LPD, PROFILAZIONE AD ALTO RISCHIO

Tutto ciò che devi sapere sul tema della profilazione ad alto rischio prevista dalla legge sulla protezione dati in Svizzera.

 

In questo articolo potrai comprendere la distinzione tra profilazione e profilazione ad alto rischio nell’ottica del trattamento dei dati personali. Saranno analizzate le principali differenze rispetto al GDPR e cosa comporta per gli interessati e per i responsabili del trattamento.

 

E nello specifico:

  1. Introduzione alla LPD
  2. LPD, la profilazione ad alto rischio, un quadro completo
  3. LPD e GDPR a confronto

1. INTRODUZIONE ALLA LPD

La LPD nasce il 19 giugno 1992 e trova la sua piena applicazione a partire dal 1° luglio dell’anno successivo.

In seguito al susseguirsi di numerose modificazioni il 25 settembre 2020 è stata approvata in votazione finale alle Camere Federali la revisione totale della legge sulla protezione dei dati personali in Svizzera, con l’obiettivo di modernizzare e adeguare la normativa all’evoluzione tecnologica e sociale dell’era digitale e di allinearla alla regolamentazione UE General Data Protection Regulation (GDPR).

Si stima che la LPD revisionata entrerà ufficialmente in vigore entro il 2022.

La LPD introduce una serie di importanti novità atte a rinnovare e conformare il diritto nazionale Svizzero agli sviluppi del panorama europeo, permettendo la continuazione dello scambio di dati perfettamente regolamentato tra le imprese svizzere e quelle dell’Unione Europea.

Le innovazioni della LPD possono generalmente descriversi come segue:

  • attribuzione di nuovi e più ampi poteri all’Incaricato Federale della protezione dei dati e della trasparenza (IFPDT);
  • introduzione di un aumento degli adempimenti per le aziende a garanzia e in conformità ai principi cardine sui quali la LPD si fonda, ovvero maggiore trasparenza sulle attività ritenute a rischio nell’ambito del trattamento dei dati e miglior controllo da parte degli interessati sugli stessi;
  • imposizione di inasprite sanzioni pecuniarie in capo ai soggetti responsabili di violazioni, con multe che arrivano fino a 250.000 CHF.

Le principali novità riguardano dunque obblighi, direttive e possibilità rivolti alle aziende.

Nello specifico oggi ci occuperemo di analizzare l’introduzione della figura del Rappresentante nella Confederazione Svizzera.

2. LPD, la profilazione ad alto rischio, un quadro completo

La normativa LPD individua un alto rischio nella profilazione laddove il trattamento di dati personali coinvolga la personalità o i diritti fondamentali della persona interessata.

Sia che si tratti di profilazione o profilazione ad alto rischio, è importante che l’attività di profilazione rispetti i principi di liceità, buona fede, necessità e proporzionalità.

E nello specifico:

  • Liceità: Il principio di liceità del trattamento dei dati personali stabilisce che i dati personali devono essere trattati nel rispetto delle leggi e normative vigenti, anche quelle che regolano settori specifici;
  • Buona fede: Il principio della buona fede o trasparenza esige che la persona interessata sappia o possa riconoscere quali dati sono raccolti e per quali scopi. La raccolta di dati personali e in particolare le finalità per cui sono trattati devono essere riconoscibili per gli interessati;
  • Principio di necessità: in base al quale, sin dalla loro configurazione, i sistemi informativi ed i software devono essere predisposti in modo da assicurare che i dati personali o identificativi siano utilizzati solo se indispensabili per il raggiungimento delle finalità consentite, e non anche quando i medesimi obiettivi possano essere raggiunti mediante l’uso di dati anonimi o che comunque consentano una più circoscritta identificazione degli interessati.

Dalla definizione di profilazione ad alto rischio, analizzata nel testo della LPD, emergono alcuni elementi di rilievo:

  • Il primo è che la profilazione implica un trattamento automatizzato di dati personali;
  • Il secondo è lo scopo pratico di tale trattamento, ossia l’analisi o la previsione di determinati “aspetti” di una persona fisica, realizzata tramite la “valutazione” dei suoi stessi dati personali.

Tali elementi sono presenti anche nella definizione di profilazione nel GDPR.

Con riguardo alla profilazione ad alto rischio, possiamo affermare che essa si distingue dalla semplice profilazione, in base alle possibili conseguenze derivanti da tale attività.

Infatti, secondo la definizione contenuta nella LPD, la profilazione ad alto rischio consiste in una profilazione che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata.

Il rischio elevato a cui si riferisce la norma consiste nella possibile valutazione di aspetti essenziali della personalità di una persona fisica.

Seppure le definizioni legislative appaiano piuttosto marcate “sulla carta”, la distinzione tra questi due tipi di profilazione potrebbe non risultare sempre agevole, nella pratica.

Tra i temi salienti della nuova normativa privacy svizzera (LPD) rientra la distinzione tra profilazione e profilazione ad alto rischio.

Nell’attesa che vengano forniti ulteriori chiarimenti da parte del Legislatore elvetico, un confronto con la normativa privacy europea (in particolare il Regolamento Generale sulla Protezione dei Dati Personali – GDPR) è utile per comprendere meglio questa distinzione, in base alla quale il titolare può essere tenuto ad adottare i diversi adempimenti che andremo a indicare.

3. LPD e GDPR a confronto:

Un contributo interpretativo per comprendere a fondo il tema della profilazione ad alto rischio analizzata nella LPD si può trovare nel GDPR.

Infatti, pur non definendola espressamente “ad alto rischio”, il GDPR riconosce che da certe modalità di profilazione possono derivare effetti giuridici che riguardano la persona interessata o che incidano in modo analogo significativamente sulla sua persona.

Per comprendere quando si è in presenza di una profilazione “semplice” o ad alto rischio possiamo analizzare alcuni esempi pratici, come ad esempio: la cancellazione di un contratto, la concessione o la negazione del diritto a una particolare prestazione sociale concessa dalla legge (es. l’indennità di alloggio, le prestazioni per figli a carico), il rifiuto dell’ammissione in un paese o la negazione della cittadinanza, effetti di tipo finanziario (es. ammissibilità di una persona al credito), l’accesso ai servizi sanitari, un’opportunità di impiego o l’accesso ai servizi d’istruzione (es. l’ammissione ad un’università).

In assenza di ulteriori interventi normativi, la nozione di profilazione ad alto rischio risulta piuttosto ampia e dai contorni poco definiti. Visto il quadro di incertezza ed i numerosi punti di contatto tra la LPD e GDPR, potrebbe essere utile per il titolare confrontarsi con gli orientamenti sviluppati in sede europea.