-
- Art. 3 Cost.
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 13 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 26 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 31 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 45 Cost.
- Art. 51 Cost.
- Art. 52 Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 60 Cost.
- Art. 68 Cost.
- Art. 69 Cost.
- Art. 74 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 81 Cost.
- Art. 96 cpv. 1 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 122 Cost.
- Art. 123a Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 130 Cost.
- Art. 164 Cost.
- Art. 166 Cost.
- Art. 170 Cost.
- Art. 176 Cost
- Art. 178 Cost.
- Art. 189 Cost.
- Art. 191 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 97 CO
- Art. 98 CO
- Art. 99 CO
- Art. 100 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 633 CO
- Art. 701 CO
- Art. 713 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 60 LDP
- Art. 60a LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 64 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Art. 1 AIMP
- Art. 1a AIMP
- Art. 3 par. 1 e 2 AIMP
- Art. 8 AIMP
- Art. 8a AIMP
- Art. 11b AIMP
- Art. 16 AIMP
- Art. 17 AIMP
- Art. 17a AIMP
- Art. 32 AIMP
- Art. 35 AIMP
- Art. 47 AIMP
- Art. 54 AIMP
- Art. 55a AIMP
- Art. 67 AIMP
- Art. 67a AIMP
- Art. 74 AIMP
- Art. 74a AIMP
- Art. 80 AIMP
- Art. 80a AIMP
- Art. 80b AIMP
- Art. 80h AIMP
- Art. 63 AIMP
- Art. 80c AIMP
- Art. 80d AIMP
- Art. 80k AIMP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 4 LPD
- Art. 5 lett. d LPD
- Art. 5 lett. c LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 3-5 LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 18 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 28 LPD
- Art. 29 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 52 LPD
- Art. 54 LPD
- Art. 55 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 16 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 18 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 27 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 28 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
-
- Art. 2 cpv. 1 LRD
- Art. 2 cpv. 2 LRD
- Art. 2 cpv. 3 LRD
- Art. 2a cpv. 1-2 and 4-5 LRD
- Art. 3 LRD
- Art. 7 LRD
- Art. 7a LRD
- Art. 8 LRD
- Art. 8a LRD
- Art. 14 LRD
- Art. 11 LRD
- Art. 15 LRD
- Art. 20 LRD
- Art. 23 LRD
- Art. 24 LRD
- Art. 24a LRD
- Art. 25 LRD
- Art. 26 LRD
- Art. 26a LRD
- Art. 27 LRD
- Art. 28 LRD
- Art. 29 LRD
- Art. 29a LRD
- Art. 29b LRD
- Art. 30 LRD
- Art. 31 LRD
- Art. 31a LRD
- Art. 32 LRD
- Art. 33 LRD
- Art. 34 LRD
- Art. 38 LRD
COSTITUZIONE FEDERALE
LEGGE FEDERALE SULL’IMPOSTA FEDERALE DIRETTA
ORDINANZA RELATIVA AI DISPOSITIVI MEDICI
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
LEGGE SUL RICICLAGGIO DI DENARO
LEGGE SULLA TRASPARENZA
LEGGE FEDERALE SUL TRASFERIMENTO INTERNAZIONALE DEI BENI CULTURALI
LEGGE SUGLI AGENTI TERAPEUTICI
LEGGE FEDERALE SULL’ARMONIZZAZIONE DELLE IMPOSTE DIRETTE DEI CANTONI E DEI COMUNI
- I. Osservazioni preliminari
- II. Considerazioni generali
- III. Presupposti
- IV. Conseguenza giuridica: portabilità
- V. Modalità (cpv. 3 e OPDDa)
- Bibliografia
- I materiali
I. Osservazioni preliminari
1 L’art. 28 della LPD sancisce il diritto dell’interessato alla consegna (cpv. 1) o al trasferimento (cpv. 2) di determinati dati che lo riguardano. Tale diritto è anche denominato diritto alla portabilità dei dati e costituisce – insieme al diritto di accesso – il secondo diritto dell’interessato nell’ambito della LPD. L’articolo 29 LPD, che segue, va letto congiuntamente all’articolo 28 LPD e prevede possibili motivi di limitazione.
2 Per l’esercizio dell’art. 28 LPD è legittimata attivamente la persona fisica richiedente i cui dati sono trattati da un responsabile del trattamento. È legittimato passivamente il responsabile del trattamento che tratta i dati della persona richiedente oggetto del diritto alla portabilità o che ne affida il trattamento a un incaricato. Rientrano in questa categoria i privati e, in rari casi, anche gli organi federali.
II. Considerazioni generali
A. Finalità normativa
3 La finalità normativa dell’art. 28 LPD è ancora oggi oggetto di controversia. Mentre, ad esempio, il Consiglio federale vede nel diritto alla portabilità dei dati la realizzazione di obiettivi di diritto della concorrenza (cfr. N. 10), secondo altre voci della dottrina sono in primo piano obiettivi di tutela dei consumatori o di protezione dei dati. A complicare l’individuazione della finalità normativa si aggiunge il fatto che, durante l’elaborazione della norma, le Camere si sono concentrate sui social network, senza tuttavia prevedere nel diritto alla portabilità dei dati una corrispondente limitazione a tali reti. L’art. 28 LPD può quindi trovare applicazione in numerose contesti e settori – ad esempio nel settore della mobilità, in quello sanitario, nelle piattaforme Internet, nei servizi cloud o nella gestione delle risorse umane. L’unico elemento comune a tutti i casi di applicazione è che essi sono riconducibili a cambiamenti fondamentali nel trattamento moderno dei dati (cfr. anche N. 23 e segg.). Solo l’emergere, in tempi recenti, dell’economia dei dati ha reso necessario il diritto alla portabilità dei dati. Ciò deve essere preso in considerazione nella finalità della norma.
4 Dal punto di vista della normativa sulla protezione dei dati, il diritto alla portabilità dell’interessato deve consentire una gestione autonoma dei dati. Esso mira a superare la possibilità di esclusione di fatto di cui godrebbe il titolare del trattamento in assenza del diritto alla portabilità e a far sì che la persona, finora degradata a oggetto dei dati, assuma il ruolo di soggetto dei dati, potendo così partecipare alle decisioni relative all’utilizzo dei dati. In questo modo si affrontano gli squilibri tra gli attori generati dall’economia dei dati. L’interessato riceve per la prima volta uno strumento giuridico per intervenire autonomamente nell’economia dei dati e poter partecipare al potenziale dei dati.
5 A ciò sono tuttavia strettamente legate anche considerazioni di diritto della concorrenza. A questo proposito, il diritto alla portabilità mira a promuovere la concorrenza in generale e a favorire il libero flusso dei dati. Altri obiettivi spesso citati in letteratura, come la riduzione dei costi di passaggio o delle barriere all’ingresso sul mercato e la prevenzione degli effetti di lock-in, possono invece, secondo l’opinione qui sostenuta, svolgere solo un ruolo secondario: l’art. 28 LPD non si limita ai casi in cui esista o possa semplicemente esistere un effetto di lock-in, e non è necessario dimostrare l’esistenza di barriere all’ingresso nel mercato né la loro riduzione. Inoltre, il responsabile del trattamento non deve necessariamente detenere una posizione di mercato particolare né operare affatto su un mercato.
6 In tal modo, gli obiettivi di diritto della concorrenza si discostano da una concezione classica del diritto antitrust e si avvicinano a un «diritto regolamentare» che agisce ex ante. A questi obiettivi si fonda inoltre l’idealismo del cosiddetto Open Web. Questo movimento, emerso alla fine degli anni 2000, affonda le sue radici nella scena informatica americana e si basa sull’idea che solo la libera collegabilità dei contenuti su Internet (e in particolare nel World Wide Web), nonché l’accesso agli stessi, abbiano reso possibile l’innovazione e abbiano permesso la creazione delle offerte oggi esistenti. Questo Open Web è tuttavia minacciato dai monopoli e dai silos di dati (i cosiddetti «walled gardens»), poiché le grandi piattaforme Internet, in particolare, si isolano sempre più le une dalle altre. Il diritto alla portabilità dei dati va quindi visto, anche a un livello molto più fondamentale, come una reazione a un Internet costituito da «walled gardens». L’economia dei dati – nella sua forma prevalente nel World Wide Web – deve essere liberata dai silos di dati proprietari e gli interessati devono poter cambiare fornitore senza ostacoli che distorcano la concorrenza.
7 Data l’ampiezza dei possibili casi d’uso, gli obiettivi citati, talvolta molto diversi tra loro, non sono sempre facilmente conciliabili. Alla luce di quanto detto, il diritto alla portabilità dei dati persegue tuttavia obiettivi sia in materia di protezione dei dati che di diritto della concorrenza. Tuttavia, esso va considerato principalmente come uno strumento di protezione dei dati che persegue anche obiettivi di diritto della concorrenza. Ciò deriva sistematicamente dal fatto che il diritto alla portabilità riguarda solo i dati personali e può essere esercitato esclusivamente dagli interessati (ai sensi della normativa sulla protezione dei dati). Di conseguenza, è evidente il nesso con la personalità dell’interessato e la sua autodeterminazione informativa. Viceversa, non è necessario che siano soddisfatti requisiti di diritto della concorrenza affinché il diritto possa essere esercitato. Non è nemmeno necessario che il responsabile del trattamento operi su un mercato o in modo rilevante ai fini della concorrenza.
8 Di conseguenza, il diritto alla portabilità dei dati nel diritto sulla protezione dei dati non è (come talvolta sostenuto) estraneo al sistema, bensì «costruttrice del sistema». È espressione di una decisione di principio del legislatore, secondo cui l’interessato deve avere la possibilità di partecipare alle decisioni relative ai dati che lo riguardano. Con il suo inserimento nella LPD, il legislatore ha chiarito che in futuro l’attenzione dovrà essere posta sull’interessato.
9 Proprio alla luce della storia della sua genesi in Svizzera, non proprio lineare (ne parleremo tra poco), il diritto alla portabilità dei dati va inteso anche in un contesto più ampio: si tratta di uno strumento della politica svizzera in materia di dati per eccellenza e non «solo» di uno strumento di diritto della protezione dei dati. Il diritto alla portabilità deriva da considerazioni di fondo relative alla politica in materia di dati e mira a consentire un libero flusso di dati nell’era dell’economia dei dati. In questo senso, pur potendo essere – come ora è avvenuto – disciplinato dal diritto sulla protezione dei dati, non deve necessariamente avere uno stretto legame con la LPD. Già all’inizio delle deliberazioni sulla revisione della LPD, la portavoce della commissione competente aveva infatti giustamente osservato: «Non si tratta semplicemente di protezione dei dati, ma anche di altre questioni relative alla politica dei dati, come la portabilità ecc., di cui dobbiamo […] occuparci.»
B. Genesi
10 L’art. 28 della LPD non ha alcun corrispondente nell’aDSG precedente. Si tratta di una vera e propria novità della revisione, ripresa dal DSGVO (cfr. N. 12) . La sua introduzione, tuttavia, è rimasta incerta fino all’ultimo: il Consiglio federale riteneva «problematica» una normativa in tal senso e ha rinunciato a inserire un diritto alla portabilità dei dati nel (pre)progetto. Ha motivato questa scelta sostenendo che un tale diritto fosse finalizzato più a consentire agli interessati il riutilizzo dei propri dati, per favorire la concorrenza, che a tutelare la loro personalità. Inoltre, temeva costi elevati e nutriva dubbi sul successo dell’attuazione, poiché sarebbe stato necessario un accordo tra i responsabili in merito ai supporti dati e agli standard informatici. Il Consiglio federale intendeva invece valutare l’introduzione di diritti di portabilità specifici per settore.
11 Nelle deliberazioni parlamentari, tuttavia, la Commissione delle istituzioni politiche del Consiglio nazionale (CIP-N) ha comunque inserito nel progetto un diritto generale alla portabilità dei dati. Ciò avrebbe dovuto aprire nuovi spazi economici e modificare l’equilibrio di potere tra piattaforme piccole e grandi. Una minoranza ha inoltre chiesto di ampliare ulteriormente la portata di tale diritto, sottoponendo alla portabilità tutti i dati relativi a una persona. La maggioranza del Consiglio nazionale e anche il Consiglio federale ritenevano tuttavia che un tale diritto sarebbe andato troppo oltre, in considerazione dei possibili problemi relativi ai segreti d’affari. Infine, le Camere hanno deciso di sancire il diritto alla portabilità nella sua forma attuale, «sempre tenendo presente ciò che ne comprometterà l’adeguatezza e ciò che invece non lo farà».
C. Riferimenti di diritto comparato
12 Il diritto alla portabilità dei dati è stato ripreso dalla DSGVO praticamente senza modifiche, motivo per cui la normativa ivi contenuta nell’art. 20 della DSGVO può essere presa come riferimento per l’interpretazione svizzera. Esistono tuttavia alcune differenze specifiche nella formulazione, sulle quali – ove pertinente – occorre soffermarsi in relazione ai singoli presupposti.
III. Presupposti
A. Dati personali degli interessati
13 L’art. 28 cpv. 1 LPD prevede innanzitutto che l’interessato possa richiedere al responsabile del trattamento la consegna dei «propri dati personali». Ne consegue che solo i dati che si riferiscono a una persona fisica sono portabili (art. 2 cpv. 1 e art. 5 lett. a LPD). Pertanto, i dati privi di riferimento all’interessato non rientrano nell’ambito di applicazione, a meno che il titolare del trattamento non sia in grado di collegarli a quest’ultimo. Si possono citare, ad esempio, le metriche di prestazione anonime relative al software, quali i dati sul carico della CPU o sul consumo di memoria sul dispositivo di un’utente. È quindi richiesta una stretta correlazione tra i dati e la personalità dell’interessato.
14 Di conseguenza, i dati relativi a persone giuridiche non sono soggetti al diritto alla portabilità. Non rientrano nell’ambito di applicazione nemmeno i dati che un responsabile del trattamento anonimizza a posteriori. Se si tratta di dati pseudonimizzati, questi devono essere considerati dati personali qualora il responsabile del trattamento possa collegarli all’interessato.
15 Come evidenziano le versioni in lingua latina, i dati devono riferirsi alla persona che presenta la richiesta. Non è invece possibile trarre alcuna conclusione dalla formulazione ambigua della versione in lingua tedesca («i suoi dati personali»), che consentirebbe anche un’interpretazione diversa e più ampia. Ne consegue che i dati puramente relativi a terzi, ovvero i dati che si riferiscono esclusivamente a terzi, non sono soggetti al diritto alla portabilità.
16 È tuttavia controverso come si debba procedere nel caso di dati che si riferiscono anche a terzi, ad esempio foto in cui sono ritratte più persone. Poiché i motivi di limitazione del diritto alla portabilità dei dati di cui all’art. 29 cpv. 1 in combinato disposto con l’art. 26 cpv. 1 lett. b LPD fanno riferimento a interessi prevalenti di terzi, si deve presumere che i dati personali che si riferiscono anche a terzi possano essere soggetti al diritto alla portabilità. Rientrano quindi anche i dati con un «doppio riferimento», che presentano una certa vicinanza alla persona interessata, anche se i dati non si riferiscono (solo) a quest’ultima. Ciò vale, ad esempio, per intere cronologie di chat o e-mail o per transazioni bancarie archiviate (comprese le informazioni sui debitori o sui beneficiari). Solo in presenza di interessi prevalenti di terzi (o qualora si tratti di dati che riguardano esclusivamente terzi) i dati non sono soggetti al diritto alla portabilità dei dati. Se così non fosse, l’art. 28 LPD risulterebbe privo di effetto proprio in molti dei casi previsti dallo scopo della norma.
17 Pertanto, per determinare se determinati dati siano soggetti al diritto alla portabilità, occorre procedere come segue: in una prima fase, il responsabile del trattamento deve verificare se, in generale, siano soddisfatti i requisiti di cui all’art. 28 LPD, in particolare se i dati personali in questione siano stati comunicati dall’interessato. Se i dati riguardano anche terzi (ma non solo terzi) e presentano un doppio riferimento, in una seconda fase occorre valutare, nel senso di un «correttivo restrittivo», se interessi prevalenti di terzi rendano necessaria una limitazione. In assenza di interessi prevalenti del terzo, i dati possono essere trasferiti.
B. Dati comunicati
18 Il diritto alla portabilità dei dati è limitato ai dati che l’interessato ha «comunicato» al responsabile del trattamento. Il concetto di comunicazione non va inteso ai sensi della definizione giuridica di cui all’art. 5 lett. e LPD. Ciò non è tuttavia necessario ai fini della sua interpretazione: già durante l’iter legislativo è stato precisato, nei materiali preparatori, a quali dati ci si riferisse. Il Consiglio federale ha poi definito il contenuto di tale caratteristica nell’OPDa. Inoltre, l’Ufficio federale di giustizia (UFG) si è espresso in merito a tale contenuto nelle sue note esplicative. Per questo motivo, il requisito della comunicazione in Svizzera (a differenza di quanto previsto dalla DSGVO) è, almeno in teoria, ampiamente indiscusso. Nella pratica, tuttavia, possono sorgere difficili questioni di delimitazione.
19 Ai sensi dell’art. 20 cpv. 1 lett. a OPDDa, sono considerati comunicati innanzitutto i dati che un interessato mette a disposizione del responsabile del trattamento consapevolmente e volontariamente (i cosiddetti dati anagrafici; anche «provided data»). Sono inclusi tutti i dati comunicati direttamente e consapevolmente, ad esempio i dati di indirizzo inseriti nell’ambito di un ordine online o i dati che devono essere forniti in occasione di una registrazione su una piattaforma o su un questionario anamnestico in ospedale. Le password o le chiavi private non rientrano in questa categoria, a condizione che – come dovrebbe essere la norma – siano crittografate e non possano essere associate dall’amministratore all’interessato.
20 Inoltre, i dati si considerano comunicati quando un amministratore li ha raccolti sull’interessato e sul suo comportamento nell’ambito dell’utilizzo di un servizio o di un dispositivo (art. 20 cpv. 1 lett. b OPDa) . Tali dati osservati (anche «observed data») vengono generati – consapevolmente o inconsapevolmente – dall’interessato in modo indiretto durante l’utilizzo di un servizio o di un dispositivo. Rientrano in questa categoria, ad esempio, i valori di un’app di fitness su uno smartwatch, generati in base alla prestazione sportiva, i brani musicali ascoltati su un servizio di streaming o i dati relativi al consumo e alla posizione di un veicolo intelligente.
21 Non rientrano in questa categoria i dati derivati (anche «derived data»), ovvero i dati che il titolare del trattamento genera attraverso la propria valutazione dei dati (art. 20 cpv. 2 OPDDa). Poiché questi rappresentano una prestazione autonoma del titolare del trattamento, sono esclusi dal diritto alla portabilità. In questo caso, il legislatore ha attribuito maggiore importanza alla tutela dell’attività autonoma e dei propri investimenti rispetto al diritto dell’interessato di consentire un riutilizzo dei «propri» dati personali.
22 La distinzione tra dati osservati e dati derivati va effettuata caso per caso e potrebbe non essere sempre semplice. Ad esempio, nel settore sanitario «osservare» significa per lo più anche «misurare», e dietro una semplice misurazione si cela spesso una tecnologia complessa che opera secondo metodi scientifici. In questi casi, il passaggio dalla pura osservazione alla derivazione può essere fluido e difficile da individuare.
C. Trattamento automatizzato
23 Un’ulteriore limitazione consiste nel fatto che solo i dati trattati in modo automatizzato dal responsabile del trattamento sono soggetti al diritto alla portabilità dei dati (art. 28 cpv. 1 lett. a LPD). Ciò mira principalmente a escludere i dati conservati in formato cartaceo. Si pensi, ad esempio, ai moduli cartacei di anamnesi presenti in uno studio medico, purché questi non vengano successivamente trasferiti in una cartella clinica elettronica.
24 Sono contemplati solo i dati trattati elettronicamente. Infatti, nonostante la neutralità tecnologica intrinseca della LPD, il diritto alla portabilità dei dati è finalizzato al traffico digitale e trova applicazione in particolare al traffico di dati su Internet. Tuttavia, tale presupposto oggi non rappresenta quasi più una limitazione, poiché la maggior parte dei trattamenti dei dati avviene presumibilmente in modo automatizzato.
25 Il titolare del trattamento non ha l’obbligo di digitalizzare i dati conservati in formato cartaceo o in altra forma analogica. Tuttavia, se i dati vengono trattati solo parzialmente in modo automatizzato, il titolare del trattamento può essere obbligato, in singoli casi, a trasferire tali dati, poiché la limitazione non fa riferimento a un trattamento esclusivamente automatizzato. Poiché in questo caso deve fornire o trasmettere i dati in un formato elettronico comunemente utilizzato, possono sussistere ulteriori obblighi a suo carico.
D. Consenso o nesso diretto con il contratto
26 Come ulteriore presupposto, l’art. 28 LPD prevede una limitazione ai dati trattati con il consenso dell’interessato o in nesso diretto con la stipula o l’esecuzione di un contratto tra il responsabile del trattamento e l’interessato (cpv. 1, lett. b). Tale presupposto fa riferimento ai motivi giustificativi per il trattamento dei dati di cui all’art. 31 LPD ed è stato ripreso tel quel dalla DSGVO.
27 Tuttavia, la DSGVO si basa sul principio del divieto con riserva di autorizzazione. In Svizzera, invece, il trattamento dei dati da parte di privati è in linea di principio consentito, purché non vi sia una violazione illecita della personalità dell’interessato (autorizzazione con riserva di divieto). Di conseguenza, ai sensi della LPD non è richiesto in ogni caso un motivo giustificativo ai sensi dell’art. 31 LPD per il trattamento dei dati da parte di privati. Piuttosto, un trattamento dei dati non può nemmeno ledere illecitamente la personalità dell’interessato, ad esempio perché avviene in conformità con i principi di protezione dei dati (art. 30 cpv. 1 e cpv. 2 lett. a LPD e contrario). Ciò tuttavia non tiene conto del presupposto di cui all’art. 28 cpv. 1 lett. b LPD.
28 Un’interpretazione letterale comporterebbe quindi che solo i trattamenti di dati siano soggetti al diritto alla portabilità qualora possano fondarsi sui motivi giustificativi del consenso (art. 31 cpv. 1 variante 1 LPD) o dell’interesse prevalente in ragione di un nesso diretto con un contratto (art. 31 cpv. 2 lett. a LPD). Ciò garantirebbe certamente che i trattamenti di dati basati su un obbligo legale non rientrino nel diritto alla portabilità dei dati. Tuttavia, non si ravvisa alcun motivo per cui i trattamenti di dati che non necessitano di una base giustificativa dovrebbero essere esclusi dalla portabilità.
29 Nella dottrina si ipotizza quindi una negligenza legislativa e, alla luce della finalità della norma, si sostiene un’interpretazione più ampia. Si dovrebbe quindi fare riferimento alla volontarietà del trattamento dei dati. Di conseguenza, l’iniziativa per il trattamento concreto dei dati deve provenire almeno (anche) dall’interessato. Il trattamento dei dati non deve avvenire in modo completamente slegato dalla volontà degli interessati. Se ciò avviene, il presupposto di cui all’art. 28 cpv. 1 lett. b LPD deve essere considerato soddisfatto, indipendentemente dal fatto che venga invocato un motivo giustificativo ai sensi dell’art. 31 LPD.
30 A contrario, ciò significa che i trattamenti di dati che si basano su un altro motivo giustificativo non sono soggetti al diritto alla portabilità dei dati. Ciò è rilevante in particolare quando esiste una base legale per il trattamento dei dati (art. 31 cpv. 1 variante 3 LPD). Mentre la DSGVO prevede un’esplicita esclusione dei trattamenti nell’esercizio di funzioni pubbliche (art. 20 cpv. 3, seconda frase, DSGVO), ciò non avviene ai sensi della LPD. Tuttavia, già la limitazione di cui all’art. 28 cpv. 1 lett. b LPD chiarisce che i trattamenti di dati basati su una base giuridica sono in linea di principio esclusi. Di conseguenza, i trattamenti di dati effettuati da organi federali, vincolati al principio di legalità, non rientrano di norma nel diritto alla portabilità dei dati.
IV. Conseguenza giuridica: portabilità
31 Se i presupposti di cui al punto III sono soddisfatti cumulativamente, l’interessato può richiedere la consegna dei dati a sé stesso (cpv. 1) o il trasferimento a un altro titolare del trattamento (cpv. 2). Sia la consegna che il trasferimento dei dati devono avvenire in un formato elettronico comunemente utilizzato (cfr. N. 38 e segg.).
32 L’esercizio del diritto alla portabilità non modifica il rapporto giuridico dell’interessato con il titolare del trattamento. Il consenso già prestato non si considera revocato, né subisce modifiche l’eventuale rapporto contrattuale tra le parti. Il titolare del trattamento può continuare a far valere motivi di giustificazione. Di conseguenza, non è tenuto a cancellare i dati trasferiti.
A. All’interessato (consegna dei dati; comma 1)
33 Ai sensi dell’art. 28 cpv. 1 LPD, il responsabile del trattamento consegna i dati all’interessato. Quest’ultimo può quindi utilizzare i dati per uso puramente personale (ad esempio salvando una raccolta di foto sul proprio computer) oppure trasmetterli autonomamente a un terzo di sua scelta. Quest’ultima operazione, tuttavia, non si basa sull’art. 28 LPD.
B. A un responsabile del trattamento (trasferimento dei dati; cpv. 2)
34 Ai sensi dell’art. 28 cpv. 2 LPD, su richiesta dell’interessato è possibile anche un trasferimento diretto a terzi (definiti nell’art. 28 come «altro responsabile del trattamento»). A tal fine devono innanzitutto essere soddisfatti tutti i requisiti di cui al cpv. 1. Inoltre, il trasferimento non deve comportare uno sforzo sproporzionato. Il cpv. 2 è soddisfatto se il terzo può ottenere i dati direttamente dal titolare del trattamento passivamente legittimato, ad esempio perché quest’ultimo gli concede l’accesso tramite un’interfaccia di programmazione (API). Non sussiste tuttavia alcun diritto in tal senso.
35 L’art. 21 cpv. 3 OPD precisa che sussiste un onere sproporzionato qualora il trasferimento non sia tecnicamente possibile. Tale impossibilità, tuttavia, difficilmente si verificherebbe, poiché la consegna dei dati all’interessato non è, dal punto di vista tecnico, né più semplice né più complessa del trasferimento dei dati a un altro responsabile del trattamento. Poiché il responsabile del trattamento è tenuto per legge a consegnare i dati ai sensi del cpv. 1, anche un trasferimento dei dati ai sensi del cpv. 2 dovrebbe essere regolarmente possibile (senza un onere sproporzionato). Ciò vale a maggior ragione in quanto il responsabile del trattamento deve progettare i propri sistemi sin dall’inizio in modo tale da poter adempiere ai propri obblighi di legge (art. 7 LPD).
36 Naturalmente, un terzo non è tenuto a ricevere i dati né a garantire la fattibilità tecnica del trasferimento. A lui non spetta alcun ruolo ai sensi della normativa sulla protezione dei dati fintantoché non abbia ricevuto dati personali e, di conseguenza, non li tratti. In tal senso, la denominazione di «altro titolare del trattamento» nella legge è fuorviante, tanto più che l’art. 28 LPD – a differenza dell’art. 20 DSGVO – non prevede un divieto di ostacolo che imporrebbe all’«altro titolare del trattamento» un obbligo in relazione al diritto alla portabilità dei dati. Ai sensi della normativa UE si sostiene pertanto che la fattibilità tecnica debba riferirsi al rapporto tra il responsabile del trattamento e il terzo. Un trasferimento sarebbe sempre sproporzionato qualora i sistemi di trattamento dei dati del responsabile del trattamento e del terzo non fossero compatibili. Il presupposto si riferisce quindi a una caratteristica del terzo, senza attribuirgli alcun obbligo.
37 Dai costi sostenuti dal titolare del trattamento non si può dedurre alcun onere sproporzionato. Il diritto alla portabilità dei dati è un diritto dell’interessato che deve essere garantito a prescindere da eventuali costi di implementazione. I costi sostenuti per il trasferimento a un terzo non possono quindi essere addotti come argomentazione, soprattutto poiché non è chiaro in che misura tale trasferimento debba comportare costi superiori rispetto alla consegna all’interessato.
C. Formato dei dati
38 L’art. 28 LPD prevede la consegna o il trasferimento in un formato elettronico comunemente utilizzato. Si tratta di formati che consentono di trasferire i dati con un onere proporzionato e di riutilizzarli da parte dell’interessato o di un altro responsabile del trattamento (cfr. art. 21 cpv. 1 OPDa).
39 Poiché questa precisazione è di scarsa utilità, occorre fare riferimento alla disposizione dell’art. 20 della DSGVO, anche se la formulazione svizzera si è orientata piuttosto a quella relativa al diritto di accesso di cui all’art. 15 cpv. 3 della DSGVO. L’art. 20 della DSGVO parla di un «formato strutturato, comunemente utilizzato e leggibile da dispositivo automatico».
1. Diffuso
40 Un formato è diffuso se è ampiamente utilizzato nel settore di riferimento per il tipo di dati in questione e nell’area geografica pertinente. Tuttavia, non occorre attribuire un’importanza eccessiva all’area geografica. Nell’economia globalizzata dei dati, la Svizzera non è un’isola tecnologica e il requisito della diffusione risulterebbe così inutilmente elevato. La diffusione non corrisponde nemmeno allo stato dell’arte. Ciò che conta non è quale formato appaia «migliore», ma quale sia il più diffuso e si sia quindi dimostrato efficace nella pratica. Di conseguenza, un formato è considerato diffuso quando si è affermato come standard. Occorre quindi fare riferimento principalmente agli standard e alle consuetudini del settore.
41 Fanno eccezione, tuttavia, i formati proprietari, che pur essendo eventualmente diffusi, possono essere concessi in licenza solo a costi elevati. Essi non sono da considerarsi diffusi, così come i formati utilizzati esclusivamente a livello interno. Viceversa, i formati aperti non sono di per sé diffusi, ma devono essere di uso comune e ampiamente diffusi. Se in un determinato settore non esistono (ancora) formati diffusi, il responsabile dovrebbe ricorrere a formati aperti di uso comune, quali XML, JSON o CSV.
42 La diffusione va valutata dal punto di vista del responsabile con legittimazione passiva: un file DICOM (acronimo di Digital Imaging and Communications in Medicine, con estensione .dcm) può risultare insolito per una paziente, ma è diffuso in radiologia. Ciò vale anche se il responsabile opera in un settore diverso da quello del terzo a cui devono essere trasferiti i dati. Ciò può tuttavia rappresentare un ostacolo concreto al trasferimento intersettoriale.
2. In formato elettronico
43 Un formato elettronico corrisponde, in sostanza, alla leggibilità automatica ai sensi della DSGVO. In tale contesto, la leggibilità automatica è considerata un vero e proprio «requisito formale» per la società digitale, poiché solo essa consente il trattamento automatizzato delle informazioni tramite computer. Poiché il diritto alla portabilità dei dati è finalizzato all’economia dei dati, il formato deve garantire l’importazione automatica dei dati in un sistema informatico in forma strutturata. I dati devono quindi essere elaborabili elettronicamente e poter essere ulteriormente trattati in modo automatizzato.
44 In alcuni casi specifici, tuttavia, la normativa svizzera può essere più restrittiva rispetto al concetto di leggibilità automatica. Mentre nell’ambito della DSGVO si discute talvolta se le stampe cartacee debbano essere considerate leggibili automaticamente in virtù della possibilità tecnica del riconoscimento ottico dei caratteri (cosiddetto optical character recognition; OCR), ai sensi della LPD queste non sono chiaramente classificabili come formato elettronico.
3. Nessun requisito di interoperabilità
45 Dalle disposizioni relative al formato dei dati non deriva alcun requisito di interoperabilità. L’interoperabilità non si riferisce comunque ai dati (o ai loro formati), bensì ai sistemi che sono coinvolti in uno scambio bidirezionale. A tal fine sarebbe quindi necessario non solo lo scambio di dati, ma anche l’interazione tra sistemi diversi. Ad esempio, un social network potrebbe consentire a un’utente di trasferire le proprie foto su un’altra piattaforma. L’interoperabilità tra due social network sarebbe invece raggiunta solo se, ad esempio, un commento sotto una foto potesse essere visualizzato su un altro social network e fosse possibile interagire con esso (ad esempio tramite un nuovo commento). I diversi sistemi devono quindi non solo essere in grado di scambiare dati, ma anche concordare quali condizioni si applicano a tali dati.
46 L’art. 21 cpv. 2 dell’OPDa chiarisce in tal senso che il diritto alla portabilità non comporta alcun obbligo per il responsabile del trattamento di adottare o mantenere sistemi di trattamento dei dati tecnicamente compatibili. Tale obbligo non sussiste ovviamente nemmeno per i terzi, che non sono tenuti a ricevere i dati trasferiti. Neppure dalle disposizioni della LPD e dell’OPDa deriva l’obbligo di garantire l’interoperabilità tra i sistemi.
47 Nelle sue note esplicative, l’UFJ suggerisce inoltre che le informazioni trasmesse debbano essere descritte in modo preciso in formati interoperabili con metadati adeguati e comprensibili, affinché possano essere trasferite in modo sensato in un nuovo sistema. I metadati devono essere sufficientemente esaustivi da consentire l’utilizzo e il riutilizzo dei dati senza rivelare segreti d’affari. Ciò suggerisce un obbligo di elaborazione di (nuovi) metadati, che non va seguito. L’art. 28 LPD sancisce semplicemente, e proprio anche alla luce dell’art. 21 cpv. 2 OPDDa, undiritto ai dati «as is». Ciò comprende anche eventuali metadati che consentono, ad esempio, di strutturare un insieme di dati più ampio. Da ciò non si può tuttavia dedurre un obbligo di integrare i metadati (talvolta con dati di cui il responsabile del trattamento potrebbe non aver affatto bisogno nel proprio sistema). Ciò soprattutto perché la normativa svizzera, a differenza dell’art. 20 della DSGVO, non menziona espressamente la strutturazione come requisito. Inoltre, a seconda del formato (comune) utilizzato, può variare quali metadati possano tecnicamente essere contenuti in un formato. Devono quindi essere forniti solo quei metadati degli interessati che sono contenuti in un formato elettronico comune ai sensi dell’art. 28 LPD.
V. Modalità (cpv. 3 e OPDDa)
48 L’art. 28 cpv. 3 LPD prevede che il responsabile del trattamento debba, in linea di principio, trasferire i dati personali a titolo gratuito. Inoltre, l’art. 22 OPDa precisa i termini, la competenza e ulteriori modalità. L’art. 22 OPDa si limita tuttavia a fare riferimento, per analogia, alle modalità del diritto di accesso, senza affrontare nel merito il diritto alla portabilità dei dati. In linea di principio è quindi possibile fare riferimento alle considerazioni relative al diritto di accesso.
A. Forma e termine
49 L’art. 22 in combinato disposto con l’art. 16 cpv. 1 OPD richiede all’interessato una richiesta scritta. In essa l’interessato deve identificarsi (art. 22 in combinato disposto con l’art. 16 cpv. 5 OPD). Ciò è possibile, ad esempio, allegando alla richiesta una copia del documento d’identità. Più frequentemente, tuttavia, l’identificazione dovrebbe avvenire quando l’interessato presenta la richiesta direttamente dal proprio account (dopo aver effettuato l’accesso) presso il titolare del trattamento. In questi casi, tuttavia, il titolare del trattamento dovrebbe adottare misure particolari in considerazione dei requisiti in materia di sicurezza dei dati (ad esempio implementando meccanismi per il rilevamento di tentativi di accesso insoliti da indirizzi IP estranei). Previo consenso del responsabile del trattamento, la richiesta può essere presentata anche verbalmente, cosa che tuttavia dovrebbe verificarsi raramente.
50 Il trasferimento deve avvenire entro 30 giorni dal ricevimento della richiesta (art. 22 in combinato disposto con l’art. 18 cpv. 1 OPD). Se il trasferimento non può avvenire entro tale termine, il responsabile del trattamento deve informarne l’interessato e comunicargli entro quale termine potrà avvenire il trasferimento (art. 22 in combinato disposto con l’art. 18 cpv. 2 OPDDa). Anche un’eventuale limitazione deve essere comunicata entro lo stesso termine (art. 22 in combinato disposto con l’art. 18 cpv. 3 OPDDa).
51 Non è dovuto un flusso di dati continuo o periodico. Il responsabile del trattamento non è tenuto a garantire nemmeno un accesso illimitato ai dati da parte dell’interessato o dell’altro responsabile del trattamento (ad esempio tramite l’accesso a un’interfaccia). Il diritto alla portabilità dei dati è concepito come meccanismo di trasferimento statico e fornisce quindi solo un’«istantanea».
52 Come il diritto di accesso, anche il diritto alla portabilità dei dati può quindi essere garantito, in linea di principio, in qualsiasi forma. È possibile, ad esempio, l’invio postale di una chiavetta USB o l’invio elettronico tramite e-mail. È inoltre possibile, soprattutto nel caso di insiemi di dati di grandi dimensioni, che il titolare del trattamento offra un collegamento a un’API o la possibilità di scaricare i dati direttamente dai propri server (ad esempio da un server SFTP, da un’interfaccia web sicura o da un portale web).
B. Competenza
53 Il diritto alla portabilità dei dati è rivolto al titolare del trattamento, anche se i dati sono conservati presso un responsabile del trattamento. In caso di pluralità di titolari, l’interessato può far valere il proprio diritto nei confronti di ciascuno di essi (art. 22 in combinato disposto con l’art. 17 cpv. 1 OPDDa). I titolari del trattamento sono tenuti a trattare la richiesta e non semplicemente a inoltrarla. I responsabili del trattamento devono assistere il titolare del trattamento nel rispondere alla richiesta oppure rispondere essi stessi, per conto del titolare del trattamento (art. 22 in combinato disposto con l’art. 17 cpv. 2 OPDa). Il responsabile del trattamento deve quindi fornire al titolare del trattamento i dati rilevanti ai fini della portabilità, qualora quest’ultimo non ne disponga direttamente.
C. Gratuità
54 Il titolare del trattamento deve consegnare o trasferire i dati gratuitamente (art. 28 cpv. 3 LPD). In via eccezionale è ammesso un contributo fino a CHF 300, qualora il trasferimento comporti un onere sproporzionato (art. 22 in combinato disposto con l’art. 19 cpv. 1 e 2 OPDDa). Ciò può verificarsi, ad esempio, nel (raro) caso in cui sia necessaria una complessa selezione tra i dati di terzi e quelli dell’interessato. L’importo del contributo deve essere comunicato preventivamente dal responsabile del trattamento all’interessato (art. 22 in combinato disposto con l’art. 19 cpv. 3 OPDDa).
Nota:
La struttura e il contenuto del presente commento si basano sulla tesi di dottorato dell’autore sul diritto alla portabilità dei dati. Nelle note a piè di pagina si fa riferimento specifico a tale tesi solo quando vi si trovano approfondimenti in merito.
Bibliografia
Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz (DSG), 2. Aufl., Bern 2023 (zit.: SHK-Autor/in, Art. … DSG N. ...).
Benhamou Yaniv/Cottier Bertil (Hrsg.), Petit commentaire LPD, Loi sur la protection des données, Basel 2023 (zit.: PC-Autor/in, Art. … DSG N. ...).
Berners-Lee Tim, Long Live the Web, Scientific American 2010, 80–85.
Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023 (zit.: OFK-Autor/in, Art. … DSG N. ...).
Bieri Adrian/Powell Julian, Die Totalrevision des Bundesgesetzes über den Datenschutz, Jusletter 16.11.2020.
Brorsen Hans/Falk Richard, Die «Maschinenlesbarkeit» von Informationen, Unter der Haube der EU-Digitalregulierung, MMR 2025, 7–12.
Cattaneo Gianni, Legge federale sulla protezione dei dati (nLPD) e Ordinanza sulla protezione dei dati (nOPDa): struttura, principi e obblighi nel settore privato, in: Bernasconi Giorgio A./Pasucci Paola (Hrsg.), Protezione dei dati personali: orizzonte 2023, Introduzione alle nuove norme di livello federale e cantonale, Basel 2024, 3–67.
Drepper Johannes/Schlünder Irene/Buckow Karoline, Praktische Umsetzbarkeit der Datenportabilität im Bereich der medizinischen Forschung, in: Stiftung Datenschutz, Praktische Umsetzung des Rechts auf Datenübertragbarkeit, Rechtliche, technische und verbraucherbezogene Implikationen, 3. Aufl., Leipzig 2018, 178–196.
Ehmann Eugen/Selmayr Martin (Hrsg.), Beck’scher Kurz-Kommentar zur Datenschutz-Grundverordnung, 3. Aufl., München 2024 (zit.: KUKO-Autor/in, Art. … DSGVO N. ...).
Ehrenzeller Bernhard/Schindler Benjamin/Schweizer Rainer J. (Hrsg.), St. Galler Kommentar zur schweizerischen Bundesverfassung, 4. Aufl., Zürich et al. 2023 (zit.: SGK-Autor/in, Art. 13 BV N. ...).
Engels Barbara, Data portability among online platforms, Internet Policy Review 2/2016, 1–17.
Expertengruppe zur Zukunft der Datenbearbeitung und Datensicherheit, Bericht vom 17.8.2018, <https://perma.cc/YB65-ECG9> (zit.: Expertengruppe Zukunft).
Fix Alexander Daniel, Das Recht auf Datenportabilität, Art. 20 DSGVO als Schnittstelle zwischen Wettbewerbsförderung und Datenschutz, Berlin 2022.
Götzinger Lena/Vasella David, Datenportabilität und ihre Umsetzung, SZW 2021, 40–51.
Kratz Alexander, Datenportabilität und «Walled Gardens», InTeR 2019, 26–31.
Krause Peter, Datenportabilität, Pflichten für Verantwortliche im Rahmen des Rechts auf Datenübertragbarkeit (Teil 2), PinG 2019, 13–20.
Landolt Robin, Datenkooperationen, Der unternehmensübergreifende Zugang zu Daten im Spannungsfeld zwischen Datenschutz und Wettbewerbsförderung, Zürich 2024.
Laux Christian, Das Recht auf Datenportabilität, digma 2019, 166–170.
Mahon Pascal, Le droit à l’intégrité numérique : réelle innovation ou simple évolution du droit ? Le point de vue du droit constitutionnel, in: Guillaume Florence/Mahon Pascal (Hrsg.), Le droit à l’intégrité numérique, Basel 2021, 43–63.
Mätzler Samuel, Das Recht auf Datenportabilität, Eine rechtsvergleichende Untersuchung von Art. 28 DSG anhand dreier Datenökosysteme, Zürich 2026.
Meier Philippe/Métille Sylvain (Hrsg.), Loi fédérale sur la protection des données, Commentaire Romand, Basel 2023 (zit.: CR-Autor/in, Art. … DSG N. ...).
Métille Sylvain, Loi fédérale sur la protection des données révisée : principes généraux et nouveautés, in: Défago Valérie/Dunand Jean-Philippe/Mahon Pascal/Posse-Ousmane Samah/Raedler David (Hrsg.), La protection des données dans les relations de travail à la lumière de la nouvelle loi fédérale sur la protection des données, Genf et al. 2024, 3–47.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020.
Schweitzer Heike, Datenzugang in der Datenökonomie: Eckpfeiler einer neuen Informationsordnung, GRUR 2019, 569–579.
Sperlich Tim, Informationelle Selbstbestimmung zwischen Wettbewerbs- und Datenschutzrecht, Eine Analyse und Beurteilung der Wechselwirkungen zwischen dem Wettbewerbs- und Datenschutzrecht, Berlin 2021.
Steiner Thomas, Zwischen Autonomie und Angleichung, Eine Analyse zur Anwendung des neuen DSG im Lichte der DSGVO, in: Widmer Michael (Hrsg.), Datenschutz, Rechtliche Schnittstellen, Zürich 2023, 51–138.
Steiner Thomas/Morand Anne-Sophie/Hürlimann Daniel (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz, Version vom 31.7.2023 (zit.: OK-Autor/in, Art. … DSG N. ...).
Swire Peter P./Lagos Yianni, Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique, Maryland Law Review 2013, 335–380.
Swiss Data Alliance, Leitlinie zur Umsetzung der Datenübertragbarkeit in der Schweiz, Version 1.0 vom 20.8.2020.
Thouvenin Florent, Informationelle Selbstbestimmung: Intuition, Illusion, Implosion, ZSR Beiheft 2023.
Thouvenin Florent/Weber Rolf H./Früh Alfred, Elemente einer Datenpolitik, Zürich et al. 2019.
Vasella David/Blechta Gabor-Paul (Hrsg.), Basler Kommentar zum Datenschutzgesetz und Öffentlichkeitsgesetz, 4. Aufl., Basel 2024 (zit.: BSK-Autor/in, Art. … DSG N. ...).
Weber Rolf H./Thouvenin Florent, Gutachten zur Möglichkeit der Einführung eines Datenportabilitätsrechts im schweizerischen Recht und zur Rechtslage bei Personal Information Management Systems (PIMS) vom 22.12.2017.
Wolff Heinrich Amadeus/Brink Stefan/von Ungern-Sternberg Antje (Hrsg.), BeckOK Datenschutzrecht, 53. Aufl., München 2025 (zit.: BeckOK DSR-Autor/in, Art. … DSGVO N. ...).
Ziegler Noémi/Vasella David, Informationelle Selbstbestimmung, Was leistet das Datenschutzrecht für die Selbstbestimmung der Betroffenen?, digma 2019, 158–164.
I materiali
Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, zuletzt überarbeitet und angenommen am 5.4.2017.
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 6941 ff. (zit.: Botschaft DSG 2017).
Bundesamt für Justiz, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016 (zit.: BJ, Erläuternder Bericht VE-DSG).
Bundesamt für Justiz, Erläuternder Bericht Verordnung über den Datenschutz (Datenschutzverordnung, DSV) vom 31.8.2022 (zit.: BJ, Erläuternder Bericht DSV).
Bundesamt für Kommunikation, «Massnahmen für eine zukunftsorientierte Datenpolitik der Schweiz», Medienmitteilung vom 9.5.2018, <https://perma.cc/VJE24KLZ> (zit.: BAKOM, Medienmitteilung vom 9.5.2018).
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, Das neue Datenschutzgesetz aus Sicht des EDÖB vom 9.2.2021 (zit.: EDÖB).
Fahne 17.059, Datenschutzgesetz, Teilrevision und Änderung weiterer Erlasse zum Datenschutz, Entwurf 3 Herbstsession 2019, Beschluss Nationalrat, <https://perma.cc/JQL2-XP5J> (zit.: Fahne 17.059, Beschluss Nationalrat).