Nell’Alert del 29 febbraio 2024 si è data notizia del completamento del codice di condotta per le Agenzie per il Lavoro (“APL”) soffermandoci sulle basi giuridiche individuate per i trattamenti tipici dei dati del personale, in quanto esse possono fornire utili indicazioni a qualsiasi datore di lavoro che si cimenta nella compilazione del proprio registro dei trattamenti, in qualità di titolare, anche oltre il contesto del citato codice.
Il Codice di condotta per il settore delle APL è stato elaborato da Assolavoro per contribuire alla corretta applicazione della normativa sulla protezione dei dati personali nel settore delle APL, in conformità all’art. 40.2 del GDPR. Il progetto di Codice, inizialmente, è stato sottoposto a pubblica consultazione per 30 giorni e le osservazioni ricevute sono state considerate per le modifiche apportate.
Successivamente, con provvedimento n. 12 dell’11 gennaio 2024 (doc. web n. 9983415), il Garante ha approvato il codice, la cui pubblicazione è avvenuta nella Gazzetta ufficiale n. 55 del 6/3/2024; di conseguenza, essendo intervenuto il contestuale accreditamento dell’Organismo di monitoraggio, esso è entrato in vigore il 7 marzo 2024, come precisato all’articolo 17 dello stesso codice di condotta.
Ruoli soggettivi di APL e Cliente
Il codice di condotta per le APL precisa i ruoli soggettivi privacy che intervengono tra le medesime APL e i rispettivi Clienti, cioè aziende o enti che si rivolgono alle APL per ottenere determinati servizi (art. 4, cod. condotta APL). Queste indicazioni hanno carattere generale e forniscono utili indicazioni per un corretto inquadramento soggettivo nei rapporti privacy tra queste parti, indipendentemente dall’effettiva adesione dell’APL al codice richiamato.
Nel contesto delle attività delle Agenzie per il Lavoro (APL) con i Clienti, escluse quelle di servizi in outsourcing, l’APL assume generalmente il ruolo di Titolare. Questo significa che nell’effettuazione delle attività come la somministrazione di lavoro, la ricerca e selezione del personale, l’intermediazione e il supporto alla ricollocazione professionale, l’APL risponde in proprio del pertinente trattamento dei dati personali. In tutti questi casi, la relazione tra APL e Cliente si configura come una relazione Titolare-Titolare, poiché entrambi i soggetti determinano autonomamente le finalità e le modalità dei trattamenti dei dati personali. Di conseguenza, il flusso di dati tra APL e Cliente rappresenta una “comunicazione”, cioè una distinta operazione di trattamento soggetta a una specifica base giuridica, come si vedrà in seguito.
Di converso, in caso di incarico in outsourcing, in cui l’APL tratta dati personali per conto del Cliente, l’APL di regola andrebbe designata come Responsabile del trattamento ai sensi dell’art. 28 del GDPR; il relativo flusso di dati tra APL e Cliente, pertanto, si svolgerà pur sempre all’interno dell’ambito dei trattamenti che fanno capo al Cliente titolare.
Continua…