ARGOMENTO:

Se le società emittenti i buoni pasto sono, in ipotesi, considerate nel Nostro ragionamento come soggetti autonomi titolari relativamente ai trattamenti dei dati del personale preordinati all'attivazione/utilizzo del servizio, ricade nella loro immediata responsabilità l'applicazione dei principi di cui all'art.25 e, con ciò, la progettazione e predisposizione del medesimo in modo tale da raccogliere i dati strettamente necessari a consentire la verifica dell'identità dei richiedenti l'attivazione della tessera.
Così come la stessa società è tenuta, obbligata alla cancellazione dei dati una volta che il trattamento, in relazione alla specifica finalità, non abbia più ragione di persistere.
Da un lato l'Amministrazione/Cliente è tenuta ad affidare il servizio ad imprese che garantiscano lo svolgimento delle attività richieste nel rispetto dei vari obblighi di legge ma per poter configurare un suo coinvolgimento in un trattamento contrario ai criteri della protezione dei dati dovremmo modificare l'ipotesi di partenza (che non è, beninteso, un assunto intangibile ma solo una ipotesi verosimile, pur sempre bisognosa di uno scrupoloso raffronto con le evidenze che emergono dalla fattispecie concreta) e poter immaginare tra Cliente e Fornitore, alternativamente: a) un rapporto titolare /responsabile; b) ove non addirittura una contitolarità, nello specifico trattamento.

Vi ringrazio di questa opportunità di approfondimento, essendomi posta anche io la domanda del dott. Di Gioia.
Ferma restando la titolarità autonoma della società emittente in relazione ai dati raccolti direttamente tramite la propria piattaforma, mi resta comunque qualche dubbio sull'architettura del servizio che prevede questo passaggio obbligatorio del dipendente sul portale della società, ai fini dell’attivazione della tessera dei buoni elettronici.
Questa attività di trattamento rende lo scenario diverso da quello del servizio assicurativo o bancario, utilizzato per i pagamenti degli stipendi.
In tali secondi casi, analoghi perché l'amministrazione necessita di rivolgersi a società certificate e accreditate, vengono trasferiti i soli dati necessari (nominativo, iban e corrispettivo economico, ad esempio, nel caso della banca o comunque secondo un formato standard del circuito bancario per gli stipendi) mentre, nel caso del servizio sostitutivo di mensa, non risulta sufficiente inviare periodicamente i nominativi e il numero di buoni maturati per consentirne la spendibilità al dipendente, dovendo questi obbligatoriamente autenticarsi sul sito della società emittente per poter usufruire del diritto all’utilizzo dei buoni pasto.
Non ho trovato ad oggi informazioni esaurienti sulla necessità sottesa a tale attività di trattamento.
Perché, in tempi di tecnologia avanzata che rende tutto verificabile con pochi dati, le società emittenti necessitano di tale passaggio che obbliga i dipendenti a cedere ulteriori informazioni e soprattutto rafforzano la titolarità delle stesse su un bagaglio ampio di informazioni che sono cedute dal dipendente in forza di un obbligo? E’ privacy by design e by default tale modello di servizio, ormai adottato da tutte le società emittenti e quindi corretta la scelta del contraente, da parte del Titolare-Amministrazione che a tale società si rivolge trasferendo dati acquisiti per le proprie attività o può ravvisarsi qualche responsabilità, considerando inoltre che praticamente ogni anno la scelta della società cambia sulla base dei costi offerti, e quindi aumenta il perimetro di trasferimento di tali dati che andrebbero distrutti dopo un certo periodo, se fossero trattati al solo fine di erogare il servizio sostitutivo di mensa?
Vi ringrazio per l'attenzione
Flavia Cristiano

L'emissione di buoni pasto è sottoposta alla disciplina del decreto ministeriale 122 del 7 giugno 2017 avente ad oggetto “Regolamento recante disposizioni in materia di servizi sostitutivi di mensa, in attuazione dell'articolo 144, comma 5, del decreto legislativo 18 aprile 2016, n. 50”.
Nella gestione dei buoni pasto, proprio in base al citato decreto, intervengono i soggetti inquadrati dall'art. 2: il cliente (datore di lavoro che acquista dalla società di emissione i buoni pasto al fine di erogare il servizio sostitutivo di mensa ai propri dipendenti e collaboratori), il titolare (dipendente o anche collaboratore del datore), l'esercizio convenzionato (con la società di emissione, che provvede ad erogare il servizio sostitutivo di mensa) e, soprattutto per quanto qui rilevante, la società emittente (“l'impresa che svolge l'attività di emissione di buoni pasto, legittimata all'esercizio, previa segnalazione certificata di inizio attività attestante il possesso dei requisiti richiesti di cui al comma 3 dell'articolo 144 del decreto legislativo 18 aprile 2016, n. 50, trasmessa, ai sensi dell'articolo 19 della legge 7 agosto 1990, n. 241, al Ministero dello sviluppo economico”).
Dalla disamina del decreto si evince come l'emissione di buoni pasto sia una attività riservata a soggetti imprenditoriali (peraltro non così numerosi nel mercato) che debbono soddisfare specifici requisiti; per cui, a partire da tale circostanza, pare di trovarsi in una fattispecie non troppo diversa, anzi analoga a quella che l'autorità di controllo italiana ha a suo tempo esaminato quando ha definito il “ruolo soggettivo dell’impresa assicurativa nell’ambito dei bandi di gara per l’affidamento dei servizi assicurativi”, doc. web. n. 9169688 (da tenere come punto di riferimento perché fornisce un criterio per dirimere le questioni come quella posta con il Suo quesito).
Sembra dunque profilarsi (il verbo 'sembra' è legato ad una residua e pur doverosa cautela) un rapporto titolare-titolare tra datore/cliente e società emittente, nel quale la fornitura dei dati da parte dei prestatori di lavoro e/o collaboratori direttamente alla seconda trova la sua ragione nella configurazione delle effettive modalità di predisposizione e di erogazione del servizio.

Il fornitore del servizio di buoni pasto elettronici con relativa piattaforma cloud (con iscrizione diretta del lavoratore) può/deve essere inquadro come titolare autonomo nei confronti del datore di lavoro e non solo nei confronti del singolo lavoratore che si iscriva alla piattaforma per gestire i suoi buoni pasto?
Ovvero: il fatto che il fornitore garantisca un servizio che il datore di lavoro non può erogare è sufficiente a giustificare il "passaggio" dei dati dei lavoratori direttamente al fornitore, così che questi fornisca le credenziali d'accesso e le istruzioni, dando solo un'informativa ai lavoratori o tra datore di lavoro e fornitore va comunque stipulato un accordo ex art. 28 per il trattamento dei nominativi dei lavoratori e poi la titolarità autonoma rimane solo per la gestione delle registrazioni alla piattaforma?