Ruoli soggettivi

In linea di principio, è titolare del trattamento dei dati personali del dipendente, l’effettivo centro di imputazione del rapporto di lavoro, cioè il datore di lavoro.

Spetta all’azienda titolare del trattamento definire correttamente i ruoli soggettivi delle altre entità o soggetti con cui si relaziona nell’ambito di pertinenza HR, coloro, soggetti pubblici o privati, che in qualità di titolari autonomi (ad es., agenzie per il lavoro, datori di lavoro, medici competenti ai sensi della disciplina sulla sicurezza sul lavoro, enti previdenziali, istituti bancari) o di responsabili del trattamento (ad es., consulenti del lavoro – doc. web n. 9080970 – , soggetti che forniscono servizi di localizzazione geografica – doc. web n. 1850581, punto 5.2, doc. web n. 9023246, doc. web n. 9039945; servizi di posta elettronica – doc. web n. 5958296, punto 3.4; servizi di televigilanza – doc. web n. 3671057).

In sostanza, «le attività di trattamento svolte da soggetti esterni per conto del titolare, il quale può decidere di affidare all’esterno lo svolgimento di compiti strettamente connessi all’esecuzione di obblighi previsti dalla normativa lavoristica e/o dal contratto di lavoro, devono, di regola, essere inquadrate nello schema titolare/responsabile del trattamento» (doc. web n. 9080970, punto 3).

Qualora, poi, l’entità terza che agisce come responsabile del trattamento per conto della azienda cui appartiene la funzione HR, si avvale di collaboratori di propria fiducia, questi ultimi potranno essere inquadrati come autorizzati al trattamento (art. 29) come figure ad hoc (in base all’art. 2-quaterdecies del codice privacy) oppure potranno assumere il ruolo di sub-responsabili, qualora sia ad essi demandata «l’esecuzione di specifiche attività di trattamento per conto del titolare» (art. 28.4, GDPR).

Non sempre l’interlocutore HR gioca un solo ruolo soggettivo data protection, ad esempio, il medico competente inserito nell’organico dell’azienda datrice di lavoro, assumerà il ruolo di titolare del trattamento per la gestione della cartella sanitaria e per il trattamento dei dati connessi alle visite mediche dei lavoratori, mentre rivestirà presumibilmente quello di autorizzato al trattamento allorchè avrà necessità di utilizzare dati personali (di dipendenti o di terzi) in qualità di lavoratore soggetto alla diretta autorità della propria azienda titolare.

Nei gruppi di imprese, le singole società che lo compongono hanno di regola una distinta ed autonoma titolarità del trattamento in relazione ai dati personali dei propri dipendenti e collaboratori [doc. web n. 1364939, §32].

Talvolta, le società consociate delegano una società del gruppo a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori, in tal caso la società designata agirà in qualità di responsabile del trattamento e i relativi rapporti in merito alla protezione dei dati dovranno essere contrattualizzati ai sensi e nel rispetto di quanto previsto dall’articolo 28 del GDPR (doc. web n. 1417809, punto 3.2). Analoghe considerazioni valgono per quelle terze parti che svolgono operazioni di trattamento relative a processi di pertinenza e per conto di HR, come sopra richiamate.

Nell’ambito del più generale quadro di misure necessarie a tutelare l’integrità psico-fisica dei lavoratori (art. 2087 cod. civ.), spetta al medico competente in materia di igiene e sicurezza dei luoghi di lavoro la sorveglianza sanitaria obbligatoria (e, ai sensi dell’art. 25 del d.lg. n. 81/2008, il correlativo trattamento dei dati contenuti nelle cartelle sanitarie).

Si veda, più diffusamente, la pagina dedicata al medico competente al capitolo “Sicurezza sul lavoro”.