privacy e contratti di somministrazione lavoro: le basi di liceità
A parere di chi scrive, basare il proprio agire sul “silenzio assenso” di un’autority appare quantomeno singolare; sarebbe stato ben più solida la posizione di chi abbia direttamente interpellato l’Autorità Garante e avesse ottenuto un provvedimento specifico.
Invero, la versione “autonomi titolari del trattamento” risulta debole già in partenza, in quanto manchevole di basi di liceità ammissibili.
Impossibile basarla sul consenso, in quanto il lavoratore è impossibilitato ad esprimere un libero consenso a norma dell’art. 7 del Reg. UE 679/2016; impossibile affermare che l’azienda stia adempiendo ad un obbligo legale, almeno per tutti i trattamenti effettuati; impossibile anche affermare che stia salvaguardando gli interessi vitali del lavoratore; l’azienda, altresì, non sta eseguendo compiti di interesse pubblici o connessi ai pubblici poteri.
Quanto al legittimo interesse, in questo caso non si ravvisa in alcun modo. Infine, non si può neppure affermare che il trattamento avvenga per “l’esecuzione di un contratto di cui l’interessato è parte” in quanto l’azienda non ha stipulato con lo stesso alcun contratto e non si può affermare che il trattamento avvenga per l’esecuzione del contratto tra azienda e agenzia.
Sarebbe come affermare che chiunque stipuli un contratto con un altro soggetto sia autorizzato a trattare i dati di terze parti. E non si può neppure affermare che il lavoratore sia, in qualche modo, “parte” nel contratto fra azienda e agenzia, in quanto è evidente che le parti siano due e non tre e che la lettura dell’art. 6 comma 1 lettera b) sia da fornirsi in modo strettamente “contrattuale” e non aperta a interpretazioni.
L’unico modo per basare la liceità del trattamento dei dati del lavoratore appare essere quella sostenuta dallo scrivente, e che il trattamento sia lecito in quanto eseguito da un’azienda nominata responsabile del trattamento per l’esecuzione di un contratto (di lavoro) in cui il lavoratore è sì “parte” insieme all’agenzia.
Un’altra lettura è fornita dall’avv. Paolo Marini di Federprivacy, il quale paventa l’esistenza di una forma di “contitolarità” fra azienda e agenzia, a norma dell’art. 26 del Reg. UE 679/2016. Anche in questo caso ci sentiamo di escludere l’opzione in quanto è impossibile affermare che azienda e agenzia determinino di comune accordo le finalità e i mezzi del trattamento.
Conclusioni
In conclusione, a parere di chi scrive la questione dovrebbe essere regolamentata come segue.
Le Parti si dovrebbero dar atto che la responsabilità per i trattamenti effettuati dal lavoratore all’interno dell’organizzazione dell’azienda sia in capo all’azienda medesima.
Inoltre, azienda e agenzia dovrebbero stipulare un allegato di responsabilità ex art. 28 Reg. UE 679/2016 per quanto compete il trattamento dei dati del lavoratore in cui è l’azienda a figurare quale responsabile e l’agenzia quale titolare.
Fatto salvo l’obbligo dell’azienda di fornire al lavoratore idonea informativa sul trattamento dei dati effettuati per conto dell’agenzia.
