-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- IN BREVE
- I. Informazioni generali
- II. Requisiti per il consenso (art. 6 cpv. 6 LPD)
- III. Consenso esplicito (art. 6 cpv. 7 LPD)
- IV. Revoca
- V. Conseguenze legali del consenso mancante, non valido o revocato
- VI. Consigli pratici
- VII. Critiche alla norma
- Bibliografia
- I materiali
IN BREVE
Gli artt. 6 cpv. 6 e 7 LPD stabiliscono i requisiti di validità del consenso ai sensi della legge sulla protezione dei dati. I casi in cui è necessario il consenso sono tuttavia disciplinati in altre disposizioni. Il contenuto delle nuove disposizioni sul consenso è sostanzialmente identico a quello dell'art. 4 cpv. 5 aDSG. È stato solo specificato che il consenso deve essere dato per una o più operazioni di trattamento specifiche, già applicate in precedenza. Nel caso di consenso esplicito, la nuova profilazione introdotta ha sostituito il vecchio profilo di personalità giuridica. Per il resto, tuttavia, la situazione giuridica non dovrebbe cambiare. Se il consenso è richiesto, deve essere comunque prestato volontariamente per uno o più trattamenti specifici, dopo aver fornito informazioni adeguate. Se il consenso è richiesto per il trattamento di dati personali particolarmente sensibili, per la profilazione ad alto rischio da parte di un privato o per la profilazione da parte di un organismo federale, anche questo deve essere esplicito. Tuttavia, anche in questi casi, non esiste un obbligo generale di consenso, sebbene alcuni sostengano il contrario. Nell'ambito di applicazione del DSGVO, il consenso è utilizzato più frequentemente come base giuridica per il trattamento a causa del diverso concetto (principio di divieto con riserva di autorizzazione) e i requisiti per un consenso valido sono generalmente più elevati rispetto alla LPD.
I. Informazioni generali
A. Storia dell'origine
1 L'art. 6 cpv. 6 e il cpv. 7 LPD corrispondono essenzialmente al contenuto dell'art. 4 cpv. 5 aDSG, sebbene siano state apportate alcune modifiche redazionali nell'ambito della revisione totale. Il consenso esplicito è stato separato dal consenso "ordinario" e disciplinato in un paragrafo separato. È stato inoltre chiarito che il consenso deve riguardare una o più operazioni di trattamento specifiche. Questo chiarimento è stato fatto al fine di armonizzare con la Convenzione ETS 108 rivista, ma non comporta alcuna modifica della situazione giuridica. Poiché nell'ambito della revisione totale anche il termine "profilo della personalità" è stato sostituito da "profilazione", il consenso per la profilazione ad alto rischio da parte di privati e per la profilazione da parte di organismi federali deve ora essere dato esplicitamente.
2 Il nuovo criterio del consenso inequivocabile introdotto nella bozza è stato abbandonato durante le deliberazioni parlamentari. Anche questo criterio era stato originariamente aggiunto al fine di armonizzarlo con la Convenzione ETS 108 riveduta.
B. Sistema e delimitazione
3 La legge svizzera sulla protezione dei dati si basa sul principio dell'autorizzazione con riserva di divieto. Di conseguenza, il trattamento è generalmente consentito a condizione che siano rispettati i principi di trattamento di cui all'art. 6 e la sicurezza dei dati ai sensi dell'art. 8 LPD, che i dati personali non siano trattati senza il consenso esplicito della persona interessata o che i dati personali che richiedono una protezione speciale siano comunicati a terzi (art. 30 cpv. 2 LPD). In caso contrario, si verifica una violazione dei diritti della personalità, che può essere giustificata, tra l'altro, dal consenso della persona interessata (art. 31 cpv. 1 LPD).
4 Gli artt. 6 cpv. 6 e 7 LPD non stabiliscono quindi un requisito generale per il consenso, ma definiscono solo le condizioni in cui il consenso è valido. Se e per quali casi è necessario il consenso, tuttavia, è disciplinato altrove. Di conseguenza, il consenso non è richiesto di per sé per i casi di cui all'art. 6 cpv. 7 LPD (trattamento di dati personali particolarmente sensibili, profilazione ad alto rischio da parte di un privato e profilazione da parte di un organo federale), anche se alcuni sostengono il contrario.
5 Nonostante la posizione sistematica delle disposizioni sul consenso di cui all'art. 6 LPD con il titolo "Principi", i requisiti di validità del consenso non sono un principio di trattamento ai sensi della legge sulla protezione dei dati. In particolare, non vi è alcuna violazione dei diritti della personalità se i requisiti per il consenso non sono soddisfatti, sebbene l'art. 30 cpv. 2 lett. a LPD faccia riferimento ai "principi" dell'art. 6 LPD. Per questo motivo, sarebbe stato meglio spostare le disposizioni sul consenso nelle definizioni dell'art. 5 LPD.
C. Ambito di applicazione
6 Per i privati, il consenso può in particolare giustificare una violazione dei diritti della personalità (art. 31 cpv. 1 LPD). Inoltre, il consenso può essere rilevante per i privati nei seguenti casi: Per la divulgazione di dati personali all'estero in deroga all'art. 16 cpv. 1 e 2 LPD (art. 17 cpv. 1 lett. a LPD); per le decisioni individuali automatizzate senza dover rispettare i requisiti dell'art. 21 cpv. 1 e 2 LPD (art. 21 cpv. 3 lett. b LPD); nell'ambito del diritto all'informazione per la comunicazione di dati sulla salute da parte di un operatore sanitario (art. 25 cpv. 3 LPD).
7 Per gli organi federali, il consenso può sostituire il requisito generale di una base giuridica in singoli casi (art. 34 cpv. 4 lett. b LPD), anche per la divulgazione di dati personali all'estero (art. 36 cpv. 2 lett. b LPD).
8 Inoltre, il consenso è menzionato anche in altre parti della LPD e può essere previsto anche da leggi speciali. Se e in che misura i requisiti della LPD si applichino in questo caso non è stato chiarito completamente, in particolare nell'intersezione con il divieto di spam ai sensi dell'art. 3 cpv. 1 lett. o LCSl. Tuttavia, ciò si presume almeno implicitamente.
D. Confronto con il DSGVO
9 Il concetto svizzero si differenzia fondamentalmente dal concetto inverso del DSGVO. In Svizzera vige il principio del divieto con riserva di autorizzazione, secondo il quale qualsiasi trattamento di dati personali è vietato a meno che non vi sia una base giuridica per il trattamento (art. 6 DSGVO). Una di queste possibili basi giuridiche è il consenso (art. 6 cpv. 1 lett. a DSGVO). I suoi requisiti sono generalmente descritti in modo più dettagliato nell'art. 4 n. 11 e nell'art. 7 DSGVO, per quanto riguarda il consenso dei minori nell'art. 8 DSGVO e per il trattamento di categorie speciali di dati personali, il consenso deve essere dato espressamente (art. 9 cpv. 2 lett. a DSGVO).
10 I requisiti per un consenso valido ai sensi del DSGVO sono più severi di quelli previsti dalla LPD. Il consenso valido ai sensi del DSGVO soddisfa quindi generalmente i requisiti del DSGVO, mentre il consenso valido ai sensi dell'LPD non soddisfa necessariamente i requisiti più severi del DSGVO.
II. Requisiti per il consenso (art. 6 cpv. 6 LPD)
A. Informazioni generali
11 Il consenso è soggetto ai "limiti" generali dei diritti della persona, che comprendono le disposizioni degli artt. 16 e segg. CC (capacità di giudizio) e art. 27 CC (eccesso di obbligo). Il consenso deve essere qualificato come un negozio giuridico unilaterale, motivo per cui il CO si applica in particolare all'interpretazione del consenso (principio di fiducia), alle limitazioni di cui agli artt. 19 e 20 CO e ai vizi della volontà (art. 23 e segg. CO).
B. Capacità di giudizio
12 Il rilascio del consenso ai sensi della legge sulla protezione dei dati costituisce l'esercizio di un diritto personalissimo e può quindi essere esercitato autonomamente da persone prive di capacità (art. 19c cpv. 1 CC). Tuttavia, le persone prive di capacità sono generalmente rappresentate dal loro rappresentante legale (art. 19c cpv. 2 CC). Nell'ambito della loro rappresentanza legale e nei limiti delle cure parentali a cui hanno diritto, i genitori possono dare il consenso ai minori privi di capacità (art. 304 CC).
13 Una persona è capace di giudizio se non manca della capacità di agire razionalmente a causa di determinate condizioni (infanzia, disabilità mentale, disturbo mentale, intossicazione o simili) (art. 16 CC). Come regola generale, si presume che la capacità di giudizio esista nei minori a partire dai 13 anni. Data la natura relativa della capacità di giudizio, i requisiti devono essere più elevati, ad esempio nel caso di trattamenti complessi, dati personali sensibili e interventi gravi sulla personalità.
C. Tempistica
14 In genere il consenso deve essere dato prima del trattamento dei dati, che può essere precedente alla raccolta o alla divulgazione dei dati (cfr. art. 5 lett. d LPD). Se il consenso è necessario e non è stato dato, il relativo trattamento dei dati è illegale.
15 È escluso il consenso successivo in senso stretto. Tuttavia, può essere presa in considerazione un'autorizzazione successiva, che deve essere interpretata come una rinuncia a far valere i propri diritti. Tuttavia, il trattamento dei dati è illegale fino al momento dell'autorizzazione successiva. Inoltre, l'autorizzazione successiva si estende solo ai trattamenti di dati sui quali sono state fornite informazioni adeguate inizialmente o successivamente.
D. Uno o più trattamenti specifici
16 Con la revisione totale è stato aggiunto il criterio secondo cui il consenso deve riguardare uno o più trattamenti specifici. In questo modo la formulazione si allinea all'art. 5 cpv. 2 della Convenzione ETS 108 riveduta, ma senza modificare la situazione giuridica.
17 Come nella vecchia legge, è necessario che il trattamento sia sufficientemente definito, in particolare in termini di ambito e finalità. L'interessato deve essere in grado di capire per quale trattamento sta dando il proprio consenso. La portata specifica del consenso è determinata dalla dichiarazione di consenso e dalle informazioni appropriate. Senza ulteriori informazioni, descrizioni generiche di finalità quali "migliorare l'esperienza dell'utente", "finalità pubblicitarie", "finalità di sicurezza informatica" o "ricerche future" sono inadeguate. Il trattamento può essere limitato o illimitato nel tempo. In alcuni casi, tuttavia, il consenso è richiesto caso per caso.
18 Il consenso a più trattamenti non richiede che tutti abbiano la stessa finalità; il consenso può essere dato anche per trattamenti diversi. Inoltre, una finalità di trattamento come il trattamento medico da parte di un medico può richiedere diverse operazioni di trattamento, ad esempio lo scambio di dati personali particolarmente sensibili con altri specialisti o compagnie assicurative e il trattamento a fini di fatturazione.
19 La misura in cui il consenso generale è ammissibile è controversa. In ogni caso, i limiti del consenso devono essere chiari e, in base al principio di proporzionalità, quanto più sensibili sono la natura e la portata del trattamento, tanto più chiari devono essere. Non sono pertanto consentite dichiarazioni di consenso illimitate per qualsiasi finalità, per qualsiasi trattamento o per tutte le categorie di dati personali da parte di responsabili del trattamento illimitati. D'altro canto, è consentito, ad esempio, autorizzare il precedente datore di lavoro a fornire in generale informazioni a potenziali datori di lavoro, il che richiede un consenso esplicito nel caso di divulgazione di dati personali particolarmente sensibili (come le informazioni sulle assenze per malattia).
E. Informazioni adeguate
20 Il consenso ai sensi della legge sulla protezione dei dati si basa sul "consenso informato del paziente", il che significa che tutte le informazioni devono essere fornite nel caso specifico in modo che la persona interessata possa prendere una decisione libera. In altre parole, è importante che l'interessato abbia ben chiaro a cosa sta acconsentendo, cioè che conosca la portata del suo consenso. Le informazioni specifiche da fornire non erano già valutate in modo uniforme con la vecchia legge, né lo saranno con la nuova legge.
21 Secondo l'opinione espressa in questa sede, i requisiti per un'informazione adeguata possono essere modellati sull'obbligo di fornire informazioni ai sensi dell'art. 19 LPD. Questo perché le informazioni adeguate richieste per il consenso possono portare a un'esenzione dall'obbligo di informazione ai sensi dell'art. 19 LPD, in quanto la persona interessata dispone già delle informazioni pertinenti (art. 20 cpv. 1 lett. a LPD).
22 Tuttavia, ciò non significa che tutte le informazioni di cui all'art. 19 LPD debbano sempre essere fornite come base per le informazioni appropriate di cui all'art. 6 par. 6 LPD, anche se tale approccio integrativo può essere richiesto nella pratica. Secondo il parere espresso in questa sede, per un'informativa adeguata nel contesto del consenso sono necessarie almeno le seguenti informazioni:
Identità del responsabile del trattamento;
Scopo del trattamento;
(categorie di) dati personali trattati.
23 Quali di queste informazioni siano necessarie e con quale livello di dettaglio, e se siano necessarie informazioni aggiuntive, dipende dalle circostanze del singolo caso. In applicazione del principio di proporzionalità, quanto più sensibili sono i dati personali in questione, tanto più chiare devono essere le informazioni appropriate. Ad esempio, l'art. 16 cpv. 2 dell'HRA specifica che per il consenso a progetti di ricerca, tra le altre cose, devono essere fornite informazioni sui rischi e gli oneri prevedibili e sulle misure di protezione dei dati personali raccolti. Ai sensi dell'art. 8 cpv. 1 dell'HRO, devono essere fornite informazioni anche sul diritto di rifiuto o di revoca e sulle conseguenze della revoca, nonché, in generale, su altri contenuti necessari per la decisione.
24 A differenza dell'art. 7 cpv. 3 DSGVO, tuttavia, la LPD non richiede in generale informazioni sul diritto di revocare il consenso e sul fatto che la revoca non pregiudica la liceità del trattamento basato sul consenso prima della sua revoca. La mancanza di informazioni al riguardo non invalida quindi il consenso prestato.
25 Il DSGVO richiede inoltre che il consenso possa essere revocato con la stessa facilità con cui è stato dato. L'IFPDT lo ha richiesto anche per l'aDSG sulla base del principio di buona fede. Tuttavia, la legge non fornisce alcun supporto a questa generalizzazione, che va pertanto respinta. D'altra parte, il carattere volontario del consenso può essere discutibile se non può essere revocato in modo ragionevole.
26 In linea con le spiegazioni contenute nel Dispaccio del 2003, alcuni ritengono che debbano essere fornite informazioni sulle conseguenze negative o sugli svantaggi del rifiuto del consenso. Secondo l'opinione espressa in questa sede, questa non è una parte necessaria dell'informazione appropriata, ma a seconda delle conseguenze negative, può mettere in discussione la validità del consenso a causa della mancanza di volontarietà. D'altra parte, devono essere fornite informazioni su eventuali rischi esistenti nel trattamento dei dati.
27 Il responsabile del trattamento deve sempre fornire informazioni adeguate. Tuttavia, è possibile ottenere il consenso per il trattamento da parte di terzi. Ciò richiede regolarmente che il terzo sia nominato, a meno che questa informazione non sia sufficientemente chiara dalle circostanze, come può accadere, ad esempio, nel caso di società del gruppo.
28 Le informazioni fornite devono essere interpretate secondo il principio di fiducia, ossia come la persona interessata avrebbe potuto e dovuto intenderle. Ciò deve basarsi sull'ipotesi di una persona media del gruppo di destinatari. La dottrina che vorrebbe invece concentrarsi sulle capacità del singolo interessato deve quindi essere respinta.
29 Le informazioni appropriate devono essere precise, trasparenti e comprensibili. Deve essere redatta nella lingua in cui il responsabile del trattamento fornisce i servizi su cui si basa il trattamento. Le informazioni possono essere fornite oralmente o per iscritto; tuttavia, per motivi di prova, è consigliabile fornire prove in forma di testo. Se le informazioni sul trattamento per il quale è stato prestato il consenso devono essere frammentate e raccolte da più parti in un unico documento, ciò può essere un argomento a sfavore dell'esistenza di informazioni adeguate.
30 Deve essere possibile prendere nota delle informazioni prima di dare il consenso. Un periodo di riflessione può essere appropriato a seconda della sensibilità del trattamento. Ad esempio, l'art. 16 cpv. 3 dell'HRA richiede che sia concesso un ragionevole periodo di riflessione prima che la persona interessata acconsenta a un progetto di ricerca.
31 Il fatto che le informazioni vengano effettivamente prese in considerazione è irrilevante. L'unico fattore decisivo è se vi sia stata una ragionevole opportunità di prendere nota dell'informazione. Nel caso di un'accettazione globale, vale a dire la concessione del consenso senza prendere atto dell'informazione (ad esempio perché si trova solo in termini e condizioni generali collegati o in un'informativa sulla privacy), le clausole inusuali non si applicano (regola dell'inusualità). Può quindi essere opportuno sottolineare separatamente gli aspetti inusuali.
F. Volontarietà
32 Il consenso deve essere prestato volontariamente, ossia deve essere espressione della libera volontà dell'interessato. Esiste un'interazione con la necessità di informazioni adeguate. Se non vengono fornite le informazioni adeguate, non si può ritenere che il consenso sia volontario. Il consenso non è volontario nemmeno se è stato ottenuto con l'inganno, le minacce o la coercizione.
33 La LPD non riconosce un divieto di abbinamento basato sull'art. 7 cpv. 4 del DSGVO, sebbene la sua esistenza e la sua portata ai sensi del DSGVO siano controverse. Tuttavia, anche la legge svizzera prevede forme di legatura non autorizzata del consenso, sebbene gli ostacoli siano più elevati rispetto al DSGVO. In particolare, il consenso non dovrebbe essere volontario se il rifiuto del consenso comporta uno svantaggio non correlato alla finalità del trattamento o sproporzionato rispetto ad essa. Tuttavia, qualsiasi altro svantaggio derivante dal rifiuto del consenso non pregiudica la validità del consenso stesso.
34 Esempi: Il consenso alla verifica del merito creditizio per l'ottenimento di una carta di credito è dato volontariamente ed è lecito, in quanto senza il consenso lo svantaggio di non ricevere la carta di credito è proporzionato. L'impossibilità di partecipare a un programma assicurativo è direttamente correlata al trattamento dei dati per il quale si ottiene il consenso; e il fatto che vengano pubblicizzati benefici monetari e bonus in denaro per un massimo di 75,00 franchi all'anno solo per le persone con un'assicurazione di base non mette in discussione la natura volontaria del consenso. Tuttavia, la minaccia di licenziamento in caso di mancato consenso al trattamento dei dati non previsto dal contratto di lavoro è considerata involontaria perché sproporzionata.
35 In alcuni casi, il consenso volontario si presume solo se esiste una ragionevole alternativa. Secondo il parere espresso in questa sede, a parte situazioni eccezionali (in particolare posizione dominante sul mercato, dipendenze sociali o di fatto), non è richiesta alcuna alternativa per affermare la volontarietà. Pertanto, se il consenso non viene dato, alla persona interessata può essere generalmente negato l'uso di un servizio.
36 La questione della volontarietà del consenso è controversa, soprattutto nel rapporto di lavoro. Alcuni sostengono che in questo contesto manchi la necessaria volontarietà o che qualsiasi trattamento dei dati che vada oltre l'art. 328b CO sia inammissibile. Altri autori si limitano a considerare l'ambito della volontarietà più ristretto, ad esempio nel senso che il dipendente deve avere a disposizione un'alternativa ragionevole. La dottrina prevalente e l'IFPDT ritengono che il trattamento dei dati che va oltre l'art. 328b cpv. 1 CO sia ammissibile solo se è vantaggioso per i dipendenti o nel loro interesse (art. 362 CO). Altri autori ritengono che il consenso che si discosta dall'art. 328b CO a scapito dei dipendenti sia valido in determinate circostanze. Secondo il Tribunale federale, sebbene il trattamento dei dati contrario all'art. 328b CO sia illegale, può essere basato su una giustificazione ai sensi dell'art. 13 aDSG. Secondo questa opinione, l'art. 328b CO è quindi un principio di trattamento e non una disposizione di divieto. Tuttavia, le brevi spiegazioni in merito sono state criticate dalla dottrina. Il Tribunale federale ha successivamente confermato la sua opinione, ma senza fare riferimento alla sua precedente decisione.
37 Secondo l'opinione espressa in questa sede, il consenso nel rapporto di lavoro non è escluso di per sé e può essere dato anche a un trattamento che va oltre l'art. 328b cpv. 1 CO. Il fattore decisivo in questo caso è se siano state fornite o meno informazioni adeguate e se si possa presumere che il consenso sia effettivamente volontario sotto forma di opzione di rifiuto senza conseguenze negative. Ad esempio, è possibile dare il consenso alla pubblicazione di foto dei dipendenti senza contatto con i clienti su Internet o anche a fini pubblicitari, a condizione che siano state fornite informazioni sul relativo trattamento e che il dipendente abbia un'effettiva libertà di scelta. La posizione del dipendente e il suo ciclo di vita (candidatura, rapporto di lavoro in corso, cessazione) possono essere determinanti per questa valutazione. D'altro canto, nell'ultimo esempio citato al n. 34 si dovrebbe ipotizzare una mancanza di volontarietà.
38 Nel contesto europeo, la questione dei cosiddetti "dark patterns" o "nudging" deve essere presa in considerazione per la questione della volontarietà, soprattutto nell'ambito dei cookie banner. Secondo la giurisprudenza e l'opinione delle autorità di vigilanza, invogliare gli utenti a dare il proprio consenso, ad esempio attraverso un design di colore e dimensioni diseguali dei pulsanti "Accetta" e "Rifiuta" o uno sforzo aggiuntivo per rifiutare (ad esempio, offrendo un pulsante "Rifiuta tutto" solo al secondo livello di visualizzazione, dopo aver cliccato su "Continua"), mette in discussione la volontarietà. È discutibile se questo sviluppo acquisterà importanza anche in Svizzera. Il diritto svizzero, infatti, non richiede generalmente il consenso per i cookie. L'art. 45c lit. b TCA richiede solo che gli utenti "siano informati del trattamento e delle sue finalità e che possano rifiutare il trattamento". Tuttavia, sarà necessario monitorare gli ulteriori sviluppi in questo senso, poiché l'IFPDT e altri ritengono generalmente che il tracciamento costituisca una violazione giustificabile della privacy.
39 Il DSGVO prevede che si possa dare un consenso granulare per diverse operazioni di trattamento. Questo è uno dei motivi per cui i banner di cookie conformi alla legge europea spesso offrono la possibilità di acconsentire a ogni singolo cookie separatamente. Naturalmente, l'utilità di tale granularità per i cookie è discutibile. Dopo tutto, è piuttosto improbabile che una persona voglia dare il proprio consenso a certi singoli cookie e non ad altri. Poiché tale requisito di granularità non può essere dedotto dalla LPD, può essere richiesto solo in casi eccezionali.
G. Inequivocabilità
40 La bozza della LPD prevedeva ancora che il consenso dovesse essere dato "in modo non ambiguo". A questo proposito, il dispaccio afferma che la dichiarazione della persona interessata deve indicare inequivocabilmente la sua volontà, che dipende dalle circostanze del singolo caso, e che quanto più sensibili sono i dati personali in questione, tanto più chiaro deve essere il consenso sulla base del principio di proporzionalità.
41 Tuttavia, il requisito dell'inequivocabilità è stato abbandonato dal Parlamento e quindi non è stato incluso nella formulazione dell'art. 6 cpv. 6 LPD. Tuttavia, il fatto che il messaggio faccia riferimento a questo criterio ha apparentemente creato confusione tra gli studiosi.
42 Il messaggio del 2003 affermava già che, in base al principio di proporzionalità, quanto più sensibili sono i dati personali in questione, tanto più chiaro deve essere il consenso. Ciò riguarda la chiarezza della dichiarazione d'intenti, il che significa che vi sono paralleli con il criterio dell'"atto affermativo non ambiguo" presente nel DSGVO. In alternativa alla "dichiarazione", questo rappresenta il secondo caso d'uso di "espressione inequivocabile di volontà" ai sensi dell'art. 4 n. 11 del DSGVO. Tuttavia, in assenza di un criterio corrispondente nella LPD, a differenza del DSGVO, non se ne può dedurre che il consenso sia inammissibile, ad esempio barrando una casella. Ciò non contraddice necessariamente il requisito della "privacy by default" ai sensi dell'art. 7 cpv. 3 LPD.
43 Tuttavia, un'interpretazione del criterio dell'univocità in conformità con l'ETS 108 rivisto richiederebbe che il consenso sia dato "senza ambiguità". Questo requisito può riguardare sia la forma che il contenuto della dichiarazione. Il messaggio suggerisce che l'elemento si riferisce alla forma. Se è così, il legislatore ha tenuto conto di questo requisito formale affermando che il consenso mediante silenzio non è generalmente sufficiente. Nella misura in cui il contenuto deve essere influenzato, si applica in ogni caso il principio secondo cui i requisiti variano in base al principio di proporzionalità. Pertanto, secondo il diritto svizzero, il criterio dell'univocità non avrebbe alcun significato autonomo.
H. Forma
44 Il consenso può essere dato senza forma. A parte le eccezioni legali, è quindi possibile anche il consenso verbale. Tuttavia, poiché l'onere della prova del consenso ricade sull'incaricato del trattamento, il consenso documentabile è la scelta più ovvia. Ciò relativizza, almeno de facto, la libertà fondamentale di forma.
45 In linea di principio, il consenso può essere ottenuto anche nell'ambito di termini e condizioni generali. Tuttavia, se in questo caso si fa un'ipotesi globale, si applica la regola dell'inusualità, secondo la quale i consensi inusuali sono inefficaci a scapito dell'interessato. Inoltre, entra in gioco la regola dell'ambiguità, secondo la quale le formulazioni poco chiare sono a carico dell'autore in caso di dubbio.
46 Tranne che nel caso dell'espressività richiesta dall'art. 6 cpv. 7 LPD, il consenso può essere dato anche implicitamente. In questo caso, la dichiarazione di volontà non risulta dalla dichiarazione stessa, ma da un comportamento che può essere inteso come una chiara espressione di volontà in base alle circostanze. È il caso, ad esempio, di chi rende accessibili i propri dati.
47 Il consenso implicito è spesso usato come sinonimo di consenso tacito, ma questo dovrebbe essere evitato. Il silenzio o l'inattività non comportano in genere un consenso valido (cfr. art. 6 CO), a meno che le parti non abbiano concordato il silenzio come consenso.
48 In casi eccezionali di urgenza, è possibile ipotizzare un consenso presunto, ad esempio nel caso di pazienti incoscienti. Tuttavia, l'importanza di tale consenso è trascurabile, poiché in questi casi probabilmente si applicherebbe comunque una giustificazione basata sul prevalente interesse della persona interessata. A volte viene fatta una distinzione tra consenso presunto e consenso ipotetico. Secondo questa distinzione, il consenso dovrebbe essere valido nonostante la mancanza di informazioni adeguate, in quanto l'interessato avrebbe acconsentito anche se fosse stato pienamente informato. Tuttavia, non c'è quasi spazio per questo, a meno che l'interessato non lo autorizzi successivamente sotto forma di rinuncia a far valere i propri diritti.
III. Consenso esplicito (art. 6 cpv. 7 LPD)
49 Se è necessario il consenso per il trattamento di dati personali particolarmente sensibili, per la profilazione ad alto rischio da parte di un privato o per la profilazione da parte di un organismo federale, questo deve essere dato espressamente. Ciò significa che il consenso non è generalmente richiesto nemmeno per questi trattamenti. Sebbene le dichiarazioni nel dibattito parlamentare abbiano talvolta suggerito il contrario, la formulazione dell'art. 6 cpv. 7 LPD non lo prevede nell'introduzione, a differenza di quella dell'art. 6 cpv. 6 LPD, e l'IFPDT e la dottrina sostengono talvolta il contrario, ciò deriva dal chiarimento nel dibattito parlamentare e dal fatto che non deve essere apportata alcuna modifica alla situazione giuridica.
50 Oltre ai requisiti dell'art. 6 cpv. 6 LPD, va osservato il criterio dell'espressività. Ciò era meglio espresso nell'art. 4 cpv. 5 LPD e nella bozza preliminare della LPD, in quanto il consenso "normale" e quello esplicito erano disciplinati nello stesso paragrafo e l'aggiunta "in aggiunta" lo chiariva.
51 È controverso se l'elemento più rigoroso dell'esplicitezza riguardi solo la forma o anche il contenuto del consenso. Per quanto riguarda la forma, l'espresso è inteso come il contrario dell'implicito. Tuttavia, il consenso scritto non è richiesto. In base all'art. 1 CO, la questione dell'espressività è determinata dal fatto che la volontà espressa risulti direttamente dalla dichiarazione di intenti sotto forma di parole scritte o parlate o di un segno. In altre parole, il modo in cui viene espressa la volontà deve già fornire chiarezza sull'intenzione. Esempi di segni espliciti sono la spunta attiva di una casella, la selezione attiva di determinati parametri tecnici per i servizi informatici, l'annuire con la testa in segno di assenso durante un trattamento medico o l'aprire la bocca per rimuovere la mucosa dalla guancia dopo essere stati informati in tal senso. Per motivi di onere della prova, tuttavia, è nuovamente richiesto un consenso documentabile.
52 Secondo alcuni studiosi e l'IFPDT, l'espressività si riferisce anche al contenuto. Nel caso del consenso espresso, il comportamento affermativo deve riguardare il trattamento dei dati in questione e non solo l'azione che porta a tale trattamento. Il consenso a ricevere pubblicità personalizzata non includerebbe quindi il consenso esplicito alla profilazione ad alto rischio su cui si basa la pubblicità.
53 Secondo l'opinione espressa in questa sede, il requisito dell'esplicitezza riguarda la forma del consenso e non il suo contenuto. Il Dispaccio del 2003 afferma: "Il consenso non è vincolato a una forma specifica e può essere dato tacitamente o implicitamente, purché non riguardi il trattamento di dati particolarmente sensibili o di profili della personalità". In conformità al principio di proporzionalità, si presume già che quanto più sensibili sono i dati personali in questione, tanto più chiaro deve essere il consenso". Per la seconda frase, il dispaccio rimanda a un riferimento bibliografico che intende espressamente il consenso come il contrario del consenso implicito. L'elemento dell'interpretazione storica conferma questa constatazione, soprattutto perché il dispaccio del 2017 afferma che non ci si deve discostare dalla situazione giuridica attuale.
IV. Revoca
54 Il consenso può essere revocato in qualsiasi momento e senza alcuna giustificazione. Tuttavia, la revoca in un momento inopportuno può far scattare la responsabilità per danni. La revoca ha effetto solo per il futuro, il che significa che la legalità del trattamento già avvenuto non è influenzata dalla revoca. Tuttavia, un trattamento precedente può essere contestato per mancanza di consenso. I dati trattati sulla base del consenso possono essere cancellati se non vi sono altre giustificazioni per un ulteriore trattamento sotto forma di conservazione.
55 Secondo la Corte Suprema Federale, i dati personali che non fanno parte dell'area centrale dell'esistenza umana, come il nome, la voce o l'immagine, possono essere organizzati irrevocabilmente se l'obbligo contrattuale è basato su interessi economici. Tuttavia, la misura in cui queste considerazioni sul diritto alla propria immagine possono essere generalizzate non è del tutto chiara. Nel caso in esame, uno dei fattori decisivi è stato il fatto che la cancellazione fosse possibile dietro il pagamento di una moderata tassa di cancellazione sotto forma di penale contrattuale.
V. Conseguenze legali del consenso mancante, non valido o revocato
56 Se un determinato trattamento richiede il consenso e questo non viene dato (in tempo utile) o non soddisfa i requisiti di validità, il trattamento corrispondente è illegale o costituisce una violazione dei diritti della personalità. Anche la prosecuzione del trattamento nonostante la revoca del consenso costituisce una violazione dei diritti della personalità (art. 30 cpv. 2 lett. b LPD).
57 In questi casi, il responsabile del trattamento può invocare altre giustificazioni (art. 31 LPD) come giustificazione secondaria. Tuttavia, se non si applica nessun'altra giustificazione, si può ricorrere contro i responsabili del trattamento privati (art. 32 cpv. 2 LPD) o gli organi federali (art. 41 LPD) e, se necessario, l'IFPDT adotta misure investigative e amministrative (art. 49 e segg. LPD).
58 La violazione degli artt. 6 cpv. 6 e 7 LPD non è direttamente punibile. Tuttavia, è possibile una sanzione indiretta, in particolare nel caso di divulgazione di dati personali all'estero sulla base di un consenso non valido o revocato, a condizione che la divulgazione sia proseguita sulla base di tale consenso (art. 61 lett. a in combinato disposto con l'art. 17 cpv. 1 lett. a LPD). Inoltre, in particolare nel settore della pubblicità elettronica di massa, la mancanza di consenso ai sensi dell'art. 3 cpv. 1 lett. o LCSl può comportare sanzioni ai sensi dell'art. 23 LCSl.
VI. Consigli pratici
59 Nella pratica, a volte si ottiene il consenso per trattamenti che non lo richiedono. Talvolta si sostiene che l'obbligo di trasparenza o il principio di buona fede vietino di ottenere un consenso non necessario. Tale rigore non è generalmente appropriato perché la questione della necessità del consenso è spesso associata all'incertezza giuridica. Tuttavia, poiché il consenso può essere revocato in qualsiasi momento, è necessario esaminare prima le giustificazioni alternative.
60 Su Internet si trovano spesso formulazioni come "Accetto l'informativa sulla privacy", "Accetto l'informativa sulla privacy" o simili. Tuttavia, un'informativa sulla privacy dovrebbe fornire solo informazioni unilaterali e non costituire un contratto bilaterale. Nel caso di un trasferimento globale, anche la regola dell'inusualità ha un effetto restrittivo. L'informativa sulla privacy dovrebbe quindi essere solo collegata e il consenso dovrebbe essere ottenuto separatamente e con cautela.
VII. Critiche alla norma
61 Secondo il dispaccio sulla nuova legge sulla protezione dei dati, uno dei principi guida della revisione era il rafforzamento dei diritti degli interessati, che doveva essere supportato anche da una definizione più precisa dei requisiti per un consenso valido da parte dell'interessato. Non si può presumere che questo obiettivo venga raggiunto grazie al chiarimento dei requisiti per il consenso. Da un lato, la situazione giuridica non è cambiata. D'altro canto, le dichiarazioni di consenso, proprio come le dichiarazioni di protezione dei dati, non vengono quasi mai lette. Questo può portare a un "sovraccarico di informazioni" e alla stanchezza da clic, soprattutto se, oltre alla dichiarazione di consenso ai sensi della legge sulla protezione dei dati, si ottiene il consenso ai termini e alle condizioni generali e si porta all'attenzione dell'utente la dichiarazione sulla protezione dei dati.
Bibliografia
Aebi-Müller Regina E., Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005.
Aebi-Müller Regina E. Grenzen des Bildnisschutzes – überwiegendes Interesse des Versicherers an der Observation eines Geschädigten und Rückzug einer Einwilligung zur Publikation erotischer Bilder im Internet, ZBJV 147 (2011), S. 330-354 (zit. ZBJV).
Baeriswyl Bruno, Kommentierung zu Art. 6, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Bühlmann Lukas/Schüepp Michael, Information, Einwilligung und weitere Brennpunkte im (neuen) Schweizer Datenschutzrecht, Jusletter 15.3.2021.
Dal Molin Luca, in: Dal Molin Luca/Wesiak-Schmidt Kirsten (Hrsg.), Datenschutz im Unternehmen, Zürich et al. 2023.
Domenig Benjamin/Mitscherlich Christian/Lutz Chantal, Datenschutzrecht für Schweizer Unternehmen, Stiftungen und Vereine, Bern 2022.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Datenbearbeitung durch den Arbeitgeber, 24.4.2023, abrufbar unter https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/arbeit_wirtschaft/datenbearbeitung-arbeitgeber.html, besucht am 14.10.2023 (zit. Arbeitgeber).
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Schlussbericht und Empfehlungen vom 3.3.2023 mit Ergänzungen vom 17.5.2023 in Sachen Once Dating AG (zit. Schlussbericht Once Dating).
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Schlussbericht vom 11.4.2006 sowie Anhang vom 6.11.2006 in Sachen Erhebung biometrischer Daten beim Erwerb einer Dauerkarte in den Sport- und Freizeitanlagen KSS Schaffhausen (zit. Schlussbericht KSS Schaffhausen).
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Tracking, 12.4.2023, abrufbar unter https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/internet_technologie/tracking.html, besucht am 14.10.2023 (zit. Tracking).
European Data Protection Board (EDPB), Leitlinien 05/2020 zur Einwilligung gemäss Verordnung 2016/679, Version 1.1, angenommen am 4.5.2020, abrufbar unter https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf, besucht am 14.10.2023.
Fasnacht Tobias, Die Einwilligung im Datenschutzrecht, Zürich 2017.
Ferrari-Visca Reto/Reichlin Jeremy, in: Dal Molin Luca/Wesiak-Schmidt Kirsten (Hrsg.), Datenschutz im Unternehmen, Zürich et al. 2023.
George Damian, Prinzipien und Rechtmässigkeitsbedingungen im privaten Datenschutzrecht, Zürich 2021.
Glatthaar Matthias/Schröder Annika, Kommentierung zu Art. 19 DSG, in: Steiner Thomas/Morand Anne-Sophie/ Hürlimann Daniel (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz, 20.8.2023, abrufbar unter https://onlinekommentar.ch/de/kommentare/dsg19, besucht am 14.10.2023, DOI: https://doi.org/10.17176/20230820-133017-0.
Haas Raphaël, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Zürich 2007.
Kasper Gabriel, People Analytics in privatrechtlichen Arbeitsverhältnissen, Zürich et al. 2021.
Klaus Samuel/Thomann Kenzo, Kommentierung zu Art. 6 Abs 6 und 7 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023.
Kurt Pärli, Kommentierung zu Art. 328b OR, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Kurt Pärli, BGer 4A_518/2020: Rechtswidrige Beschaffung von Arbeitnehmerpersonendaten, Jusletter 14.2.2022 (zit. Arbeitnehmerpersonendaten).
Kunz Christian, Kommentierung zu Art. 16 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023.
Maurer-Lambrou Urs/Steiner Andrea, Kommentierung zu Art. 4 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor P. (Hrsg.), Basler Kommentar zum Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.
Meier Philippe/Tschumy Nicolas, Kommentierung zu Art. 6 DSG, in: Métille Sylvain/Meier Philippe (Hrsg.), Commentaire Romand, Loi sur la protection des données, Basel 2023.
Pellascio Michael, Kommentierung zu Art. 328b OR, in: Kren Kostkiewicz Jolanta/Wolf Stephan/Amstutz Marc/Fankhauser Roland, Orell Füssli Kommentar zum Schweizerischen Obligationenrecht, 3. Aufl., Zürich 2016.
Pfaffinger Monika, Kommentierung zu Art. 31 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Pietruszak Thomas, Kommentierung zu Art. 328b OR, in: Honsell Heinrich (Hrsg.), Kurzkommentar Obligationenrecht, Basel 2014.
Portmann Wolfgang/Rudolph Roger, Kommentierung zu Art. 328b OR, in: Widmer Lüchinger Corinne/Oser David (Hrsg.), Basler Kommentar Obligationenrecht I, 7. Aufl., Basel 2020.
Rampini Corrado, Kommentierung zu Art. 13 DSG, in: Maurer-Lambrou Urs/Blechta Gabor P. (Hrsg.), Basler Kommentar zum Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.
Rehbinder Manfred/Stöckli Jean-Fritz, Kommentierung zu Art. 328b OR, in: Hausheer Heinz/Walter Hans Peter (Hrsg.), Berner Kommentar, Einleitung und Kommentar zu den Art. 319-330b OR, Zürich 2010.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020 (zit. nDSG).
Rosenthal David, Der Entwurf für ein neues Datenschutzgesetz, Jusletter 27.11.2017 (zit. Entwurf).
Rosenthal David, Der Vorentwurf für ein neues Datenschutzgesetz: Was er bedeutet, Jusletter 20.2.2017 (zit. Vorentwurf).
Rosenthal David/Jöhri Yvonne, Kommentierung zu Art. 4 und 13 DSG, Art. 328b OR, Art. 45c FMG, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Schulz Sebastian, Kommentierung zu Art. 7 DSGVO, in: Gola Peter/Heckmann Dirk, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., München 2022.
Spacek Dirk, Kommentierung zu Art. 7 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023.
Steiner Thomas, Zwischen Autonomie und Angleichung: Eine Analyse zur Anwendung des neuen DSG im Lichte der DSGVO, in: Widmer Michael (Hrsg.), Datenschutz: Rechtliche Schnittstellen, Zürich 2023, S. 51-138.
Steiner Thomas/Laux Christian, Kommentierung zu Art. 30 und 31 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023.
Streiff Ullin/von Kaenel Adrian/Rudolph Roger, Arbeitsvertrag, Praxiskommentar zu Art. 319-362 OR, 7. Aufl., Zürich 2012.
Uttinger Ursula/Geiser Thomas, Das neue Datenschutzrecht, Basel 2023.
Vasella David, Kommentierung zu Art. 3 Abs. 1 lit. o UWG, in: Heizmann Reto/Loacker Leander D., UWG Kommentar, Zürich et al. 2018.
Vasella David, Zur Freiwilligkeit und zur Ausdrücklichkeit der Einwilligung im Datenschutzrecht, Jusletter 16.11.2015 (zit. Einwilligung).
Vasella, EDÖB: Schlussbericht und Empfehlungen iS Once Dating, datenrecht.ch, 19.6.2023, abrufbar unter https://datenrecht.ch/edoeb-schlussbericht-und-empfehlungen-is-once-dating, besucht am 14.10.2023 (zit. Once Dating).
I materiali
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.7.2017, BBl 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 14.10.2023 (zit. Botschaft 2017).
Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) und zum Bundesbeschluss betreffend den Beitritt der Schweiz zum Zusatzprotokoll vom 8.11.2001 zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung vom 19.2.2003, BBl 2003 S. 2101 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2003/267/de, besucht am 14.10.2023 (zit. Botschaft 2003).
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II S. 413 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/de, besucht am 14.10.2023 (zit. Botschaft 1988).
Bundesgesetz über die Umsetzung der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung (Weiterentwicklung des Schengen-Besitzstands), BBl 2017 S. 7193 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2058/de, besucht am 14.10.2023 (zit. Entwurf DSG).