Il presente articolo tratterà le principali modifiche introdotte alla LPD per quanto riguarda il consenso e le basi giuridiche necessarie al fine di poter trattare i dati personali degli interessati e dopo aver introdotto le principali novità sarà approfondito il tema del consenso con particolare focus su tutte le sue sfaccettature.
E nello specifico: Introduzione alla LPD; Le basi giuridiche del trattamento, uno sguardo all’art 13 LPD; LPD e GDPR, un panorama europeo, riferimenti all’art 6 del regolamento e analisi; LPD, il consenso degli interessati al trattamento dati.
Introduzione alla LPD
La LPD nasce il 19 giugno 1992 e trova la sua piena applicazione a partire dal 1 luglio dell’anno successivo; in seguito al susseguirsi di numerose modificazioni il 25 settembre 2020 è stata approvata in votazione finale dalle Camere Federali la revisione totale della legge sulla protezione dei dati personali in Svizzera, con l’obiettivo di modernizzare e adeguare la normativa all’evoluzione tecnologica e sociale dell’era digitale e di allinearla alla regolamentazione UE General Data Protection Regulation (GDPR).
Si stima che la LPD revisionata entrerà ufficialmente in vigore entro il 2022; essa introduce una serie di importanti novità atte a rinnovare e conformare il diritto nazionale Svizzero agli sviluppi del panorama europeo permettendo la continuazione dello scambio di dati perfettamente regolamentato tra le imprese svizzere e quelle dell’Unione Europea.
Art 13 LPD come base giuridica del trattamento
Per quanto riguarda la liceità del trattamento, la legge sulla protezione dati in Svizzera ci offre una panoramica sugli interessi preponderanti e sugli interessi (pubblici o privati) delle persone lese. In quest’ottica infatti, una lesione della personalità è illecita se non è giustificata dal consenso della persona lesa, da un interesse preponderante privato o pubblico o dalla legge.
Un interesse preponderante di chi tratta dati personali può in particolare sussistere se:
a. il trattamento è in relazione diretta con la conclusione o l’esecuzione di un contratto e concerne dati personali dell’altro contraente;
b. il trattamento avviene nell’ambito di un rapporto di concorrenza economica, attuale o previsto, con un’altra persona, a condizione che nessun dato personale trattato sia comunicato a terzi;
c. i dati personali sono trattati allo scopo di valutare il credito di una persona, a condizione che tali dati non siano degni di particolare protezione, non servano a compilare profili della personalità e siano comunicati soltanto a terzi che ne hanno bisogno per la conclusione o l’esecuzione di un contratto con la persona interessata;
d. i dati personali sono trattati a titolo professionale in vista esclusivamente della diffusione nella parte redazionale di un mezzo di comunicazione sociale con carattere periodico;
e. i dati personali sono trattati per scopi impersonali, in particolare nei settori della ricerca, della pianificazione o della statistica, a condizione che i risultati siano pubblicati in una forma che non permette d’identificare le persone interessate;
f. i dati collezionati concernono una persona della vita pubblica, nella misura in cui si riferiscono alla sua attività pubblica.
LPD e GDPR, un panorama europeo, riferimenti all’art 6 del regolamento e analisi
La revisione totale della Legge federale sulla protezione dei dati si prefigge lo scopo di adeguare tale normativa, ormai obsoleta, alle condizioni sociali e tecnologiche odierne, e di avvicinarla alle più recenti e moderne normative vigenti in Europa in materia di protezione dei dati (in particolare all'EU-GDPR). Nell'ambito della revisione, è interessante focalizzarsi su quattro aspetti fondamentali.
- Aumentare la trasparenza e rafforzare i diritti degli interessati;
- Promuovere la prevenzione e la responsabilità individuale da parte di chi tratta dati personali;
- Rafforzare la vigilanza in materia di protezione dei dati;
- Ampliare la portata delle disposizioni penali;
Il regolamento europeo (GDPR) in materia di liceità del trattamento informa che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy - d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).
In virtù di quanto analizzato sopra in relazione all’art 13 della LPD, forniremo un’analisi dettagliata di tutte le basi giuridiche del trattamento previste dall’art 6 del GDPR, e nello specifico, secondo quanto previsto dalla normativa, il trattamento difatti è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a. l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b. il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
Se dovessimo analizzare questa parte dell’art 6 del GDPR, potremmo spiegare come il riconoscimento del fondamento stesso delle operazioni commerciali (vale a dire gli obblighi contrattuali) sia rappresentato da una base giuridica (considerando 44, articolo 6, paragrafo 1, lettera b)) che consente il trattamento in due scenari. Innanzitutto, se è necessario per stipulare un nuovo contratto o lavorare in base al contratto esistente con l’interessato, il trattamento dei dati è consentito. Il secondo scenario è quando l’interessato avvia delle attività nei confronti del controllore dei dati, nel qual caso il trattamento è consentito anche prima della stipula del contratto. È il caso dell’esecuzione di misure precontrattuali (preparazione o negoziazione prima di stipulare un contratto), in cui il GDPR sottolinea che l’avvio delle fasi di trattamento dovrebbe essere effettuato su richiesta dell’interessato, anziché essere avviato dal controllore.
c. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d. il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
e. il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
La lettera f. del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti.
LPD, il consenso degli interessati al trattamento dati, il rapporto col GDPR
Secondo quanto previsto dalla LPD, è necessario l’espresso consenso degli interessati quando il trattamento riguarda:
- dati degni di particolare attenzione;
- la profilazione a rischio elevato;
- la profilazione effettuata da un organo federale.
Nel primo caso si fa riferimento a ai cosiddetti dati particolari e giudiziari mentre nel secondo caso invece, la legge ha introdotto nell’ultima votazione il principio della profilazione ad alto rischio prevedendo una protezione particolare per i cittadini elvetici contro alcuni tipi di profilazione automatizzata con elevati rischi per la personalità o i diritti fondamentali (si pensi al raffronto di dati su larga scala provenienti da banche dati diverse o alle banche dati dei principali operatori di e commerce).
È importante sottolineare quando il trattamento di dati personali è subordinato al consenso della persona interessata, il consenso è valido soltanto se espresso liberamente e dopo debita informazione. Trattandosi di dati personali degni di particolare protezione o di profili della personalità, il consenso deve essere anche esplicito.
Infine, per gli scenari che non rientrano in nessuna delle categorie di cui sopra, ai controllori dei dati rimane in ultima istanza di ottenere il permesso per il trattamento dei dati personali, ossia il consenso degli interessati.
Il consenso deve essere esclusivo, riflettente l’azione discrezionale dell’interessato, una risposta positiva prestata liberamente alla descrizione ben strutturata e non ambigua dell’attività di trattamento. Il principio di “opt-in” è obbligatorio, il che significa che nessuna elaborazione può aver luogo fino a quando il consenso non sia assicurato. Il controllore deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali, il che richiede l’esistenza di una catena di controllo.
Ciò che rende questa base giuridica meno allettante sono i requisiti per la validità dell’ottenimento e della gestione del consenso e il fatto che, una volta che questo sia stato dato, il consenso può essere ritirato in qualsiasi momento e con lo stesso livello di facilità con cui è stato fornito.
La normativa richiede la verifica dell’età di un minore e di assicurarsi il consenso del titolare della responsabilità genitoriale per l’attività di trattamento dei dati (con alcune eccezioni). A seconda dell’età del minore, potrebbe essere obbligatorio presentare le informazioni relative al trattamento dei dati anche al minore, in un linguaggio semplice facilmente comprensibile al minore.
Per raffrontare il tema al GDPR, uno degli scenari più comuni in cui la gestione del consenso è obbligatoria e non può essere evitata è la raccolta delle informazioni di contatto degli interessati per scopi di marketing come le newsletter via e-mail. Non essendo regolato da alcuna legge o conformità legale, né rientrando in alcuna delle categorie sopra indicate, il trattamento dei dati personali per il semplice miglioramento delle prospettive commerciali del controllore è consentito solo con un consenso verificabile.
Diacron Suisse SA in collaborazione con AB Innovation Consulting