L’autorité italienne de protection des données a précisé le rôle et la responsabilité des consultants en matière de travail dans le traitement des données personnelles des clients à la lumière du règlement général sur la protection des données, en les identifiant comme « sous-traitants de données » lorsqu’ils traitent les données personnelles des employés sur la base des tâches reçues.

En répondant aux questions soumises par le Conseil national des conseillers du travail et par un certain nombre d’experts, l’Autorité de protection des données a précisé que le règlement (UE) 679/2016 est en continuité avec tout ce qui a déjà été spécifié par la directive 95/46/CE. Le règlement confirme les définitions du responsable du traitement et du sous-traitant, dans lesquelles le premier reste le sujet qui « détermine les moyens et les finalités du traitement des données à caractère personnel » et le second est celui qui traite « des données à caractère personnel pour le compte du responsable du traitement ».

Et pour cette raison, les consultants en matière de travail sont « des sous-traitants de données, lorsqu’ils traitent, en toute indépendance, les données à caractère personnel de leur employé ou de leurs clients lorsqu’ils sont une personne physique, en tant que free-lance en déterminant les moyens et les finalités du traitement ». Ils sont des « sous-traitants de données » lorsqu’ils traitent les données à caractère personnel de leurs employés sur la base de la tâche reçue, qui comprend également les instructions de traitement qui doivent être exécutées. C’est le cas, par exemple, des consultants en matière de travail qui protègent, pour le compte des employeurs, l’établissement des bulletins de paie, les pratiques relatives au recrutement et à la cessation d’emploi, ou la sécurité sociale et la protection sociale, en traitant une pluralité de données à caractère personnel, y compris des travailleurs sensibles

Il s’agit d’informations recueillies et utilisées par les employeurs de données basées sur le contrat, les législations et les règlements (ainsi que les dispositions sur le travail et l’assistance sociale), et sont gérées par des consultants en travail dans lesquels sont externalisés des services basés sur les secteurs et les règles éthiques pertinentes.
Et c’est sur le contrat de mandat et de nomination des responsables du traitement des données par le client qu’elle repose sur la légitimité des processus réalisés par les consultants. L’Autorité des données a défini pour les consultants en travail, en tant que responsables du traitement des données, un niveau élevé d’autonomie et de responsabilité lié aussi à l’individuation et aux prédispositions de mesures de sécurité adéquates, techniques et organisationnelles, afin de protéger les clients des données personnelles traitées.

Source: Garante Privacy