Il lavoro parasubordinato si configura come un particolarerapporto di lavoro, che integra elementi propri del lavoro subordinato concaratteristiche tipiche del lavoro autonomo: questa natura ibrida sollevainterrogativi rilevanti in materia di privacy nel momento in cui ilavoratori parasubordinati, nell’ambito delle loro mansioni, trattano datipersonali. In questo articolo cerchiamo di capire se sia più opportuno nominarliresponsabili del trattamento ai sensi dell’articolo 28 del Regolamento UE2016/679 (“GDPR”) o autorizzarli al trattamento sotto l’autorità deltitolare ai sensi dell’articolo 29 del GDPR.
Quadro normativo di riferimento
L’articolo 409 n. 3 del codice di procedura civile definisce il contratto di lavoro parasubordinato come un rapporto di collaborazione continuativa, coordinata e prevalentemente personale, in assenza di rapporto di subordinazione e con gestione autonoma dell’attività lavorativa da parte del collaboratore, al quale si applica la stessa disciplina del lavoro subordinato.
Oggi il lavoro parasubordinato è regolato dal D.lgs. 81/2015, che ha abolito il contratto di lavoro a progetto (c.d. co.co.pro), mantenendo le collaborazioni coordinate e continuative (c.d. co.co.co.). In linea con la citata disposizione del codice di procedura civile, i contratti di collaborazione coordinata e continuativa consistono in prestazioni lavorative prevalentemente personali, continuative e le cui modalità di esecuzione sono organizzate dal committente.
Per tali rapporti trova applicazione la disciplina del rapporto di lavoro subordinato, tranne in ipotesi espressamente previste dal D.lgs. 81/2015 (ad esempio, le professioni intellettuali).
Ruolo nella gestione dei dati personali
Il lavoratore parasubordinato che tratta dati personali pone il titolare del trattamento di fronte a un bivio: nominarlo responsabile del trattamento ex articolo 28 del GDPR, in considerazione della sua natura autonoma, oppure autorizzarlo al trattamento ai sensi dell’articolo 29 del GDPR, attribuendo maggiore rilievo alla sua posizione come risorsa interna, inserita nella struttura del titolare?
Il discrimine per effettuare la scelta non è tanto la sussistenza di un rapporto di (para)subordinazione con il titolare, quanto il grado di autonomia di cui è dotato il lavoratore parasubordinato nel trattamento dei dati personali.
Entrambe le opzioni sembrano infatti possibili alla luce della normativa in materia di trattamento dei dati personali e delle indicazioni degli organismi competenti, quali l’Europen Data Protection Board (“EDPB”): il ruolo di responsabile del trattamento, infatti, non incontra alcun limite soggettivo, richiedendo unicamente che il trattamento dei dati venga effettuato in maniera autonoma e indipendente dall’autorità o dal controllo diretti del titolare.
D’altra parte, l’EDPB esclude che possano essere nominati responsabili del trattamento le risorse interne alla struttura del titolare, poiché agiscono sotto l’autorità diretta di questi: in questi casi il titolare è tenuto a istruire le risorse interne al trattamento dei dati ai sensi dell’articolo 29 del GDPR, designandoli “autorizzati”.
Proprio con riferimento alle “risorse interne”, l’EDPB non restringe il campo ai soli dipendenti, ma apre alla possibilità per i lavoratori parasubordinati – se effettivamente agiscono sotto l’autorità del titolare – di essere autorizzati al trattamento ex articolo 29 del GDPR.
Conclusione
In conclusione, la scelta del ruolo privacy più adeguato per il lavoratore parasubordinato deve essere effettuata sulla base di considerazioni pratiche e di opportunità.
Se il collaboratore gode di autonomia nel trattamento dei dati personali, sarà preferibile per il titolare nominarlo responsabile del trattamento ai sensi dell’articolo 28 del GDPR, così da attribuirgli gli obblighi e responsabilità previsti dalla normativa in relazione al trattamento effettuato. Al contrario, se la sua attività di trattamento è soggetta all’autorità e al controllo diretto del titolare, sarà più corretto autorizzarlo al trattamento ai sensi dell’articolo 29 del GDPR, mantenendo in capo al titolare le relative responsabilità.
Questa valutazione richiede il coinvolgimento di professionisti sia in ambito privacy che giuslavoristico, integrando le rispettive competenze per individuare l’opzione più conforme alla normativa, nonché più aderente all’organizzazione del titolare.
Articolo pubblicato sul portale CyberSecurity360