-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Aspetti generali
- II. Profilazione (lett. f)
- III. Profilazione ad alto rischio (lett. g)
- IV. Conseguenze legali
- V. Consigli pratici
- Bibliografia
- I Materiali
In breve
Il concetto di profilo nella nuova LPD sostituisce il precedente concetto di profilo della personalità. Le disposizioni sulla profilazione sono state ampiamente discusse nelle delibere parlamentari e sono state una delle ragioni del lungo iter legislativo. La profilazione è definita come un trattamento automatizzato dei dati allo scopo di valutare aspetti personali. Tale profilazione è molto comune nella pratica, soprattutto nell'ambito della personalizzazione delle offerte, e non ha particolari conseguenze legali per i responsabili del trattamento dei dati privati. Oltre alla normale profilazione, la nuova LPD riconosce anche una forma qualificata di profilazione "ad alto rischio". L'LPD si discosta quindi dal DSGVO, che riconosce la profilazione qualificata solo in relazione alle decisioni individuali automatizzate. La profilazione ad alto rischio esiste se è possibile valutare aspetti essenziali della personalità collegando i dati. La classificazione come profilazione ad alto rischio dipende fortemente dal singolo caso e fa scattare l'obbligo di condurre una valutazione d'impatto sulla protezione dei dati, ma non comporta un obbligo generale di consenso.
I. Aspetti generali
A. Osservazione preliminare
1 La profilazione, intesa come valutazione automatizzata degli aspetti personali, è oggi una procedura ampiamente utilizzata, di grande importanza pratica soprattutto come base per la personalizzazione molto diffusa delle offerte nel settore dei clienti finali. I servizi digitali, come i servizi di streaming, i negozi online e le piattaforme di social media in particolare, hanno di solito così tanti "contenuti" che non potrebbero essere utilizzati in modo significativo senza una personalizzazione. Oggi i clienti danno per scontato che tali offerte digitali forniscano una guida mirata, ad esempio sulla base del comportamento di utilizzo precedente.
2 La profilazione è quindi un processo quotidiano che spesso è nell'interesse dei clienti. Tuttavia, poiché la profilazione comporta una valutazione solitamente automatizzata sulla base di correlazioni e probabilità, il processo è considerato rischioso e quindi necessita di una regolamentazione. Profilazione significa sempre una valutazione generalizzata della personalità basata su determinate caratteristiche, che potrebbe non rendere giustizia alla persona specifica interessata ("pigeonholing"). La maggiore sensibilità della profilazione è particolarmente evidente quando si tratta di applicazioni al di fuori del settore dei consumatori, ad esempio l'uso da parte delle autorità nel settore della sicurezza e dell'applicazione della legge.
B. Storia
3 Il nuovo termine "profiling" introdotto con la revisione sostituisce il "profilo della personalità" della precedente LPD. Mentre il profilo di personalità descrive uno stato statico, il nuovo termine profiling si riferisce al processo di valutazione in quanto tale. Il concetto di profilo della personalità era una peculiarità svizzera e la sua sostituzione con il termine profiling lo allinea al diritto europeo (anche se il profilo della personalità è rinato mutatis mutandis sotto forma di "profiling ad alto rischio"). La nuova terminologia intende anche riflettere il progresso tecnico, ad esempio nei settori dei big data e dell'intelligenza artificiale, e le relative maggiori possibilità di trattamento dei dati.
4 La profilazione è stata uno dei principali punti di discussione del processo legislativo. Le divergenze sulla profilazione sono state uno dei principali fattori che hanno ritardato l'adozione della legge rivista. Si è discusso in particolare se e in che misura la profilazione debba richiedere il consenso. Nella bozza preliminare della LPD, la profilazione senza il consenso esplicito dell'interessato era ancora elencata tra le violazioni della personalità. Tuttavia, questo requisito del consenso è stato eliminato nel prosieguo del processo legislativo. Anche il diritto di opporsi alla profilazione, che era stato messo in discussione, non è stato accettato dal Parlamento. Anche i dettagli della definizione e in particolare il concetto di "profilazione ad alto rischio", creato solo durante le deliberazioni parlamentari e rimasto controverso fino alla fine, sono stati oggetto di discussione.
C. Sistematica e delimitazione
5 L'art. 5 LPD distingue due forme di profilazione: da un lato, nella lettera f, la profilazione "normale" come trattamento automatizzato dei dati allo scopo di valutare aspetti personali, e dall'altro, nella lettera g, la profilazione qualificata "ad alto rischio" basata sulla profilazione normale. Mentre la definizione di profilazione normale è stata adottata senza modifiche dal DSGVO nella legge svizzera, la profilazione qualificata ad alto rischio è una creazione originale del legislatore svizzero. Con la gradazione, il legislatore ha voluto tenere conto del fatto che le varie applicazioni della profilazione differiscono, talvolta in modo considerevole, in termini di portata ed effetti.
6 La profilazione deve essere distinta dal processo decisionale individuale automatizzato ai sensi dell'art. 21 LPD. La profilazione è il processo di valutazione che può essere alla base di una decisione individuale automatizzata, ma è logicamente a monte di essa. La profilazione porta a una decisione individuale automatizzata solo se la valutazione si manifesta in un effetto esterno concreto e questo effetto esterno si manifesta sotto forma di una conseguenza legale o di una compromissione altrettanto drastica.
II. Profilazione (lett. f)
A. Generale
7 Il cambiamento del concetto di profilazione della personalità in profilazione era finalizzato all'allineamento con il diritto europeo e il legislatore ha quindi adottato quasi alla lettera la definizione giuridica dell'art. 4 n. 4 del DSGVO nel diritto svizzero. Essenzialmente, comprende quattro elementi: in primo luogo, un processo di valutazione che, in secondo luogo, è automatizzato e, in terzo luogo, produce dichiarazioni su aspetti personali che, in quarto luogo, si riferiscono a una persona fisica. Questi elementi sono illustrati di seguito con l'esempio dei consigli di lettura personalizzati nelle librerie.
B. Processo di valutazione
8 Il concetto di profiling si concentra sull'elemento della valutazione. In sostanza, il profiling è un processo di valutazione in cui si ricavano nuove conoscenze su una persona attraverso l'analisi o la previsione. "Previsione" esprime il fatto che il profiling di solito mira a una considerazione orientata al futuro, ad esempio, nel caso del commercio di libri, a fare una previsione su quali libri i clienti potrebbero mettere nel loro carrello. L'"analisi", la seconda forma di valutazione menzionata nella definizione legale, invece, rappresenta una valutazione di aspetti passati o presenti, per cui l'analisi di solito non sta in piedi da sola, ma a sua volta costituisce la base per dichiarazioni previsionali.
9 Una valutazione include sempre una classificazione normativa ed è quindi soggettiva in una certa misura. Se non c'è un margine di giudizio soggettivo e si tratta solo della determinazione oggettiva di un fatto, non c'è valutazione. Il mero calcolo della posizione da parte di un sistema di navigazione, ad esempio, non contiene un elemento di valutazione più di quanto non lo contenga il mero reperimento, il filtraggio o l'ordinamento dei dati in un database. Se una libreria seleziona i suoi clienti in base a caratteristiche come l'età o il luogo di residenza e forma gruppi di clienti corrispondenti, non si tratta di profilazione. Anche se legge gli acquirenti di un certo autore dal suo database di clienti per attirare la loro attenzione su una nuova pubblicazione dello stesso autore, la libreria si limita a filtrare e non a profilare. Se invece il libraio assegna, ad esempio, gli acquirenti di "1984" di George Orwell al segmento di clientela "letteratura distopica", si tratta di una valutazione e quindi di profilazione.
C. Automazione
10 La profilazione ai sensi dell'art. 5 lett. f LPD riguarda solo il trattamento automatizzato dei dati personali. Il trattamento è automatizzato se viene effettuato con l'ausilio di tecniche assistite da computer. Non è automatizzato se la valutazione si basa esclusivamente su un processo di pensiero umano, ossia avviene solo "nella mente di un essere umano".
11 Se, ad esempio, una libraia conosce le preferenze dei suoi clienti e su questa base fa delle raccomandazioni individuali (ad esempio consiglia "Il racconto dell'ancella" di Margaret Atwood a un lettore di "1984"), non si tratta di profilazione ai sensi della legge perché non c'è automazione. Il fatto che il libraio annoti ogni cliente in un database elettronico non cambia la situazione. Se, invece, il libraio fa calcolare le raccomandazioni da un algoritmo, si tratta di un processo automatizzato e quindi costituisce una profilazione. In questo caso, l'automazione non è già annullata dal fatto che il libraio stesso definisca i criteri in una certa misura (ad esempio, assegna autori o libri a determinati generi), purché la valutazione sia assistita da un computer e non si limiti a semplici query "se-quindi".
12 La progettazione tecnica concreta del processo di profilazione non è decisiva. Il concetto di profilazione è neutro dal punto di vista tecnologico e la qualifica di profilazione è indipendente dalle procedure tecniche utilizzate. In pratica, i sistemi di raccomandazione delle offerte digitali, in particolare, sono spesso basati sul cosiddetto "filtraggio collaborativo", in cui le preferenze e il comportamento di altri utenti vengono presi in considerazione in aggiunta alla cronologia e alle informazioni sui contenuti dell'utente stesso. Ad esempio, in una libreria online, se agli utenti A e B piacciono libri simili e l'utente A ha valutato positivamente un particolare libro che l'utente B non ha ancora acquistato, il sistema potrebbe consigliare quel libro all'utente B. Si tratta di un approccio molto utile al filtraggio. Tuttavia, l'uso di questi metodi basati sulla correlazione non è concettualmente essenziale.
D. Aspetti personali
13 Per costituire una profilazione, la valutazione deve portare a nuove conoscenze su aspetti personali delle persone fisiche. L'art. 5 lett. f LPD contiene un elenco di aspetti personali la cui valutazione può giustificare una profilazione: Prestazioni lavorative (ad es. rispetto degli standard di qualità o raggiungimento degli obiettivi di produttività), situazione economica (ad es. situazione reddituale o comportamento di risparmio), salute (ad es. abitudini alimentari o propensione al rischio di determinate malattie), preferenze personali (ad es. preferenze di investimento, generi preferiti o destinazioni di viaggio preferite), interessi (ad esempio, hobby o attività del tempo libero), affidabilità (ad esempio, affidabilità creditizia o tipi di personalità), comportamento (ad esempio, interazioni sociali o comportamento di acquisto), luogo o cambiamento di luogo (ad esempio, modelli di spostamento, percorsi a piedi o comportamento di mobilità).
14 L'elenco di cui all'art. 5 lett. f è molto completo, ma non esaustivo ("in particolare"), e a seconda del contesto possono essere rilevanti anche altri aspetti. L'elemento dell'aspetto della personalità non ha quindi quasi alcun effetto limitante. Ciò che è richiesto è che l'aspetto abbia una certa complessità e sia quindi suscettibile di valutazione nel senso di una valutazione soggettiva. Gli aspetti che non consentono discrezionalità e possono quindi essere determinati in modo puramente oggettivo non rientrano nel profiling (ad esempio, la determinazione del peso corporeo). Tuttavia, come dato futuro, gli stessi aspetti possono richiedere una valutazione (ad esempio, il peso corporeo futuro previsto). Inoltre, gli aspetti puramente oggettivi possono servire come base di dati per la valutazione di altri aspetti discrezionali (ad esempio, il peso corporeo come indicatore di determinati rischi di malattia).
E. Riferimento personale
15 La profilazione in senso giuridico richiede che le affermazioni fatte si riferiscano a singole persone. Se, invece, le affermazioni si riferiscono solo a gruppi di persone da cui non si possono determinare persone singole, non si ha profilazione, anche se il trattamento si basa su dati personali come "input". Se, ad esempio, una libreria si limita ad analizzare quali autori e generi sono più popolari nelle varie fasce d'età per ottimizzare l'assortimento, senza fare dichiarazioni sui singoli clienti, non sta effettuando una profilazione. Lo stesso vale per l'analisi dell'utilizzo di un sito web allo scopo di migliorare la facilità d'uso, dove non viene effettuata alcuna valutazione personale.
16 Non c'è profilazione nemmeno se il trattamento si basa solo su dati anonimi o aggregati, vale a dire che i "dati di input" in sé non hanno alcun riferimento personale. Non si tratta di un trattamento di dati personali e la legge sulla protezione dei dati non è applicabile (art. 2 cpv. 1 LPD). Tuttavia, se lo scopo del trattamento è quello di deanonimizzare i dati, di per sé anonimi, e di (ri)attribuirli a singole persone, si tratta nuovamente di un trattamento di dati personali soggetto alla legge sulla protezione dei dati. In questo caso, può essere coinvolta la profilazione, il cui scopo è proprio quello di deanonimizzare i dati stabilendo connessioni.
III. Profilazione ad alto rischio (lett. g)
A. Generalità
17 Con la "profilazione ad alto rischio", l'art. 5 lett. g LPD introduce una forma qualificata di profilazione basata sulla normale profilazione. Il concetto giuridico di "profiling ad alto rischio" è stato creato per la prima volta nel processo legislativo ed è stato oggetto di un intenso dibattito in Parlamento. Tra l'altro, sono state discusse formulazioni che si sarebbero basate sul fatto che la profilazione produce dati personali particolarmente meritevoli di protezione, o sul fatto che la profilazione si estende a varie aree della vita dell'interessato. Infine, è prevalso l'approccio di adottare il precedente concetto giuridico di "profilo della personalità" in termini di contenuto, anche se non di nome. La profilazione ad alto rischio è essenzialmente una profilazione che porta a un profilo della personalità secondo la precedente LPD. Il profilo della personalità è stato abolito solo superficialmente con la nuova LPD.
18 La profilazione ad alto rischio è una specialità svizzera. Il DSGVO non riconosce tale forma qualificata di profilazione e fa dipendere le conseguenze legali speciali in caso di profilazione dal fatto che essa avvenga in connessione con una decisione individuale automatizzata. Si sarebbe potuto ottenere un maggiore allineamento con il DSGVO se il criterio per la "profilazione ad alto rischio" fosse stato definito come se la profilazione avesse effetti legali sull'interessato o lo riguardasse in modo significativo. Il fatto che invece sia stato riproposto il precedente profilo della personalità e sia stata perpetuata una peculiarità svizzera è deplorevole. Si è persa un'occasione per creare una maggiore convergenza con il DSGVO.
19 Affinché si possa parlare di "profilazione ad alto rischio" ai sensi dell'art. 5 lett. g LPD, oltre alla normale profilazione devono essere presenti due elementi: in primo luogo, un collegamento di dati e, in secondo luogo, aspetti essenziali della personalità a cui si riferiscono potenzialmente le dichiarazioni generate dalla profilazione. I due elementi aggiuntivi sono necessari e sufficienti. Ciò significa, innanzitutto, che si presume che il rischio elevato eponimo esista se sono presenti i due elementi citati. Il rischio elevato non costituisce un elemento concettuale aggiuntivo che deve essere esaminato separatamente in ogni singolo caso. Inoltre, ciò significa che la profilazione che non soddisfa la definizione legale non diventa "profilazione ad alto rischio" perché presenta un rischio elevato per gli interessati nel caso specifico per altri motivi (e quindi richiede, ad esempio, la realizzazione di una valutazione d'impatto sulla protezione dei dati).
B. Collegamento dei dati
20 La profilazione ad alto rischio richiede innanzitutto il collegamento dei dati. Per collegamento dei dati si intende il processo di collegamento, fusione o abbinamento di due o più serie separate di dati al fine di ottenere una comprensione più profonda o più ampia. Il collegamento dei dati può essere effettuato in vari modi, ad esempio unendo dati provenienti da fonti diverse che si riferiscono allo stesso individuo o collegando i dati in base a caratteristiche, criteri o variabili comuni.
21 Il collegamento dei dati sostituisce il precedente termine giuridico "compilazione di dati" ed esprime quindi il fatto che la profilazione non è una semplice raccolta di dati, ma un collegamento mirato di diverse serie di dati. Una semplice raccolta di dati, eventualmente anche per la preparazione di un profilo, non costituisce ancora un collegamento di questo tipo. A differenza del precedente profilo di personalità, una raccolta statica di dati non è sufficiente.
C. Valutazione degli aspetti essenziali della personalità
22 Mentre nel profilo normale sono sufficienti i risultati relativi a qualsiasi aspetto della personalità, nel profilo ad alto rischio devono riguardare gli aspetti essenziali della personalità. Non è necessario che tali tratti essenziali della personalità siano effettivamente valutati. È sufficiente che le dichiarazioni su aspetti essenziali della personalità siano in linea di principio possibili ("consentite") sulla base dei dati trattati e delle modalità della procedura di trattamento. Non è rilevante che l'art. 5 lett. g LPD utilizzi il termine "valutazione" invece di "valutare". I due termini vanno intesi come sinonimi.
23 Secondo la volontà del legislatore, la giurisprudenza "Moneyhouse" del Tribunale amministrativo federale sulla profilazione della personalità dovrebbe continuare a essere la linea guida per determinare quando esiste una valutazione di aspetti essenziali della personalità. Il fattore decisivo è quindi se le informazioni collegate sono condensate in un quadro completo della persona interessata. Criteri essenziali sono la quantità e il tipo di dati utilizzati, il contesto del loro utilizzo e la dimensione temporale, ossia se i dati personali sono raccolti in un periodo di tempo più lungo e quindi forniscono un quadro quasi biografico mostrando un'evoluzione della persona interessata. In questo contesto, anche dati banali possono, attraverso un collegamento sistematico, fornire un quadro generale della persona e trasmettere informazioni potenzialmente sensibili sulla sua identità, sulle sue attività o sulle sue preferenze.
D. Necessità di un approccio caso per caso
24 Come nel caso della profilazione della personalità in passato, la profilazione ad alto rischio nel suo complesso rimane sfuggente. I due elementi concettuali del collegamento dei dati e della valutazione degli aspetti essenziali della personalità forniscono un quadro di base, ma non sono in grado di dare al concetto contorni chiari e richiedono una classificazione caso per caso. Il fatto che alla fine si tratti di una valutazione caso per caso è stato riconosciuto anche dal Tribunale amministrativo federale nella sua giurisprudenza sui profili di personalità. In un certo senso, "lo riconosci quando lo vedi".
25 Nell'esempio del commercio librario, ad esempio, si ipotizzerebbe una profilazione ad alto rischio se i dati sul comportamento di lettura venissero combinati con il comportamento di acquisto di generi alimentari ed eventualmente con altri dati relativi alle transazioni, nonché, ad esempio, con i dati delle app di fitness tracking, al fine di trarre conclusioni sullo stato di salute e di fornire alle persone interessate pubblicità per offerte sanitarie corrispondenti o addirittura per calcolare i premi assicurativi individuali. Si potrebbe parlare di profilazione ad alto rischio anche se il comportamento di lettura fosse collegato ai dati sul comportamento di navigazione e ai dati di geolocalizzazione per ottenere informazioni sulle opinioni ideologiche o sulle credenze religiose. Si potrebbe parlare di profilazione ad alto rischio anche nel caso in cui il comportamento di lettura fosse collegato ai dati delle carte di credito e alle informazioni provenienti dalle piattaforme di networking professionale, al fine di ricavare informazioni sul patrimonio e sulla capacità di pagamento e, in base a ciò, decidere quali prodotti e servizi offrire agli interessati, come e a quali prezzi.
IV. Conseguenze legali
A. Profilazione normale
26 La profilazione normale, vale a dire la profilazione senza "rischio elevato", è in linea di principio rilevante solo per gli organi federali ai sensi della LPD (per cui anche i privati incaricati di compiti pubblici sono considerati organi federali). In primo luogo, esiste una base giuridica sufficiente per la creazione di profili da parte di un organismo federale solo se il profilo è previsto da una legge in senso formale (art. 34 cpv. 2 lett. b LPD). Se non esiste una base giuridica in senso formale e la profilazione si basa sul consenso, questo è valido solo se è esplicito, ossia se fa riferimento alla profilazione in quanto tale (art. 6 cpv. 7 lett. c LPD).
27 Per contro, la normale profilazione non ha particolari conseguenze giuridiche per i responsabili del trattamento privati e si applicano le regole consuete. In particolare, la profilazione deve essere resa sufficientemente trasparente e gli interessati devono essere informati sulle categorie di dati creati mediante la profilazione (ad esempio, i dati sulle preferenze) (art. 19 cpv. 3 LPD). Tuttavia, la profilazione in sé non deve essere specificamente menzionata o descritta nella dichiarazione sulla protezione dei dati. Solo se le decisioni essenziali sono completamente automatizzate sulla base della profilazione, vi sono obblighi speciali di informazione e divulgazione (art. 21 e art. 25 cpv. 2 lett. f LPD).
28 Come qualsiasi altro trattamento dei dati, anche la profilazione può richiedere una valutazione d'impatto sulla protezione dei dati se comporta rischi elevati per gli interessati. L'esistenza di rischi elevati deve essere determinata in ogni singolo caso sulla base delle circostanze specifiche e può verificarsi anche se la profilazione non si qualifica come profilazione "ad alto rischio" ai sensi dell'art. 5 lett. g LPD a causa della mancanza di elementi concettuali.
29 Anche nel caso della profilazione, il consenso è necessario solo se vi è una violazione dei principi del trattamento e se non esistono altre giustificazioni per il trattamento dei dati. Sotto questo aspetto, la profilazione non differisce dal "normale" trattamento dei dati. Il tanto discusso requisito del consenso per la profilazione, che era ancora incluso nella bozza preliminare, non è sopravvissuto al processo legislativo.
30 Il DSGVO, inoltre, non prevede conseguenze giuridiche specifiche in caso di profilazione, o solo se la profilazione viene effettuata in relazione a una decisione individuale automatizzata. Senza riferimento al processo decisionale automatizzato, la profilazione è menzionata solo nell'articolo 21, paragrafi 1 e 2, del DSGVO, ma solo a titolo di esempio, poiché la profilazione, come qualsiasi altro tipo di trattamento, sarebbe anche coperta dal diritto di opposizione senza menzione specifica. Si noti inoltre che, nell'ambito di applicazione del DSGVO, qualsiasi trattamento dei dati e quindi anche qualsiasi profilazione deve basarsi su una base giuridica. Tuttavia, le basi giuridiche disponibili non sono limitate e tutte le possibili basi giuridiche dell'art. 6(1) del DSGVO sono disponibili anche per la profilazione.
B. Profilazione ad alto rischio
31 L'intensità con cui sono stati condotti i dibattiti sulla profilazione ad alto rischio contrasta con la scarsa rilevanza giuridica di questa figura giuridica. La nuova LPD prevede solo tre conseguenze legali legate alla profilazione ad alto rischio.
32 In primo luogo, qualsiasi profilazione ad alto rischio deve essere soggetta a una valutazione obbligatoria dell'impatto sulla protezione dei dati, che valuta sistematicamente i rischi per gli interessati e definisce le misure correttive, se necessario. È vero che l'articolo 22 cpv. 2 della LPD non menziona esplicitamente la profilazione ad alto rischio come causa dell'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati. Tuttavia, per definizione si ritiene che la profilazione ad alto rischio comporti un rischio elevato per gli interessati e, ai sensi dell'articolo 22 cpv. 1 LPD, una valutazione d'impatto sulla protezione dei dati è obbligatoria per qualsiasi trattamento che comporti un rischio così elevato. Tuttavia, il "rischio elevato" si riferisce solo al rischio iniziale che determina l'esecuzione di una valutazione d'impatto sulla protezione dei dati. Nell'ambito di tale valutazione, il responsabile del trattamento può concludere che il rischio effettivo nel caso specifico non è elevato o, dopo aver preso in considerazione le misure correttive previste, non è più da classificare come elevato. La profilazione in tale costellazione rimane una "profilazione ad alto rischio" secondo la definizione legale, ma deve essere successivamente trattata come un trattamento di dati senza rischio elevato.
33 In secondo luogo, se i controllori privati effettuano una profilazione ad alto rischio e la basano in primo luogo sul consenso, il consenso concesso in relazione alla profilazione deve essere esplicito ai sensi dell'articolo 6 cpv. 7 lett. b LPD. L'art. 6 cpv. 7 lett. b LPD stabilisce i requisiti per la concessione di un consenso valido, ma non stabilisce un requisito generale di consenso per la profilazione ad alto rischio. Come la profilazione normale, quella ad alto rischio richiede il consenso solo se viene violato un principio di trattamento e non esistono altre giustificazioni.
34 In terzo luogo, e infine, l'interesse prevalente nei controlli del credito non si applica se il controllo si basa su una profilazione ad alto rischio (art. 31 cpv. 2, let. c ch. 1 LPD).
35 Come spiegato, il DSGVO non riconosce la profilazione ad alto rischio, ma prevede alcune conseguenze legali speciali se la profilazione è in connessione con una decisione completamente automatizzata che ha effetti legali per l'interessato o lo riguarda in modo significativo. Tra l'altro, in tali costellazioni qualificate, il DSGVO richiede anche l'esecuzione di una valutazione d'impatto sulla protezione dei dati (art. 35 (3) (a) DSGVO). Poiché decisioni di così grande importanza vengono prese raramente nella pratica commerciale, la soglia per l'esecuzione obbligatoria di una valutazione d'impatto sulla protezione dei dati in caso di profilazione è piuttosto alta ai sensi del DSGVO rispetto alla LPD svizzera. Il DSGVO prevede anche ulteriori conseguenze legali per la profilazione effettuata in combinazione con una decisione individuale automatizzata, tra cui un obbligo esteso di informazione e divulgazione, che comprende anche informazioni sulla logica coinvolta e sugli effetti per gli interessati.
V. Consigli pratici
36 Nella prassi aziendale, l'identificazione della profilazione ad alto rischio è particolarmente significativa, poiché solo per i responsabili del trattamento privati tali operazioni di profilazione sono soggette a specifiche conseguenze giuridiche, prima fra tutte l'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati. Il raggiungimento o meno della soglia per la profilazione ad alto rischio, tuttavia, dipende fortemente dalle circostanze specifiche della profilazione nel singolo caso. Non è quindi facile rendere operativo il concetto di profilazione ad alto rischio e definire criteri generali. Inoltre, le attività di profilazione che non si qualificano come "profilazione ad alto rischio" secondo la definizione legale possono anche comportare un rischio elevato in singoli casi e possono quindi richiedere una valutazione d'impatto sulla protezione dei dati.
37 È opportuno non applicare criteri troppo dettagliati per verificare se sia necessario effettuare una valutazione d'impatto sulla protezione dei dati (la cosiddetta analisi della soglia). È più efficace integrare in generale la valutazione degli aspetti personali come fattore di rischio nei processi di revisione e approvazione dei progetti e, in una seconda fase, verificare sulla base delle circostanze concrete se è presente una profilazione ad alto rischio secondo la definizione legale o una profilazione che comporta un rischio elevato per gli interessati per altri motivi. Da un punto di vista pratico, è sempre consigliabile effettuare una valutazione d'impatto sulla protezione dei dati se la profilazione raggiunge una certa intensità o se a tale scopo vengono collegati dati provenienti da fonti diverse.
38 La profilazione ha anche implicazioni per la progettazione e l'attuazione dei processi di governance della protezione dei dati. La profilazione è particolarmente rilevante per l'attuazione dei processi informativi: sia i dati personali ("input") che confluiscono nella profilazione, sia i nuovi dati e i risultati creati con l'aiuto della profilazione ("output") dovrebbero far parte delle informazioni fornite agli interessati in modo adeguato e comprensibile. Le categorie di dati trattati o creati ex novo in relazione alla profilazione e le finalità di trattamento perseguite con la profilazione devono essere descritte nell'informativa sulla privacy. La profilazione in sé, tuttavia, non deve essere menzionata specificamente nell'informativa sulla privacy. Tuttavia, una spiegazione della profilazione può essere consigliabile come misura di rafforzamento della fiducia ai fini della trasparenza. Il trattamento dei dati in relazione alla profilazione deve essere documentato con le informazioni necessarie nell'elenco dei trattamenti ai sensi dell'art. 12 LPD.
39 Infine, è buona prassi fornire agli interessati la possibilità di opporsi alla profilazione. In pratica, tali possibilità di opt-out possono essere implementate, ad esempio, attraverso funzionalità tecniche con cui gli interessati possono disattivare o impedire autonomamente il trattamento dei dati o i servizi connessi alla profilazione - ad esempio, la ricezione di misure di marketing diretto personalizzato. Tali possibilità di opt-out rendono operativo il diritto generale di opposizione di cui all'art. 30 cpv. 2 lett. b LPD e tengono conto anche dell'idea di "privacy by design". Tali opzioni di opt-out soddisfano inoltre sempre più le aspettative dei clienti di poter influenzare il trattamento dei loro dati in modo pertinente.
Bibliografia
Artikel-29-Datenschutzgruppe, Leitlinien zur automatisierten Entscheidungsfindung im Einzelfall einschliesslich Profiling für die Zwecke der Verordnung 2016/679, angenommen am 3.10.2017 und zuletzt überarbeitet und angenommen am 6.2.2018, abrufbar unter https://www.dsb.gv.at/dam/jcr:768b9c7f-f0f6-45d7-b2aa-d113d121ea69/Leitlinien%20zu%20automatisierten%20Entscheidungen%20im%20Einzelfall%20einschlie%C3%9Flich%20Profiling%20f%C3%BCr%20die%20Zwecke%20der%20Verordnung%202016-679.pdf, besucht am 25.5.2023.
Buchner Benedikt, Kommentierung zu Art. 4 Nr. 4 DSGVO, in: Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutz-Grundverordnung, 3. Aufl., München 2020.
Bühlmann Lukas/Schüepp Michael, Begriff und Rechtsfolgen des Profilings im nDSG und der DSGVO, in: Jusletter 12.9.2022.
Ernst Stefan, Kommentierung zu Art. 4 DSGVO, in: Paal Boris P./Pauly Daniel A. (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., München 2021.
Glatthaar Matthias, Keine Angst vor Profiling, in: Jusletter IT 30.9.2021.
Glatthaar Matthias/Schröder Annika, Kommentierung zu Art. 22 DSG, in: Blechta Gabor-Paul/Vasella David (Hrsg.), Basler Kommentar zum Datenschutzgesetz/Öffentlichkeitsgesetz, 4. Aufl., Basel 2023.
Jacot-Guillarmod Emilie, Le profilage à risque élevé de la nLPD : réflexions autour d’un monstre de Frankenstein, swissprivacy.ch, 24.8.2021, abrufbar unter https://swissprivacy.law/86/, besucht am 25.5.2023.
Klabunde Achim, Kommentierung zu Art. 4 DSGVO, in: Ehmann Eugen/Selmayr Martin (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl., München 2018.
Lorentz Nora, Profiling – Persönlichkeitsschutz durch Datenschutz? Eine Standortbestimmung nach Inkrafttreten der DSGVO, Tübingen 2020.
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16.11.2020 (zit. Datenschutzgesetz).
Rosenthal David, Der Entwurf für ein neues Datenschutzgesetz, in: Jusletter 27.11.2017 (zit. Entwurf).
Roth Simon, Das Profiling im neuen Datenschutzrecht, SZW 2021, S. 34 ff.
Rudin Beat, Kommentierung zu Art. 5, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Scholz Philip, Kommentierung zu Art. 4 Nr. 4 DSGVO, in: Simitis Spiros/Hornung Gerrit/Spiecker gen. Döhmann Indra (Hrsg.), Datenschutzrecht – DSGVO mit BDSG, 1. Aufl., Frankfurt a.M. 2019.
Vasella David, Neues DSG: kein grundsätzliches Einwilligungserfordernis beim Profiling, auch nicht bei hohem Risiko, datenrecht.ch, 25.9.2020, abrufbar unter https://datenrecht.ch/neues-dsg-kein-grundsaetzlicheseinwilligungserfordernis-beim-profiling-auch-nicht-bei-hohem-risiko/, besucht am 25.5.2023 (zit. Einwilligungserfordernis).
Vasella David, Überlegungen zum Profiling mit hohem Risiko, datenrecht.ch, 23.11.2020, abrufbar unter https://datenrecht.ch/ueberlegungen-zum-profiling-mit-hohem-risiko/, besucht am 25.5.2023 (zit. Profiling).
I Materiali
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.7.2017, BBl 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 25.5.2023 (zit. Botschaft DSG).