Data protection

Gestione dei lavoratori interinali ed obblighi in capo all’Ente/Azienda in materia di protezione dei dati personali

Il presente contributo mira a definire l’inquadramento, ai sensi del Regolamento UE 679/2016 (di seguito, “GDPR”), dell’Agenzia interinale e dell’Ente/Azienda, oltre che dei lavoratori.

Breve inquadramento del lavoro somministrato.

La somministrazione di lavoro[1] è disciplinata dal Decreto legislativo 15 giugno 2015, n. 81 (Capo IV) e coinvolge tre soggetti:

– un’agenzia autorizzata (c.d. somministratore), iscritta in un apposito albo informatico tenuto presso l’Agenzia nazionale per le politiche attive del lavoro (ANPAL);

– un soggetto (c.d. utilizzatore), che si avvale dei servizi del somministratore per reperire personale;

– uno o più lavoratori (c.d. somministrati o in somministrazione), assunti dal somministratore e da questi inviati in missione presso l’utilizzatore.

Si tratta, dunque, di un istituto complesso, all’interno del quale si rinvengono due distinti rapporti contrattuali:

– il contratto commerciale di somministrazione, concluso tra somministratore e utilizzatore, e che ha natura commerciale e può essere a tempo determinato o a tempo indeterminato;

– il contratto di lavoro stipulato tra somministratore e lavoratore somministrato, che può essere a tempo determinato o a tempo indeterminato.

La struttura contrattuale della somministrazione comporta una particolare ripartizione dei poteri e degli obblighi datoriali:

– il potere organizzativo e direttivo nei confronti dei lavoratori è esercitato dall’utilizzatore, posto che il lavoratore svolge la propria attività nell’interesse e sotto la direzione ed il controllo dell’impresa utilizzatrice (art. 30);

– il potere disciplinare è riservato al somministratore, al quale l’utilizzatore comunica gli elementi che formano oggetto della contestazione disciplinare (art. 35, comma 6);

– in tema di rischi per la sicurezza e la salute, gli obblighi informativi e l’addestramento del lavoratore, in conformità al decreto legislativo n. 81/2008, sono a carico del somministratore, salva diversa previsione contrattuale che ponga l’obbligo a carico dell’utilizzatore. L’utilizzatore osserva nei confronti dei lavoratori somministrati gli stessi obblighi di prevenzione e protezione cui è tenuto, per legge e per contratto collettivo, nei confronti dei propri dipendenti (art. 35, comma 4);

– la retribuzione viene versata direttamente dal somministratore e a questi rimborsata dall’utilizzatore, oltre agli oneri previdenziali (art. 33, comma 2);

– anche gli oneri contributivi, previdenziali, assicurativi e assistenziali sono a carico del somministratore (art. 37);

– l’utilizzatore è obbligato in solido con il somministratore a corrispondere i trattamenti retributivi e a versare i relativi contributi previdenziali, salvo diritto di rivalsa verso il somministratore (art. 35, comma 2);

– ricade sull’utilizzatore la responsabilità per danni arrecati a terzi dai lavoratori nello svolgimento della prestazione lavorativa (art. 35, comma 7).

Il soggetto utilizzatore può essere anche una Pubblica Amministrazione ma, in tale ipotesi, la somministrazione è consentita solo a tempo determinato (art. 36, d.lgs. n. 165/2001), essendo invece vietata la somministrazione a tempo indeterminato (art. 31, comma 4).
In ogni caso, il ricorso alla somministrazione del lavoro è vietato (art. 32):

– per la sostituzione di lavoratori che esercitano il diritto di sciopero;

– presso unità produttive nelle quali si è proceduto, nei 6 mesi precedenti, a licenziamenti collettivi di lavoratori adibiti alle stesse mansioni cui si riferisce la somministrazione;

– presso unità produttive in cui è operante una sospensione del lavoro o una riduzione dell’orario con diritto al trattamento di integrazione salariale che interessano lavoratori adibiti alle stesse mansioni cui si riferisce la somministrazione;

– nel caso di datori di lavoro che non hanno eseguito la valutazione dei rischi per la salute e la sicurezza dei lavoratori in conformità al d.lgs. n. 81/2008.

Il contratto di somministrazione esige la forma scritta, in assenza della quale il contratto è nullo e i lavoratori sono considerati a tutti gli effetti alle dipendenze del soggetto che ne utilizza la prestazione lavorativa.

In virtù del principio di tutela del lavoratore da condotte discriminatorie, i lavoratori in somministrazione, a parità di mansioni svolte, hanno diritto a condizioni economiche e normative complessivamente non inferiori a quelle dei dipendenti di pari livello dell’utilizzatore (art. 35, comma 1). Parimenti, ai lavoratori delle agenzie di somministrazione si applicano i diritti sindacali previsti dalla legge n. 300/1970 (art. 36).

I lavoratori dipendenti dal somministratore sono informati dall’utilizzatore dei posti vacanti presso quest’ultimo, affinché possano aspirare, al pari dei dipendenti del medesimo utilizzatore, a ricoprire posti di lavoro a tempo indeterminato. Tali informazioni possono essere fornite mediante un avviso generale affisso all’interno dei locali dell’utilizzatore presso il quale e sotto il cui controllo detti lavoratori prestano la loro opera (art. 31, comma 3).

La normativa sulla protezione dei dati personali declinata al rapporto di lavoro somministrato.

Il diritto alla riservatezza, per l’ampiezza dei contenuti che lo caratterizzano, si manifesta attraverso una pluralità di forme e specificazioni che, per ciò che attiene ai rapporti di lavoro, riguardano le modalità di acquisizione, utilizzo e conservazione dei dati, al fine di evitare che le indagini condotte sui dipendenti possano eccedere il fine proposto. Tali aspetti concernono in via generale la totalità dei rapporti di lavoro e, naturalmente, anche quelli di somministrazione[2], sebbene questi ultimi siano contraddistinti da una serie di peculiarità che di seguito saranno illustrati.

Tali peculiarità derivano, in prima battuta, dalla particolare natura dei rapporti cd interinali, che sono caratterizzati da una struttura “a tre”, con conseguenti difficoltà circa l’attribuzione dei ruoli, delle funzioni e delle responsabilità proprie dei differenti soggetti coinvolti, che trattano, per l’appunto, dati personali.

Il GDPR, in quanto fondato sul principio di responsabilità (accountability), al fine di delineare i confini di liceità del trattamento dei dati, ha individuato una serie di figure cui vengono assegnati compiti specifici, ruoli e responsabilità; tra queste il titolare del trattamento[3] ed il responsabile del trattamento.[4]

In estrema sintesi, il titolare stabilisce le finalità e le modalità del trattamento dei dati personali, mentre il responsabile è colui che tratta i dati personali per conto del titolare.

In riferimento al rapporto intercorrente tra questi soggetti, il GDPR richiede che, per fini di chiarezza e di tutela del prestatore di lavoro, gli obblighi del responsabile del trattamento devono essere disciplinati in un contratto o in un qualsiasi altro atto avente rilevanza giuridica.

Data la peculiare articolazione del rapporto di lavoro in somministrazione, risulta alquanto complesso ripartire i ruoli ed individuare in capo a chi ricada l’esercizio di specifici adempimenti in materia di protezione dei dati personali.

Da un esame dell’istituto del rapporto di lavoro in somministrazione emergono differenti profili, a partire dalla genesi del rapporto di lavoro e dalle precedenti fasi di reclutamento.

La disciplina di settore prevede uno specifico regime autorizzatorio in ordine alle attività proprie delle agenzie di lavoro, consistenti nella intermediazione tra domanda e offerta di lavoro, comprensiva tra l’altro:

  1.  della raccolta dei curricula dei candidati,
  2.  della preselezione,
  3. della implementazione delle banche dati,
  4. dello svolgimento, su richiesta del committente, di tutte le comunicazioni conseguenti alle assunzioni intermediate,
  5. dell’orientamento professionale,
  6. della progettazione ed erogazione di attività formative finalizzate all’inserimento lavorativo (ai sensi dell’art. 2, comma 1, lett. b), d.lgs. n. 276/2003).[5]

Ciascuna delle attività sopra elencate comporta il trattamento di dati personali, da ritenersi lecito se finalizzato all’identificazione dei candidati ovvero funzionale all’esecuzione delle prestazioni che fanno capo all’agenzia stessa.

Dallo scrutinio condotto sui rapporti tra agenzia ed utilizzatore, emergono due distinti profili:

  1. il primo relativo al trattamento di dati personali effettuato dal lavoratore somministrato presso l’utilizzatore;
  2. il secondo riguardante il trattamento dei dati personali propri del lavoratore somministrato.

Per quanto attiene al profilo di cui alla lettera a), la tematica è stata oggetto della circolare n. 4/2018 da parte di Assolavoro[6] che – in relazione al riparto degli oneri in materia di trattamento dei dati personali – ha ritenuto che le parti (agenzia ed utilizzatore) sono autonomi titolari del trattamento.

Tale affermazione trova fondamento nella circostanza per la quale, sebbene il contratto individuale di lavoro sia stipulato tra il prestatore e l’agenzia di somministrazione, quando il primo entra nell’organizzazione aziendale dell’utilizzatore, deve essere considerato a tutti gli effetti inserito all’interno della realtà aziendale di cui integra l’organizzazione.

Rispetto al profilo di cui alla lettera b), il quesito da porsi è il seguente: ai fini della legittimità del trattamento su chi ricadano i relativi obblighi? Sebbene il rapporto contrattuale è con l’agenzia somministratrice, l’utilizzatore ha l’onere di formare il lavoratore in missione riguardo alle procedure in materia di protezione dei dati e di provvedere alla gestione dei dati personali di ciascun prestatore, la cui acquisizione è necessaria per l’assolvimento degli adempimenti funzionali al rapporto di lavoro, così come, degli obblighi in materia di salute e sicurezza, della registrazione delle presenze del lavoratore medesimo.

Ulteriore considerazione è che l’ente/azienda, anche attraverso gli apparecchi elettronici installati, effettua trattamenti dei dati “per conto” dell’agenzia di somministrazione, in quanto la finalità ed i mezzi del trattamento vengono definiti dall’agenzia stessa (si veda: l’elaborazione delle buste paga, la gestione amministrativa e previdenziale).

Pertanto, a differenza delle conclusioni alle quali è pervenuta Assolavoro, si può ipotizzare che l’agenzia di somministrazione possa nominare l’ente/azienda quale responsabile del trattamento ai sensi dell’art. 28 GDPR; ciò sebbene le agenzie di somministrazione preferiscano la soluzione della doppia titolarità del trattamento (cd titolarità autonoma).

Ad avviso dello scrivente, la teoria della autonoma titolarità non convince pienamente in quanto l’utilizzatore (l’ente/azienda), nel trattamento dei dati del lavoratore, non adempie ad un obbligo di legge o a compiti di interesse pubblico né tanto meno agisce in esecuzione di un contratto di cui l’interessato (il lavoratore) è parte, atteso che il contratto individuale di lavoro è in essere con l’agenzia di somministrazione e non con il lavoratore.

Si suggerisce, altresì, di esplicitare che le parti (agenzia di somministrazione ed Ente/Azienda) si diano atto della circostanza che la responsabilità per i trattamenti di dati personali effettuati dal lavoratore all’interno dell’Ente/Azienda (azienda utilizzatrice) sia in capo a quest’ultima.

Da ultimo, in riferimento al secondo quesito pervenuto, si suggerisce di specificare che la trasmissione dei dati personali dovrà avvenire attraverso il ricorso a canali telematici di trasmissione sicuri (https) e previa adozione di tecniche di cifratura “in transit”.

[1] Link: https://www.lavoro.gov.it/temi-e-priorita/rapporti-di-lavoro-e-relazioni-industriali/focus-on/disciplina-rapporto-lavoro/pagine/contratto-di-somministrazione

[2] Il lavoro somministrato è un rapporto di lavoro in base al quale l’impresa utilizzatrice può richiedere la prestazione di uno più lavoratori ad agenzie autorizzate (somministratori) iscritte in un apposito Albo informatico tenuto presso l’Agenzia Nazionale per le Politiche Attive del Lavoro (ANPAL).

[3] Articolo 4 Definizioni

Ai fini del presente regolamento s’intende per:

(omissis)

7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri

specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri; (C74)

[4] Articolo 28 Responsabile del trattamento (C81)

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti

dell’interessato.

2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili

del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di

dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) adotti tutte le misure richieste ai sensi dell’articolo 32;

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f ) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi

in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

5. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

8. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

10. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

[5] DECRETO LEGISLATIVO 10 settembre 2003, n. 276 – Attuazione delle deleghe in materia di occupazione e mercato del lavoro, di cui alla legge 14 febbraio 2003, n. 30. note: Entrata in vigore del decreto: 24-10-2003. link: https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2003-09-10;276

[6] Link: https://www.lavorosi.it/vigilanza-e-accertamenti-ispettivi/organi-e-attivita-di-vigilanza/inl-circ-n-4-del-12022018-certificazione-dei-contratti-enti-bilaterali-abilitati/

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

phishing
Data Retention

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Microsoft Office 365
Utilizzo di Microsoft Office 365 e sua conformità al Regolamento UE 2016/679
3 Gennaio 2024
protezione dati
Gli obblighi del titolare del trattamento in merito alle attività che il DPO deve svolgere.
29 Gennaio 2025
informatica
Il ruolo del Responsabile e dell’Ufficio per la transizione digitale alla luce di quanto stabilito nel Piano triennale per l’informatica nella P.A. 2024-2026.
22 Marzo 2025

Start typing and press Enter to search