Il Garante per la protezione dei dati personali, nella newsletter n. 449 del 7 febbraio 2019, ha affrontato, alla luce del Regolamento europeo (GDPR), la discussa questione relativa al ruolo e alle responsabilità dei consulenti del lavoro nel trattamento dei dati personali dei lavoratori delle aziende clienti. Il Garante, in particolare, distinguendo tra titolare e responsabile del trattamento, laddove il primo è colui che determina le finalità e i mezzi del trattamento di dati personali e il secondo è colui che tratta dati personali per conto del titolare, ha precisato che i consulenti del lavoro sono “titolari” del trattamento quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti, oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti, determinando puntualmente le finalità e i mezzi del trattamento. Gli stessi sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto e nella misura in cui l’incarico contenga anche le istruzioni sui trattamenti da effettuare, come ad esempio nel caso dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e chiusura dei contratti di lavoro, o quelle previdenziali e assistenziali, ossia dati e informazioni raccolte e utilizzate dai datori di lavoro per adempiere il contratto di lavoro o in applicazione di norme di legge e di regolamento, gestite dai consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche.