Distinzione tra profilazione e profilazione ad alto rischio. La normativa svizzera LPD individua un alto rischio nella profilazione laddove il trattamento di dati personali coinvolga la personalità o i diritti fondamentali della persona interessata. Importante è che l’attività di profilazione rispetti i principi di liceità, buona fede, necessità e proporzionalità.
Tra i temi salienti della nuova normativa privacy svizzera (Legge federale sulla protezione dei dati – LPD) rientra la distinzione tra profilazione e profilazione ad alto rischio. Nell’attesa che vengano forniti ulteriori chiarimenti da parte del Legislatore elvetico, un confronto con la normativa privacy europea (in particolare il Regolamento Generale sulla Protezione dei Dati Personali – GDPR) è utile per comprendere meglio questa distinzione, in base alla quale il titolare può essere tenuto ad adottare i diversi adempimenti che andremo a indicare.
Cosa si intende per “profilazione” e per “profilazione ad alto rischio” nella LPD?
Dalla definizione, presente nel testo della LPD, emergono alcuni elementi interessanti. Il primo è che la profilazione implica un trattamento automatizzato di dati personali. Il secondo è lo scopo pratico di tale trattamento, ossia l’analisi o la previsione di determinati “aspetti” di una persona fisica, realizzata tramite la “valutazione” dei suoi stessi dati personali. Tali elementi sono presenti anche nella definizione di profilazione nel GDPR.
Con riguardo alla profilazione ad alto rischio, in estrema sintesi, possiamo affermare che essa si distingue dalla semplice profilazione, in base alle possibili conseguenze derivanti da tale attività. Infatti, secondo la definizione contenuta nella LPD, la profilazione ad alto rischio consiste in una profilazione che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata. Il rischio elevato a cui si riferisce la norma consiste nella possibile valutazione di aspetti essenziali della personalità di una persona fisica.
Seppure le definizioni legislative appaiano piuttosto marcate “sulla carta”, la distinzione tra questi due tipi di profilazione potrebbe non risultare sempre agevole, nella pratica.
Consenso dell’interessato
Risulta importante fare chiarezza, poiché da questa distinzione derivano conseguenze pratiche di non poco conto per il titolare. Un esempio riguarda il consenso dell’interessato che è necessario proprio per la profilazione a rischio elevato da parte di privati e per la profilazione da parte di un organo federale.
Secondo la LPD in caso di profilazione semplice le aziende private non sono tenute ad ottenere il consenso dell’interessato. Al contrario, tale obbligo (ed i relativi oneri di gestione del consenso degli interessati) sussiste in caso di profilazione ad alto rischio.
Come riconoscere, dunque, una profilazione ad alto rischio?
La profilazione nel GDPR
Un contributo interpretativo si può trovare nel GDPR. Infatti, pur non definendola espressamente “ad alto rischio”, il GDPR riconosce che da certe modalità di profilazione possono derivare effetti giuridici che riguardano la persona interessata o che incidano in modo analogo significativamente sulla sua persona.
Il Gruppo di Lavoro (ora European Data Protection Board – EDPB) ha fornito alcuni esempi concreti, che aiutano a comprendere quando si è in presenza di una profilazione “semplice” o meno.
Tra questi esempi rientrano: la cancellazione di un contratto, la concessione o la negazione del diritto a una particolare prestazione sociale concessa dalla legge (es. l’indennità di alloggio, le prestazioni per figli a carico), il rifiuto dell’ammissione in un paese o la negazione della cittadinanza, effetti di tipo finanziario (es. ammissibilità di una persona al credito), l’accesso ai servizi sanitari, un’opportunità di impiego o l’accesso ai servizi d’istruzione (es. l’ammissione ad un’università).
Aspetti pratici
L’interpretazione sopra indicata può certamente orientare il titolare del trattamento in una fase iniziale di assessment. Ma non è comunque sufficiente, di per sé sola, al fine di dimostrare l’accountability alla LPD.
A tale scopo, si suggerisce al titolare di verificare concretamente che il trattamento rispetti i requisiti previsti dalla LPD. E, quindi, prima di iniziare l’attività di profilazione, valutare se la stessa rispetti, o meno, i principi di liceità, buona fede, necessità e proporzionalità. Inoltre, è molto importante stabilire anche la data retention, ossia i tempi di conservazione dei dati trattati.
Nel caso in cui tale verifica abbia dato esito positivo, andranno definite anche le concrete modalità di trattamento. In questa fase, si suggerisce di adeguarsi ai principi di privacy by design e by default e, quindi, adottare tutti quei provvedimenti tecnici e organizzativi necessari affinché il trattamento sia conforme, sin dalla sua progettazione e per impostazione predefinita, alla normativa sulla protezione dei dati. In particolare:
- eseguire un risk assessment sulla modalità di profilazione che si intende seguire;
- nel caso in cui si ricorra ad un fornitore, individuare quello più adatto e gestire il relativo contratto di nomina. Si raccomanda di verificare che il fornitore scelto offra adeguate garanzie in termini di misure di sicurezza e di trasferimenti al di fuori del territorio elvetico;
- condurre una valutazione d’impatto sulla protezione dei dati (obbligatoria in caso di profilazione a rischio elevato). Ricordiamo che tale analisi dovrà valutare specificatamente i rischi per la personalità, o per i diritti fondamentali della persona interessata, oltre ad indicare i provvedimenti che il titolare prevede di adottare a loro tutela;
- se dalla valutazione d’impatto emerge che, nonostante i provvedimenti indicati dal titolare, il trattamento previsto comporta (ancora) un rischio elevato per la personalità o i diritti fondamentali della persona interessata, il titolare dovrà consultare previamente l’Incaricato Federale della Protezione dei Dati e della Trasparenza (IFPDT). Non è obbligato a rivolgersi all’IFPDT il titolare che, avendolo nominato, ha già consultato il proprio consulente per la protezione dei dati;
- rispettare gli obblighi informativi, avendo cura di fornire all’interessato un adeguato livello di informazione, mediante una privacy policy che spieghi anche le logiche adottate dal titolare nell’attività di profilazione;
- in caso di profilazione ad alto rischio, sarà fondamentale creare una procedura per la corretta raccolta e gestione dei consensi. Ricordiamo infatti che, in caso di profilazione ad alto rischio, la base giuridica sarà necessariamente il consenso dell’interessato.
La normativa svizzera individua un alto rischio nella profilazione laddove il trattamento di dati personali coinvolga la personalità o i diritti fondamentali della persona interessata. Ma, in assenza di ulteriori interventi normativi, questa nozione risulta piuttosto ampia e dai contorni poco definiti. Visto il quadro di incertezza ed i numerosi punti di contatto tra la LPD e GDPR, potrebbe essere utile per il titolare confrontarsi con gli orientamenti sviluppati in sede europea.
Per il titolare, questo potrebbe essere un utile punto di partenza per comprendere se il trattamento comprenda o meno una profilazione ad alto rischio e valutare, così, l’adozione o meno degli specifici e conseguenti adempimenti pratici che abbiamo indicato con riferimento alla profilazione ad alto rischio.
In particolare: l’analisi del trattamento in termini di liceità, buona fede, necessità e proporzionalità; la scelta e la gestione del rapporto con gli eventuali fornitori; la valutazione d’impatto sulla protezione dei dati; l’eventuale consultazione preventiva con l’IFPDT (o con il consulente per la protezione dei dati, se nominato); le informazioni da comunicare agli interessati del trattamento (con la spiegazione delle logiche della profilazione) e la creazione di una procedura per la corretta raccolta e gestione dei consensi prestati dagli interessati.
Ricordiamo, infatti, che ai fini di accountability, sarà fondamentale per il titolare dimostrare i motivi per cui ha ritenuto che la modalità di profilazione adottata fosse o meno ad alto rischio.
Articolo a cura di Gianfranco Valsecchi | Legal Compliance Officer
