-
- Art. 3 Cost.
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 13 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 26 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 60 Cost.
- Art. 68 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 1 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123a Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 130 Cost.
- Art. 166 Cost.
- Art. 178 Cost.
- Art. 191 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 97 CO
- Art. 98 CO
- Art. 99 CO
- Art. 100 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 60 LDP
- Art. 60a LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 64 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 4 LPD
- Art. 5 lett. d LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 3-5 LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 52 LPD
- Art. 54 LPD
- Art. 55 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 16 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 18 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 27 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 28 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
-
- Art. 2 cpv. 1 LRD
- Art. 2a cpv. 1-2 and 4-5 LRD
- Art. 3 LRD
- Art. 7 LRD
- Art. 7a LRD
- Art. 8 LRD
- Art. 8a LRD
- Art. 14 LRD
- Art. 11 LRD
- Art. 15 LRD
- Art. 20 LRD
- Art. 23 LRD
- Art. 24 LRD
- Art. 24a LRD
- Art. 25 LRD
- Art. 26 LRD
- Art. 26a LRD
- Art. 27 LRD
- Art. 28 LRD
- Art. 29 LRD
- Art. 29a LRD
- Art. 29b LRD
- Art. 30 LRD
- Art. 31 LRD
- Art. 31a LRD
- Art. 32 LRD
- Art. 38 LRD
COSTITUZIONE FEDERALE
ORDINANZA RELATIVA AI DISPOSITIVI MEDICI
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
LEGGE SUL RICICLAGGIO DI DENARO
LEGGE SULLA TRASPARENZA
LEGGE FEDERALE SUL TRASFERIMENTO INTERNAZIONALE DEI BENI CULTURALI
- In breve
- I. Considerazioni generali
- II. Presupposti (cpv. 1)
- III. Comunicazione di dati personali (capoverso 2)
- IV. Obbligo di informazione e presa di posizione (cpv. 3)
- Bibliografia
- I materiali
In breve
L'articolo 55 LPD disciplina l'assistenza amministrativa internazionale tra l'IFPDT e le autorità straniere competenti in materia di protezione dei dati. La disposizione consente la cooperazione transfrontaliera tra le autorità di protezione dei dati e contribuisce in modo significativo all'applicazione della legislazione in materia. Il cpv. 1 disciplina le condizioni alle quali l'IFPDT può scambiare informazioni o dati personali con autorità straniere. Il cpv. 2 stabilisce quali informazioni l'IFPDT può comunicare in relazione a tale scambio. Il cpv. 3 definisce i diritti di determinate persone che possono essere interessate da un atto di assistenza amministrativa.
I. Considerazioni generali
A. Oggetto della normativa
1. Base
1 L'assistenza amministrativa internazionale ha lo scopo di garantire il reciproco sostegno transfrontaliero delle autorità competenti in materia di protezione dei dati (di seguito: autorità di protezione dei dati) nell'adempimento dei loro compiti legali, fornendo assistenza al di fuori di una procedura disciplinata dal diritto processuale. L'articolo 55 LPD disciplina l'assistenza amministrativa internazionale tra l'IFPDT e le autorità di protezione dei dati straniere.
2 L'art. 55 è una nuova disposizione della LPD. La disposizione precedente (art. 31 cpv. 1 lett. c aDSG) obbligava l'IFPDT solo a collaborare con le autorità straniere di protezione dei dati. Ciò comprendeva uno scambio tecnico su singoli temi o una collaborazione regolare in seno a comitati, gruppi di lavoro o conferenze. Tuttavia, la disposizione non forniva una base giuridica sufficiente all'IFPDT per collaborare con le autorità estere e scambiare informazioni nell'ambito della sorveglianza e del controllo del diritto federale in materia di protezione dei dati. Ciononostante, già nell'ambito della aDSG l'IFPDT ha collaborato pienamente con le autorità straniere di protezione dei dati. All'epoca lo scambio transfrontaliero di dati era in gran parte regolato dalle norme generali dell'assistenza amministrativa, basate principalmente sugli obblighi di diritto internazionale (art. 13 segg. della Convenzione 108).
3L'articolo 55 LPD stabilisce ora effettive norme procedurali, disciplinando i presupposti per lo scambio di informazioni o dati personali con autorità estere (cpv. 1) e le informazioni che possono essere trasmesse (cpv. 2). Il cpv. 3 conferisce poi ai titolari di un segreto professionale, commerciale o di fabbricazione il diritto all'informazione e la possibilità di esprimere il proprio parere qualora l'IFPDT comunichi a un'autorità estera informazioni che potrebbero contenere tali segreti.
4 L'articolo 55 LPD è all'insegna dell'armonizzazione con il diritto europeo. L'articolo 50 della direttiva (UE) 2016/680 richiede che le autorità di controllo si prestino reciproca assistenza amministrativa. Allo stesso tempo, la disposizione soddisfa i requisiti dell'articolo 61 DSGVO e degli articoli 16-21 della Convenzione 108+.
2. Contesto internazionale
5 L'obiettivo della Convenzione 108+ è quello di creare un livello uniforme di protezione dei dati e di rafforzare i meccanismi di applicazione. Ciò include in particolare la cooperazione transfrontaliera tra le autorità di controllo. La Svizzera ha ratificato la Convenzione 108+ il 7 settembre 2023. Per entrare in vigore, la Convenzione 108+ richiede la ratifica da parte di 38 Stati contraenti. Nella primavera del 2025 questo numero non era ancora stato raggiunto. Nei riferimenti successivi alla Convenzione 108+ occorre quindi tenere conto del fatto che essa non è ancora entrata in vigore. Tuttavia, sembra probabile che ciò avverrà a breve.
6 La Convenzione 108+ obbliga le Parti contraenti a collaborare e a prestarsi reciproca assistenza nell'attuazione della Convenzione. Essa prevede, in forma non esaustiva, diverse forme di cooperazione. In primo luogo, le autorità di controllo si prestano assistenza amministrativa, in particolare scambiandosi tutte le informazioni pertinenti e utili. Si può trattare di due tipi di informazioni:
Lo scambio generale di informazioni e documenti sul diritto e la prassi amministrativa in materia di protezione dei dati. Questo scambio non dovrebbe presentare problemi, poiché le informazioni possono essere scambiate liberamente e rese accessibili al pubblico.
Lo scambio di informazioni riservate, compresi i dati personali. Per quanto riguarda i dati personali, la Convenzione 108+ prevede che questi possano essere oggetto di trattamento solo se sono di importanza cruciale per la cooperazione (cioè se senza la loro fornitura la cooperazione sarebbe inefficace) o se l'interessato ha dato il suo consenso esplicito, riferito al caso specifico, volontario e informato. In caso contrario, lo scambio di dati personali provenienti da un trattamento concreto è escluso.
7 Oltre allo scambio di informazioni pertinenti e utili, gli obiettivi della cooperazione possono essere raggiunti anche attraverso indagini concertate, come ad esempio indagini o operazioni coordinate, nonché attraverso l'attuazione di misure comuni.
8 Le autorità di controllo sono tenute a soddisfare le richieste che ricevono da altre autorità di controllo. L'art. 20 della Convenzione 108+ prevede il rifiuto delle richieste in modo definitivo solo se la richiesta non è compatibile con i poteri dell'autorità di controllo (lett. a), la richiesta non è conforme alle disposizioni della Convenzione 108+ (lett. b) o se l'adempimento della richiesta non è compatibile con la sovranità, la sicurezza nazionale o l'ordine pubblico (ad es. per garantire la riservatezza delle indagini di polizia) della Parte contraente o con i diritti e le libertà fondamentali delle persone soggette alla giurisdizione di tale Parte contraente (lett. c).
9 A livello di diritto dell'Unione esistono due atti giuridici rilevanti per la protezione dei dati. Il DSGVO è il decreto fondamentale in materia di protezione dei dati e disciplina la protezione dei dati trattati nell'ambito del mercato interno. All'articolo 61 disciplina in modo dettagliato l'assistenza amministrativa tra le autorità di controllo degli Stati membri dell'UE o del SEE, senza che siano necessari accordi specifici tra gli Stati membri nei singoli casi. L'assistenza amministrativa internazionale è disciplinata dall'articolo 50 lettera b DSGVO. La DSGVO non fa parte dell'acquis di Schengen, pertanto non è vincolante per la Svizzera.
10 La direttiva (UE) 2016/680 serve a proteggere i dati personali trattati a fini di prevenzione, indagine, accertamento o perseguimento di reati o di esecuzione di sanzioni penali, compresa la protezione da e la difesa contro minacce alla sicurezza pubblica. Poiché il contenuto della direttiva (UE) 2016/680 si basa sulla DSGVO, le disposizioni dei due atti giuridici sono in gran parte coincidenti. La direttiva fa parte dell'acquis di Schengen. In qualità di Stato associato a Schengen, la Svizzera è tenuta ad accettare, attuare e applicare gli sviluppi dell'acquis di Schengen, la cui attuazione in Svizzera è avvenuta nell'ambito della revisione totale della LPD per quanto riguarda l'autorità di controllo. L'obbligo delle autorità di controllo di prestarsi reciproca assistenza amministrativa è disciplinato dall'articolo 50 della direttiva (UE) 2016/680.
B. Cronistoria
11 Nel progetto preliminare della LPD, la disposizione relativa all'assistenza amministrativa internazionale (art. 47 LP-P) era ancora suddivisa in due capoversi, il primo dei quali disciplinava le richieste di assistenza amministrativa dell'IFPDT alle autorità estere e il secondo l'assistenza amministrativa dell'IFPDT a favore delle autorità estere. Il primo paragrafo stabiliva le informazioni che l'IFPDT poteva comunicare alle autorità straniere per ottenere assistenza amministrativa; il secondo paragrafo stabiliva le condizioni alle quali l'IFPDT poteva prestare assistenza amministrativa alle autorità straniere.
12 Nel corso della consultazione, alcuni partecipanti hanno fatto notare che la sistematica dell'articolo 47 era carente. Infatti, a seconda che l'IFPDT fosse l'autorità richiedente o l'autorità interpellata, non si applicavano le stesse condizioni per la comunicazione delle informazioni. Diversi partecipanti si sono infine espressi a favore del fatto che le informazioni che costituiscono segreti commerciali o di fabbricazione non possano essere comunicate nell'ambito di una procedura di assistenza amministrativa tra l'IFPDT e un'autorità straniera di protezione dei dati senza che sia garantita la protezione di tali segreti o senza che il detentore del segreto abbia dato il suo consenso.
13 La sistematica della disposizione ha subito una modifica fondamentale nel progetto di LPD e dopo la consultazione (art. 49 P-LPD). Anziché sottoporre le richieste di assistenza amministrativa dell'IFPDT alle autorità estere e l'assistenza amministrativa dell'IFPDT a favore delle autorità estere a normative diverse, sono state uniformate le condizioni per lo scambio di informazioni o dati personali con le autorità estere di cui al cpv. 1 e la comunicazione di dati personali di cui al cpv. 2. Il cpv. 2 disciplina in modo uniforme quali informazioni l'IFPDT può comunicare all'autorità estera per motivare la sua richiesta di assistenza amministrativa o per dare seguito alla richiesta di un'autorità estera. Le modifiche hanno comportato anche un inasprimento: il progetto è stato integrato con il requisito della reciprocità (art. 49 cpv. 1 lett. a P-LPD) ed è stato inserito un nuovo cpv. 3 relativo ai segreti professionali, commerciali o di fabbricazione. Le riserve espresse in sede di consultazione in merito alla sistematica e alla comunicazione dei segreti commerciali e di fabbricazione sembrano quindi essere state ascoltate.
14 Nelle successive deliberazioni delle Camere federali, l'assistenza amministrativa internazionale non ha più dato adito a discussioni; la disposizione è stata approvata nella versione del progetto di legge con solo lievi modifiche redazionali.
C. Finalità della norma
15 In considerazione del carattere sempre più transfrontaliero del trattamento dei dati, la cooperazione internazionale tra le autorità di protezione dei dati assume un'importanza sempre maggiore. L'aumento quantitativo del trattamento transfrontaliero dei dati personali ha aumentato il rischio di violazioni della sfera privata e della protezione dei dati in generale. Per far fronte a questo rischio è indispensabile una cooperazione efficace e stretta sotto forma di assistenza amministrativa internazionale. Al centro di tale cooperazione vi è il sostegno reciproco delle autorità di protezione dei dati: nell'ambito della loro attività di vigilanza e consulenza, esse hanno il compito di garantire il rispetto delle norme pertinenti in materia di protezione dei dati anche in un contesto transfrontaliero, tutelando così efficacemente i diritti delle persone interessate.
16 L'articolo 55 LPD costituisce la base giuridica che consente all'IFPDT di collaborare con le autorità straniere di protezione dei dati nell'ambito della sua attività di vigilanza e di scambiare informazioni e dati personali. Ciò consente all'IFPDT di esercitare la sua attività di sorveglianza anche in caso di trattamenti transfrontalieri di dati da parte di organi federali e privati e di adempiere così ai suoi compiti legali. Nell'ambito della sua attività di sorveglianza e consulenza in materia di trattamenti transfrontalieri di dati da parte di organi federali e privati, l'IFPDT può quindi, se necessario, contattare l'autorità di protezione dei dati del rispettivo Stato destinatario. Ciò è opportuno, ad esempio, quando, in mancanza di conoscenze specialistiche in loco, deve ricorrere alle conoscenze e alle informazioni di un'autorità di protezione dei dati straniera per valutare in che misura siano soddisfatti i requisiti di protezione dei dati relativi allo scambio di dati.
17 La cooperazione internazionale sotto forma di assistenza amministrativa serve sempre a preservare la sovranità. In base alla sovranità territoriale nel diritto internazionale, uno Stato ha fondamentalmente il potere sovrano esclusivo sul proprio territorio. Questo deve essere rispettato dagli altri Stati. Le autorità di uno Stato straniero non possono quindi compiere atti ufficiali sul territorio di un altro Stato senza il consenso di quest'ultimo. Non hanno quindi accesso diretto ai dati e alle informazioni che si trovano sul territorio straniero. L'assistenza amministrativa consente di superare questo ostacolo alla sovranità in una procedura ordinata, in quanto l'IFPDT, che dispone dei dati e delle informazioni necessari, può fornire assistenza amministrativa alle autorità straniere di protezione dei dati. Le autorità straniere di protezione dei dati possono così essere indirizzate alla via dell'assistenza amministrativa. In questo modo è possibile impedire alle autorità straniere di protezione dei dati di adottare autonomamente misure (investigative) extraterritoriali. Ciò vale naturalmente anche nel caso contrario, quando l'IFPDT necessita di informazioni e dati personali di cui dispongono le autorità straniere di protezione dei dati.
D. Delimitazioni
1. Assistenza amministrativa nazionale
18 A differenza dell'assistenza amministrativa nazionale, l'assistenza amministrativa internazionale comprende l'assistenza fornita alle autorità straniere o internazionali o che l'IFPDT riceve da autorità straniere o internazionali. L'oggetto è quindi l'assistenza transfrontaliera tra l'IFPDT e le autorità straniere di protezione dei dati. Si tratta sempre di un'assistenza a favore di un altro Stato. Non è compresa l'assistenza amministrativa nazionale che viene fornita tra l'IFPDT e altre autorità federali o cantonali per l'adempimento dei rispettivi compiti legali e che è disciplinata dall'articolo 54 LPD.
2. Delimitazione rispetto all'assistenza giudiziaria
19 La delimitazione tra assistenza amministrativa e assistenza giudiziaria in ambito internazionale è difficile. Mentre nel contesto nazionale esistono almeno dei criteri di delimitazione – anche se in questo caso non è sempre possibile tracciare una linea di demarcazione netta –, la situazione giuridica nel contesto internazionale è ancora più confusa. Spesso i due istituti giuridici non vengono più distinti, ma vengono trattati congiuntamente. Una parte della dottrina chiede quindi di considerare l'assistenza amministrativa e l'assistenza giudiziaria in modo dogmatico congiunto. Alcune leggi raggruppano quindi i due tipi di assistenza nello stesso paragrafo.
20 A nostro avviso, tuttavia, la distinzione è essenziale a causa degli effetti giuridici che ne derivano. Sia la scelta del diritto applicabile (base giuridica) – e quindi le norme procedurali e di ricorso – sia i rispettivi presupposti e limiti delle misure possono essere diversi: In circostanze particolari, l'assistenza giudiziaria internazionale in materia penale può rientrare nel campo di applicazione dell'articolo 6 della Convenzione per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU; RS 0.101). Un ricorso al Tribunale federale è ammissibile solo in caso di assistenza giudiziaria internazionale e di assistenza amministrativa in materia fiscale, che di norma ha finalità penali.
21 Per determinare l'assistenza amministrativa e giudiziaria si possono applicare in linea di principio i seguenti criteri, che talvolta possono anche essere combinati:
Tipo o funzione delle autorità coinvolte: l'assistenza giudiziaria internazionale avviene tra autorità giudiziarie. L'assistenza amministrativa, invece, viene prestata tra autorità amministrative dello Stato richiedente e dello Stato richiesto.
Natura del procedimento assistito: dal punto di vista procedurale, si ha assistenza giudiziaria internazionale quando viene fornita assistenza a un'autorità straniera o internazionale per un procedimento penale, amministrativo o civile. Di norma, essa viene prestata in relazione a un procedimento esterno all'amministrazione (cioè giudiziario). L'assistenza amministrativa internazionale, invece, consiste in un'assistenza tra le autorità dello Stato richiedente e dello Stato richiesto al di fuori di un procedimento (giudiziario) disciplinato dal diritto processuale, allo scopo di adempiere a compiti legali.
22 Poiché la cooperazione ai sensi dell'articolo 55 LPD consiste in un'assistenza transfrontaliera tra autorità amministrative (IFPDT e autorità straniere di protezione dei dati) e poiché tale assistenza è fornita al di fuori di un procedimento disciplinato dal diritto processuale, la cooperazione tra autorità avviene sotto forma di assistenza amministrativa. L'articolo 55 LPD disciplina quindi solo l'assistenza amministrativa internazionale; la LPD non disciplina invece l'assistenza giudiziaria internazionale.
3. Semplice cooperazione amministrativa
23 Non tutte le forme di assistenza transfrontaliera tra l'IFPDT e le autorità di protezione dei dati straniere che avvengono al di fuori di una procedura disciplinata dal diritto processuale costituiscono assistenza amministrativa. L'assistenza amministrativa transfrontaliera si riferisce sempre a persone determinate o determinabili e avviene quindi nell'ambito di un caso concreto. Il cpv. 1 si riferisce chiaramente a casi concreti in cui un'autorità di protezione dei dati riceve informazioni e dati personali per poter adempiere al proprio mandato legale.
24 La cooperazione amministrativa finalizzata allo scambio generale di informazioni ed esperienze (ad esempio sulle best practices) è una semplice cooperazione amministrativa. A tal fine, l'IFPDT può collaborare con le autorità straniere di protezione dei dati indipendentemente da un caso specifico e dalla relativa attività di vigilanza concreta. Ciò consente uno scambio su questioni rilevanti che sorgono in relazione al trattamento transfrontaliero dei dati, nonché l'elaborazione di pareri o raccomandazioni. La semplice cooperazione amministrativa può essere basata sull'art. 58 cpv. 1 lett. b LPD.
E. Forme di cooperazione
25 In assenza di una legge generale sull'assistenza amministrativa internazionale, le singole disposizioni in materia di assistenza amministrativa sono sparse nelle diverse leggi speciali e nei trattati internazionali. Esse presentano una notevole eterogeneità, il che rende molto difficile una categorizzazione trasversale. L'approccio settoriale consente invece di tenere conto in modo mirato delle peculiarità del settore specifico e degli interessi e delle esigenze delle autorità coinvolte e delle persone interessate. Il contenuto e la portata della cooperazione formale con le autorità straniere di protezione dei dati nel campo della LPD si basano quindi in primo luogo sull'articolo 55 LPD. Le forme di cooperazione devono tuttavia essere concretizzate nei dettagli.
1. Forme di cooperazione
26 L'articolo 55 LPD lascia aperta la forma della cooperazione. La disposizione stabilisce semplicemente che l'IFPDT può scambiare informazioni o dati personali con autorità straniere per l'adempimento dei rispettivi compiti previsti dalla legge nel settore della protezione dei dati. Spetta quindi all'IFPDT decidere, a sua discrezione, l'intensità e la forma della cooperazione con le autorità straniere di protezione dei dati.
27 Il testo dell'articolo 55 LPD, secondo cui l'IFPDT può scambiare informazioni e dati personali con le autorità straniere, chiarisce che l'assistenza amministrativa in materia di informazioni è al centro dello scambio con le autorità straniere di protezione dei dati. Ciò comprende la comunicazione di dati oggettivi e personali allo scopo di fornire assistenza all'IFPDT e, viceversa, da parte dell'IFPDT ad altre autorità straniere di protezione dei dati per l'adempimento dei rispettivi compiti legali. Questa forma di cooperazione può essere collegata all'indagine di presunte violazioni delle disposizioni delle rispettive leggi sulla protezione dei dati.
28 L'articolo 55 LPD non si esprime espressamente sulla possibilità di condurre indagini coordinate. Tuttavia, in base all'articolo 55 LPD, l'IFPDT è autorizzato a intraprendere tali forme di cooperazione. Il testo dell'articolo 55 LPD può essere interpretato nel senso che lo svolgimento di indagini coordinate fa parte dello scambio di informazioni e dati personali. Infine, anche la cooperazione nell'ambito di indagini coordinate si basa in ultima analisi su uno scambio di informazioni. Nei materiali non vi sono inoltre indicazioni che limitino le forme di cooperazione allo scambio di informazioni. L'art. 55 LPD lascia piuttosto aperte le forme di cooperazione, il che depone a favore di una comprensione il più possibile ampia dell'assistenza amministrativa internazionale. Considerato lo scopo dell'assistenza amministrativa internazionale, ovvero garantire nel modo più efficace possibile il rispetto delle norme sulla protezione dei dati in un contesto transfrontaliero, è ovvio che tutte le forme di cooperazione rientrano nell'assistenza amministrativa internazionale, purché siano soddisfatte le condizioni di cui al cpv. 1. Di conseguenza, anche la fornitura di assistenza nelle indagini e lo svolgimento di indagini coordinate sono contemplati dall'articolo 55 LPD.
29 Attualmente non esiste una base giuridica specifica per il riconoscimento e l'esecuzione delle decisioni delle autorità straniere di protezione dei dati. Anche le misure di assistenza amministrativa concesse dall'IFPDT ai sensi dell'articolo 55 LPD non arrivano al punto di comprendere l'esecuzione in Svizzera delle decisioni delle autorità straniere di protezione dei dati, come ad esempio le sanzioni. L'esecuzione delle sanzioni delle autorità straniere di protezione dei dati fallirebbe spesso a causa del requisito della doppia incriminabilità, dato che le norme penali della LPD e del DSGVO non coincidono. Ciò è particolarmente rilevante poiché i responsabili del trattamento e gli incaricati del trattamento in Svizzera rientrano nel campo di applicazione territoriale del DSGVO e possono quindi essere soggetti al regime sanzionatorio.
2. Cooperazione multilaterale
30 Il carattere sempre più transfrontaliero del trattamento dei dati comporta un rafforzamento della vigilanza transfrontaliera, che si traduce in una rete di autorità di vigilanza alla quale partecipa anche l'IFPDT. Lo scambio transfrontaliero di informazioni, che tra l'altro mira a favorire lo sviluppo di norme transfrontaliere, avviene spesso in organismi multilaterali e reti internazionali. Questi presentano un grado più o meno elevato di istituzionalizzazione e costituiscono una forma di semplice cooperazione amministrativa (cfr. N. 23 f.).
3. Trattati internazionali
31 Al di là dell'articolo 55 LPD, il Consiglio federale è libero di regolamentare in modo specifico la cooperazione tra l'IFPDT e le autorità straniere di protezione dei dati nell'ambito di trattati internazionali. L'IFPDT avrebbe preferito che l'articolo 55 LPD fosse stato integrato in modo tale da consentirgli di regolamentare autonomamente le modalità di cooperazione con le autorità straniere nell'ambito di un accordo. L'art. 67 lett. a LPD prevede tuttavia che il Consiglio federale possa concludere autonomamente trattati internazionali relativi alla cooperazione internazionale tra autorità di protezione dei dati.
32 L'art. 55 LPD costituisce già una base sufficiente per consentire lo scambio di dati personali e, ad esempio, anche di segreti professionali, commerciali e di fabbricazione, alle condizioni di cui al cpv. 1. A tal fine non è necessario un trattato internazionale. Tuttavia, un trattato di questo tipo è opportuno quando una collaborazione a lungo termine richiede un livello più elevato di cooperazione e questa deve essere formalizzata. Anche la delimitazione delle competenze delle diverse autorità di protezione dei dati può essere disciplinata nell'ambito di un trattato internazionale. Infine, un trattato internazionale è necessario se si intendono stabilire diritti e doveri delle autorità di protezione dei dati che vanno oltre l'art. 55 LPD. Al di fuori del campo di applicazione della Convenzione 108+ e della direttiva (UE) 2016/680, si può pensare a un obbligo di assistenza amministrativa o alla regolamentazione della comunicazione a terzi (cfr. N. 8 e N. 10).
F. Schranken
33 Nell'ambito dell'assistenza amministrativa internazionale occorre sempre tenere presente che sono coinvolti due rapporti giuridici, che talvolta possono essere in contrasto tra loro. Da un lato, esiste un rapporto di diritto internazionale tra lo Stato richiedente e lo Stato richiesto. Tale rapporto è disciplinato in primo luogo dai requisiti per la prestazione di assistenza amministrativa, come previsto nel presente cpv. 1. In primo piano vi è la questione di sapere in che misura sia possibile collaborare con lo Stato richiedente in materia di protezione dei dati sulla base del cpv. 1. Dall'altro lato, esiste anche un rapporto giuridico tra lo Stato richiesto e la persona interessata dalle informazioni o dai dati personali trasmessi nell'ambito dell'assistenza amministrativa. In questo rapporto, per quanto riguarda i dati personali, si contrappongono il diritto costituzionale alla protezione della sfera privata e il compito dello Stato di garantire il rispetto delle norme sulla protezione dei dati in un contesto transfrontaliero. Per entrambi i rapporti, la tutela dei diritti fondamentali e la legislazione sulla protezione dei dati stabiliscono determinati requisiti che devono essere rispettati in caso di comunicazione transfrontaliera di informazioni e dati personali.
34 L'articolo 13 cpv. 2 della Cost. federale della Confederazione Svizzera (Cost.; RS 101) tutela i dati personali e quelli relativi alla persona. L'autodeterminazione informale garantisce che una persona possa decidere autonomamente a chi e quando rivelare fatti della propria vita personale e se e per quale scopo le informazioni che la riguardano possono essere trattate. L'ambito di protezione oggettivo non è quindi interessato solo quando il trattamento dei dati personali avviene in modo abusivo. È sufficiente un trattamento senza il consenso degli interessati. La comunicazione di dati personali a terzi è quindi anch'essa contemplata dall'articolo 13 capoverso 2 Cost. La comunicazione di dati personali a un'autorità straniera di protezione dei dati costituisce quindi di norma una violazione dei diritti fondamentali delle persone interessate.
35 Le violazioni dei diritti fondamentali sono ammesse a determinate condizioni (cfr. art. 36 Cost.). L'art. 55 LPD costituisce una base legale sufficiente per la comunicazione dei dati personali alle autorità straniere di protezione dei dati. Il rispetto il più efficace possibile delle norme sulla protezione dei dati in un contesto transfrontaliero costituisce anche un importante interesse pubblico, che deriva in ultima analisi anche dai diritti di protezione sanciti dall'articolo 13 cpv. 2 Cost. La comunicazione di dati personali alle autorità straniere di protezione dei dati deve quindi essere proporzionata. Gli elementi di diritto individuale dei principi di assistenza amministrativa sanciti dall'art. 55 cpv. 1 LPD – principio di specialità e di riservatezza (cfr. N. 54 segg. e N. 60 segg.), il principio della lunga mano (cfr. N. 65 segg.) e la possibilità di subordinare la comunicazione di dati personali a determinate condizioni o di renderli anonimi (cfr. N. 68 segg.) – contribuiscono indirettamente alla proporzionalità della comunicazione. Tuttavia, in caso di comunicazione di dati personali ad autorità straniere di protezione dei dati, l'IFPDT deve verificare in che misura la comunicazione sia proporzionata nel caso concreto. Ciò induce Kerboas/Lennman a commentare che tale verifica della proporzionalità richiede molto tempo e risorse in ogni singolo caso, ma a volte porta solo a scarsi risultati.
36 Anche l'assistenza amministrativa internazionale tra l'IFPDT e le autorità straniere di protezione dei dati rientra nel campo di applicazione della LPD. Ne consegue in primo luogo che l'IFPDT può comunicare dati personali solo se, ai sensi dell'articolo 16 LPD, nello Stato dell'autorità di protezione dei dati richiedente esiste un livello di protezione adeguato. Nei rapporti con le parti contraenti della Convenzione 108+, si può generalmente presumere, salvo circostanze particolari, che sussista un livello di protezione adeguato. Anche i motivi previsti dall'articolo 36 capoverso 6 LPD ostacolano la comunicazione di dati personali all'estero da parte di organi federali, e quindi dell'IFPDT. L'IFPDT rifiuta quindi la comunicazione nell'ambito dell'assistenza amministrativa transfrontaliera o la limita se ciò è richiesto da interessi pubblici rilevanti, da interessi manifestamente meritevoli di protezione della persona interessata (lett. a) o da disposizioni particolari in materia di protezione dei dati (lett. b). Per quanto riguarda la possibilità di rifiutare o limitare la comunicazione sulla base di obblighi legali di segretezza, si rimanda alle seguenti considerazioni (cfr. N. 64 e N. 77).
Gli interessi pubblici che ostacolano la divulgazione possono essere la sicurezza militare, la protezione dello Stato o le attività di polizia. Tali interessi sussistono anche quando la divulgazione può compromettere la posizione in negoziati, il processo di formazione dell'opinione e della volontà dell'organo pubblico, l'efficacia di misure investigative, di sicurezza o di vigilanza o le relazioni con l'estero. Tra gli interessi pubblici possono rientrare anche quelli di politica economica, monetaria o valutaria. Se tali interessi sono coinvolti e si può presumere con una certa probabilità che la divulgazione causerebbe un danno grave, la divulgazione deve essere rifiutata.
Per quanto riguarda l'interesse degno di protezione della persona interessata, occorre innanzitutto valutare in che misura la divulgazione delle informazioni comprometta in modo inaccettabile la protezione della sfera privata.
G. Tutela giuridica
37 L'assistenza amministrativa internazionale avviene tra l'IFPDT e un'autorità straniera di protezione dei dati. La divulgazione di informazioni e dati personali può essere inizialmente definita semplicemente come «[…] atto interno dell'autorità […]» o attribuita all'effettivo atto amministrativo. Il fatto che l'effettivo atto amministrativo incida sulla posizione giuridica dei singoli costituisce quindi un effetto indiretto dell'assistenza amministrativa internazionale che questa può avere sui privati. L'articolo 55 LPD non si pronuncia sul fatto che le autorità siano tenute a fornire assistenza amministrativa per l'esecuzione di un procedimento amministrativo.
38 Una tutela giuridica efficace presuppone naturalmente un oggetto di ricorso idoneo e quindi una decisione. Se l'assistenza amministrativa in materia di informazioni è un'azione amministrativa non soggetta a decisione nel senso di un atto reale dell'IFPDT, occorre quindi ottenere prima una decisione di accertamento basata sull'art. 25a della legge federale sulla procedura amministrativa (legge sulla procedura amministrativa, PA; RS 172.021). In questi casi, tuttavia, la persona interessata spesso non è a conoscenza dell'atto di assistenza amministrativa, motivo per cui non può di fatto avvalersi dell'art. 25a PA. Ai fini di un'efficace tutela giuridica, è fondamentale stabilire in quali casi sussiste il diritto all'emanazione di una decisione. Solo la decisione apre la possibilità di avvalersi della tutela giuridica amministrativa.
39 La necessità di una decisione per la divulgazione di informazioni e dati personali da parte dell'IFPDT è regolata dalle norme generali della PA. La LPD non prevede deroghe speciali in materia. La decisione dell'IFPDT di prestare assistenza amministrativa deve essere considerata una decisione quando sono coinvolti interessi meritevoli di tutela di persone private. L'interesse meritevole di tutela non presuppone un interesse giuridicamente protetto. Sono sufficienti interessi puramente effettivi, economici o ideali, purché questi appaiano sempre meritevoli di tutela.
40 Il concetto di interesse degno di tutela si basa sulla qualità di parte ai sensi dell'art. 6 PA, che a sua volta è collegato all'art. 48 PA. Ai sensi della posizione di parte, ogni persona ha un interesse in una decisione che, in caso di emanazione di una decisione, sarebbe legittimata a presentare ricorso. Il presupposto è una particolare rilevanza per la persona. Questa deve avere un rapporto di particolare vicinanza con l'oggetto che deve essere regolato nella decisione e quindi essere interessata più della collettività. Tale coinvolgimento sussiste per Wyss, ad esempio, quando gli atti di assistenza amministrativa determinano in modo permanente e significativo diritti e doveri. Da ciò egli deduce che nei casi in cui la posizione giuridica viene modificata in modo irreversibile, è necessario emanare una decisione. Viceversa, va notato che la trasmissione di dati personali o di informazioni spesso costituisce «solo» una misura preparatoria in vista dell'emanazione successiva di una decisione. L'avvio di un procedimento amministrativo non costituisce di per sé una decisione. Nel campo dell'assistenza amministrativa internazionale, tuttavia, è importante sottolineare che la trasmissione dei dati all'estero può di per sé costituire una violazione degli interessi degni di protezione delle persone interessate, come confermato dall'art. 16 segg. LPD.
41 In generale si può affermare che la comunicazione di dati personali costituisce sempre una violazione dell'autodeterminazione informativa. Ciò significa che sussiste sempre un interesse sufficiente. Se l'IFPDT giunge alla conclusione che i requisiti per l'assistenza amministrativa di cui al cpv. 1 sono soddisfatti, deve avviare un procedimento in caso di comunicazione di dati personali e decidere in merito alla comunicazione dei dati personali a un'autorità straniera di protezione dei dati in una decisione ai sensi dell'articolo 5 e dell'articolo 34 segg. PA. La qualità di parte nel procedimento consente alla persona interessata di esercitare i diritti delle parti concessi dalla PA: sussiste quindi, tra l'altro, il diritto di essere sentiti, il diritto di consultare gli atti, il diritto di essere rappresentati o anche il diritto di ricevere la notifica della decisione. Infine, la partecipazione al procedimento amministrativo è strettamente legata alla legittimazione a ricorrere.
42 Anche la divulgazione di segreti professionali, commerciali o di fabbrica costituisce senza dubbio un caso particolare. A questo proposito, cpv. 3 obbliga l'IFPDT a dare alle persone interessate la possibilità di esprimere il proprio parere prima di divulgare a un'autorità straniera di protezione dei dati informazioni che potrebbero contenere segreti professionali, commerciali o di fabbrica. Ciò deriva già dal diritto di essere sentiti ai sensi dell'articolo 29 PA. L'articolo 55 capoverso 3 LPD non crea quindi alcun valore aggiunto procedurale riconoscibile, ma serve a chiarire la situazione.
43 Il coinvolgimento delle persone interessate nella procedura amministrativa deve avvenire in modo tale che queste possano esercitare efficacemente i loro diritti di parte. In altre parole, la tutela giuridica deve essere garantita in tempo utile. Prima di comunicare le informazioni o i dati personali all'autorità di protezione dei dati richiedente, l'IFPDT deve informare le persone interessate della prevista comunicazione: una volta che le informazioni o i dati personali sono stati comunicati all'autorità di protezione dei dati richiedente, la tutela giuridica interna non può più essere efficace. L'ulteriore trattamento delle informazioni o dei dati personali è determinato al di fuori dell'ordinamento giuridico svizzero. Poiché l'utilizzo delle informazioni e dei dati personali all'estero non può essere impedito, la comunicazione all'autorità di protezione dei dati richiedente crea una situazione irreversibile. Ciò è stato riconosciuto dal Tribunale federale nel contesto dell'assistenza amministrativa internazionale in materia fiscale: «Una volta che i dati sono stati trasmessi all'estero, di norma non è più possibile impedire che vengano utilizzati».
44 Con l'IFPDT, un'autorità federale decide in merito alla collaborazione con le autorità straniere di protezione dei dati e alla comunicazione di informazioni e dati personali alle stesse. Se la decisione di comunicazione viene emanata sotto forma di decisione ai sensi dell'art. 5 PA, anche il ricorso è disciplinato dalla PA. Ai sensi dell'art. 44 PA, le decisioni sono soggette a ricorso al Tribunale amministrativo federale. Le decisioni relative all'assistenza amministrativa internazionale sono in linea di principio escluse dal ricorso in materia di diritto pubblico al Tribunale federale. Ciò ha lo scopo di alleggerire il carico di lavoro del Tribunale federale e di consentire un procedimento rapido grazie alla riduzione del numero di istanze. Di conseguenza, il Tribunale amministrativo federale decide in ultima istanza in materia di assistenza amministrativa internazionale nel campo di applicazione della LPD. È tuttavia ipotizzabile che, per altre questioni di competenza del Tribunale federale, sia necessario decidere in via preliminare sulla ricevibilità dell'assistenza amministrativa internazionale.
II. Presupposti (cpv. 1)
A. Considerazioni generali
45 L'articolo 55 capoverso 1 LPD disciplina i presupposti ai quali l'IFPDT può scambiare informazioni e dati personali con le autorità estere per l'adempimento dei rispettivi compiti legali nel settore della protezione dei dati. I presupposti costituiscono elementi caratteristici dell'assistenza amministrativa transfrontaliera. Essi si sono sviluppati nel contesto dell'assistenza giudiziaria e vengono utilizzati nel settore dell'assistenza amministrativa.
1. Autorità competenti
46 Ai sensi dell'art. 55 cpv. 1 LPD sono comprese le autorità straniere competenti in materia di protezione dei dati nel loro Stato. In altre parole, lo scambio di informazioni e dati personali avviene solo con autorità straniere di protezione dei dati. La LPD non contiene requisiti più dettagliati per la qualifica di autorità straniera di protezione dei dati. A nostro avviso, per la comprensione del termine si può fare riferimento all'autorità di controllo descritta nell'articolo 15 della Convenzione 108+. Tale disposizione obbliga le parti contraenti a istituire una o più autorità pubbliche di controllo e sorveglianza indipendenti e imparziali che contribuiscano alla protezione delle persone fisiche in relazione al trattamento dei loro dati personali. Tali autorità possono essere costituite da un unico responsabile della protezione dei dati o da un collegio. Oltre all'indipendenza, è essenziale che l'autorità di controllo disponga di strumenti di sorveglianza e controllo efficaci. L'autorità deve quindi avere anche competenze investigative.
47 Inoltre, occorre distinguere tra gli organismi che trattano i dati dei rispettivi Stati – comprese le autorità di controllo in determinati settori economici o industriali – e le autorità di controllo specifiche nel settore della protezione dei dati. La cooperazione transfrontaliera nel contesto della protezione dei dati avviene principalmente a livello degli organi che trattano i dati. Questi ultimi devono valutare quotidianamente, nell'ambito dell'adempimento dei loro compiti legali, se lo scambio di informazioni e dati personali con un'autorità straniera è ammissibile. Per gli organi che trattano dati, la cooperazione è regolata dalla rispettiva legge specifica. A tal proposito occorre sempre tenere conto anche degli articoli 16 e 36 LPD. L'IFPDT è invece incaricato della sorveglianza di questi organi che trattano dati e a tal fine può ricorrere all'assistenza amministrativa internazionale disciplinata dall'articolo 55 LPD.
2. Ambito e contenuto
48 Lo scambio di informazioni e dati personali riguarda tutti i compiti legali dell'IFPDT o dell'autorità straniera di protezione dei dati. L'ambito dei compiti legali è determinato dalla legislazione nazionale e l'ammissibilità dello scambio è stabilita in base alla richiesta, che deve illustrare in che misura le informazioni o i dati personali sono necessari per l'adempimento dei compiti legali. I compiti legali dell'IFPDT sono elencati nel capitolo 7 della LPD. Per evadere le richieste di assistenza amministrativa straniere, l'IFPDT può intraprendere tutte le azioni che gli sono consentite dalle disposizioni della LPD applicabili alla sua attività.
49 Oltre alle informazioni, l'IFPDT può scambiare anche dati personali ai sensi dell'articolo 5 lettera a LPD. L'IFPDT può quindi comunicare tutte le informazioni che si riferiscono a una persona fisica identificata o identificabile.
3. Natura giuridica
50 L'articolo 55 LPD non contiene alcun obbligo di assistenza amministrativa transfrontaliera. Esso autorizza semplicemente l'IFPDT a prestare assistenza amministrativa o a richiederla alle condizioni di cui al cpv. 1. Nei rapporti con le autorità straniere di protezione dei dati che appartengono agli Stati contraenti della Convenzione 108+, occorre tuttavia rispettare l'obbligo di prestare assistenza amministrativa previsto dalla Convenzione e i motivi di rifiuto (cfr. N. 8).
B. Presupposti di ammissibilità
51 Affinché l'IFPDT possa scambiare informazioni e dati personali con le autorità straniere di protezione dei dati, devono essere soddisfatti cumulativamente i cinque presupposti di cui all'art. 55 cpv. 1 LPD. Nella pratica è difficile valutare in modo definitivo in che misura i singoli presupposti siano soddisfatti. In pratica, pertanto, i requisiti dovrebbero essere fissati per iscritto nell'ambito della concessione dell'assistenza amministrativa e comunicati all'autorità straniera di protezione dei dati richiedente.
1. Reciprocità (lett. a)
52 L'articolo 55 cpv. 1 lettera a LPD prevede che tra la Svizzera e lo Stato estero sia garantita la reciprocità dell'assistenza amministrativa. La reciprocità è un elemento caratteristico dell'assistenza amministrativa. Di conseguenza, un'autorità di protezione dei dati richiedente può chiedere assistenza amministrativa sotto forma di informazioni e dati personali solo se è disposta a sua volta a concedere assistenza amministrativa.
53 Tale assistenza amministrativa è garantita nei rapporti con le parti contraenti della Convenzione 108+ e con gli Stati membri dell'UE sulla base della direttiva (UE) 2016/680. Nei rapporti con altre autorità di protezione dei dati straniere, la reciprocità è garantita in modo vincolante, a condizione che un trattato internazionale preveda l'assistenza amministrativa con reciprocità. Il Consiglio federale può concludere autonomamente tali trattati internazionali in base all'art. 67 lett. a LPD. In assenza di una base giuridica internazionale, l'IFPDT deve ottenere la garanzia della reciprocità nel singolo caso, potendo accogliere la richiesta di assistenza amministrativa solo sulla base di tale garanzia.
2. Principio di specialità (lett. b)
54 L'art. 55 cpv. 1 lett. b LPD è espressione del principio di specialità. Il principio di specialità o il principio di limitazione alla finalità costituisce un principio tradizionale del diritto internazionale in materia di assistenza amministrativa e giudiziaria internazionale, che deriva dal diritto dell'estradizione. Esso è inoltre sancito dall'art. 19 della Convenzione 108+. Il Tribunale federale attribuisce a tale principio – almeno nel campo del diritto dell'estradizione – il carattere di diritto internazionale consuetudinario. Per l'assistenza amministrativa, tuttavia, il principio è anche normato in molte leggi federali.
55 Secondo questo principio, le informazioni e i dati personali scambiati possono essere utilizzati dall'autorità richiedente solo per la procedura di protezione dei dati su cui si basa la richiesta di assistenza amministrativa e per la quale sono state trasmesse le informazioni o i dati personali. Un ulteriore utilizzo è consentito solo se le leggi dei due Stati o un trattato internazionale prevedono tale possibilità e se l'autorità richiesta che ha fornito le informazioni o i dati personali autorizza l'ulteriore utilizzo nel caso specifico. Per un successivo utilizzo parallelo delle informazioni e dei dati personali in un eventuale procedimento penale devono essere rispettati i principi dell'assistenza giudiziaria internazionale in materia penale.
56 Il principio di specialità funge da barriera che tutela in primo luogo la sovranità dello Stato interpellato. Allo stesso tempo, però, la limitazione alla finalità serve anche a rafforzare i diritti della personalità delle persone interessate e a garantire un uso proporzionato delle informazioni e dei dati personali. La limitazione alla finalità vieta un ulteriore utilizzo illimitato da parte dello Stato richiedente.
57 Oltre alla sua funzione di barriera, il principio di specialità funge anche da presupposto di ammissibilità per la divulgazione di informazioni e dati personali: l'autorità di protezione dei dati richiedente deve fornire garanzie sufficienti che utilizzerà le informazioni o i dati personali solo per lo scopo per cui sono stati trasmessi dall'autorità richiesta. Sulla base del principio di diritto internazionale della buona fede contrattuale, il Tribunale federale ha finora sostenuto che il rispetto del principio di specialità da parte degli Stati può essere dato per scontato. Solo in presenza di indizi concreti di un uso improprio nello Stato richiedente è necessario verificare il rispetto del principio. Alla luce di questa giurisprudenza, l'IFPDT non è tenuto a richiedere alcuna garanzia se l'assistenza amministrativa si basa su un trattato internazionale che include il principio di specialità. In virtù del principio di buona fede sancito dall'articolo 26 della Convenzione di Vienna sul diritto dei trattati (RS 0.111), entrambe le parti contraenti sono direttamente tenute al rispetto del principio di specialità. Se invece l'assistenza amministrativa si basa esclusivamente sull'art. 55 cpv. 1 lett. b LPD, l'IFPDT deve espressamente richiamare l'attenzione dell'autorità straniera di protezione dei dati richiedente sul principio di specialità e sui limiti entro i quali possono essere utilizzate le informazioni o i dati personali trasmessi.
58 Ai fini dell'ammissibilità, il principio di specialità presuppone che l'autorità di protezione dei dati richiedente indichi lo scopo per il quale sono necessarie le informazioni o i dati personali richiesti. Da tale principio deriva quindi un obbligo di motivazione.
59 La verificabilità e l'applicabilità del principio di specialità sono tuttavia limitate. Se un'autorità straniera di protezione dei dati viola il principio di specialità, l'IFPDT può rifiutare future richieste di assistenza amministrativa da parte di tale autorità, motivando che non sussiste una garanzia sufficiente del rispetto del principio di specialità. A parte ciò, si deve presumere che l'applicazione debba avvenire regolarmente da parte della persona interessata e tramite la tutela individuale dei diritti. Ciò vale nel caso in cui i dati personali dell'interessato vengano effettivamente utilizzati in un procedimento successivo a seguito di un riutilizzo non consentito, ossia in un procedimento che non si basa sulla richiesta di assistenza amministrativa originaria e per il quale i dati personali non sono stati trasmessi. In tal caso, l'interessato dovrebbe contestare la trasmissione non consentita nell'ambito del procedimento in questione. La possibilità di farlo dipende in particolare dal diritto processuale applicabile (eventualmente straniero).
3. Principio di riservatezza (lett. c)
60 L'articolo 55 cpv. 1 lettera c LPD è incentrato sulla tutela di particolari interessi di riservatezza. La disposizione richiede infatti che l'autorità richiedente si impegni a proteggere tali segreti. La portata e il contenuto dei segreti da tutelare risultano dalle disposizioni penali pertinenti e dalla giurisprudenza in materia. Per il segreto professionale si rimanda all'art. 321 CP, per il segreto di fabbrica e commerciale all'art. 162 CP e all'art. 273 CP.
61 Sono soggetti al segreto professionale in particolare i sacerdoti, gli avvocati, i medici, i dentisti, i farmacisti, le ostetriche e gli psicologi.
62 Il concetto di segreto è inteso in senso lato in relazione ai segreti commerciali; non esiste una definizione giuridica. Secondo la giurisprudenza del Tribunale federale, non sono considerati segreti i fatti noti o accessibili al pubblico (relativa sconosciutezza) di cui il detentore del segreto ha un interesse legittimo a mantenere la riservatezza (interesse oggettivo alla riservatezza) e che il detentore del segreto desidera mantenere segreti per motivi legittimi (interesse soggettivo alla riservatezza). I segreti commerciali sono informazioni che potrebbero compromettere il successo commerciale dell'impresa o falsare la concorrenza se fossero rese note alle imprese concorrenti. Sono quindi considerati segreti commerciali tutti i fatti tecnici, organizzativi, commerciali e finanziari della vita economica che possono influenzare il successo commerciale del titolare del segreto.
63 I segreti di fabbricazione devono essere trattati allo stesso modo dei segreti commerciali: essi riguardano in particolare l'aspetto tecnico della produzione, ovvero le conoscenze che contengono istruzioni per l'azione tecnica. Si tratta quindi di conoscenze utilizzate nella fabbricazione di prodotti che non sono riconoscibili nel prodotto venduto e che sono quindi suscettibili di essere tenute segrete. Ciò include, ad esempio, informazioni sui processi e sulle istruzioni di fabbricazione, produzione o costruzione, nonché i risultati della ricerca, i piani di produzione e di costruzione o le fonti di approvvigionamento.
64 Gli obblighi di riservatezza previsti dalla legge non ostacolano di per sé la divulgazione alle autorità straniere di protezione dei dati. L'articolo 55 cpv. 1 lettera c LPD chiarisce che tali informazioni possono essere comunicate a condizione che l'autorità di protezione dei dati richiedente rispetti il segreto professionale e i segreti commerciali e di fabbricazione (cfr. N. 77 segg.); l'articolo 55 LPD consente quindi una deroga all'obbligo legale di segretezza. L'art. 55 cpv. 3 LPD obbliga tuttavia l'IFPDT a richiedere il parere dei titolari del segreto interessati prima di comunicare informazioni che potrebbero contenere segreti professionali, commerciali o di fabbricazione (cfr. N. 78). Ciò dimostra che occorre sempre valutare l'interesse alla comunicazione delle informazioni rispetto all'interesse alla riservatezza.
4. Principio della lunga mano (lett. d)
65 Ai sensi dell'art. 55 cpv. 1 lett. d LPD, le informazioni e i dati personali possono essere comunicati a terzi, comprese altre autorità, solo se l'autorità di protezione dei dati interpellata ha preventivamente autorizzato tale trasmissione. Per terzi si intendono in primo luogo le autorità terze dello Stato richiedente che non partecipano allo scambio tra l'IFPDT e l'autorità di protezione dei dati straniera.
66 Il requisito dell'autorizzazione protegge le persone interessate da un'ulteriore divulgazione delle informazioni o dei dati personali che le riguardano. Esso garantisce inoltre che l'IFPDT mantenga il controllo sulle informazioni e sui dati personali. In caso di particolare interesse, prima di autorizzare la trasmissione è necessario sentire la persona interessata; inoltre, devono essere rispettati gli altri diritti delle parti. Ciò vale in particolare per la comunicazione di dati personali. Per il resto si rimanda alle considerazioni relative alla tutela giuridica (cfr. N. 37 segg.).
67 L'IFPDT deve ottenere una garanzia in tal senso dall'autorità straniera di protezione dei dati. Egli può rinunciare a tale garanzia se il divieto di comunicazione a terzi è già efficacemente garantito da un'altra base giuridica, come un trattato internazionale.
5. Rispetto delle condizioni e delle restrizioni (lett. e)
68 Ai sensi dell'art. 55 cpv. 1 lett. e LPD, l'autorità richiedente deve rispettare le condizioni e le restrizioni imposte dall'autorità che le ha trasmesso le informazioni e i dati personali. Questa disposizione consente la comunicazione di informazioni e dati personali nei casi in cui, senza la possibilità di imporre condizioni o restrizioni come l'anonimizzazione, una richiesta di assistenza amministrativa dovrebbe essere respinta.
69 Poiché nell'ambito dell'assistenza amministrativa l'IFPDT è vincolato dall'art. 36 cpv. 6 LPD e tale disposizione subordina già la comunicazione di dati personali alla possibilità di imporre condizioni e restrizioni, la lett. e costituisce essenzialmente una ripetizione. La disposizione chiarisce tuttavia che anche nell'ambito dell'assistenza amministrativa internazionale l'IFPDT deve basare la comunicazione di dati personali su una valutazione caso per caso tra l'interesse all'assistenza amministrativa e gli interessi contrapposti ai sensi dell'articolo 36 cpv. 6 LPD.
III. Comunicazione di dati personali (capoverso 2)
70 L'articolo 55 capoverso 2 LPD stabilisce quali informazioni l'IFPDT può comunicare all'autorità straniera di protezione dei dati per motivare la sua richiesta di assistenza amministrativa o per soddisfare la richiesta di un'autorità straniera di protezione dei dati. L'elenco non è esaustivo, come si evince dalla formulazione «in particolare» nella frase introduttiva. In altre parole, l'IFPDT può fornire anche altre informazioni per motivare la sua richiesta di assistenza amministrativa o per soddisfare una richiesta di assistenza amministrativa di un'autorità estera.
71 Secondo la disposizione, l'IFPDT può fornire informazioni sull'identità del responsabile del trattamento, del subincaricato o di altri terzi coinvolti (lett. a) nonché sulle categorie di persone interessate (lett. b). La menzione delle categorie serve a classificare le persone in gruppi tipizzati che presentano determinate caratteristiche comuni. Nel messaggio vengono citati come esempi di tali categorie, tra l'altro, «consumatori», «militari» o «lavoratori».
72 L'IFPDT può comunicare l'identità delle persone interessate solo se queste hanno dato il loro consenso (lett. c n. 1). Si ha divulgazione dell'identità già quando una persona è identificabile. Ciò può risultare dai dati stessi. L'identità è tuttavia identificabile già quando risulta senza uno sforzo proporzionato dal contesto dei dati o dalla combinazione con altri dati.
73 Per la divulgazione dell'identità è necessario il consenso di ogni singola persona interessata. In caso contrario, la divulgazione non è ammessa. Per un consenso legalmente valido si applicano i requisiti di cui all'art. 6 cpv. 6 e cpv. 7 LPD. Il consenso è quindi valido solo se è stato dato volontariamente, dopo un'adeguata informazione, in relazione alla divulgazione concreta. Un'adeguata informazione comprende i dati relativi al responsabile, lo scopo o la finalità, le modalità e la portata del trattamento dei dati, le categorie di dati trattati e le informazioni relative alla trasmissione dei dati. Il consenso non è vincolato ad alcuna forma e quindi non è necessario che sia espresso per iscritto. Tuttavia, in caso di comunicazione di dati personali particolarmente sensibili ad autorità straniere di protezione dei dati, il consenso deve essere espresso in modo esplicito. Secondo il messaggio relativo alla LPD, una dichiarazione di volontà è esplicita «[…] se è espressa per iscritto o oralmente o mediante un segno e se la volontà espressa risulta immediatamente dalle parole o dal segno utilizzati».
74 Il consenso è fondamentale nel trattamento dei dati da parte di privati, perché serve a giustificare una violazione della personalità. Indipendentemente dal consenso, l'IFPDT rimane comunque il destinatario dei diritti fondamentali. La comunicazione dell'identità alle autorità straniere di protezione dei dati deve quindi continuare a servire un interesse pubblico ed essere proporzionata, al fine di poter essere giustificata, in quanto costituisce una violazione dell'articolo 13 capoverso 2 Cost. (cfr. N. 34 seg.). Il requisito del consenso non funge quindi da giustificazione per il trattamento dei dati da parte di organi federali come l'IFPDT, ma da ulteriore ostacolo alla divulgazione.
75 In via eccezionale, l'IFPDT può comunicare l'identità delle persone interessate se tale comunicazione è indispensabile per l'adempimento del compito legale dell'IFPDT o dell'autorità straniera di protezione dei dati (lett. c n. 2). La disposizione eccezionale è formulata in modo analogo all'art. 36 cpv. 2 lett. a e b LPD, che stabilisce tali requisiti per l'assistenza amministrativa nazionale, purché non esista una base legale speciale. Indispensabilità significa che il compito non può essere adempiuto senza la comunicazione dei dati.
76 Inoltre, l'IFPDT può fornire informazioni sui dati personali trattati o sulle categorie di dati personali trattati (lett. d), sullo scopo del trattamento (lett. e), sui destinatari e sulle categorie di destinatari (lett. f) e sulle misure tecniche e organizzative (lett. g).
IV. Obbligo di informazione e presa di posizione (cpv. 3)
77 L'articolo 55 capoverso 3 LPD obbliga l'IFPDT, nell'ambito di una procedura di assistenza amministrativa, a comunicare a un'autorità straniera di protezione dei dati informazioni che possono contenere segreti professionali, commerciali o di fabbricazione solo dopo aver dato alle persone interessate la possibilità di prendere posizione. Possono essere interessate sia persone fisiche che giuridiche. Contrariamente a quanto richiesto nella consultazione, il legislatore non ha subordinato la comunicazione dei segreti commerciali e di fabbricazione al consenso della persona interessata.
78 Lo scopo della disposizione è quello di tutelare i diritti delle persone interessate che sono detentrici di segreti professionali, commerciali o di fabbricazione. A tal fine, il capoverso 3 prevede un obbligo di informazione e un diritto di essere sentite. Prima di comunicare a un'autorità straniera di protezione dei dati informazioni che potrebbero contenere segreti professionali, commerciali o di fabbricazione, l'IFPDT deve informare le persone interessate che detengono tali segreti della possibile divulgazione. L'IFPDT è quindi tenuto a richiedere il parere delle persone interessate. Ciò consente alle persone interessate di esporre il proprio punto di vista all'IFPDT in una presa di posizione e di motivare perché le informazioni che riguardano segreti professionali, commerciali o di fabbricazione non devono essere comunicate all'autorità straniera di protezione dei dati.
79 Informando preventivamente le persone interessate e dando loro la possibilità di esprimere il proprio parere, l'IFPDT contribuisce a garantire che i loro interessi siano presi in considerazione e che i loro segreti siano protetti. Il parere deve essere preso in considerazione nel processo decisionale dell'IFPDT, ma non ha alcun effetto vincolante: il cpv. 3 non obbliga l'IFPDT a seguire il contenuto dei pareri delle persone interessate. Ha tuttavia il dovere di prendere atto delle osservazioni e di attribuirvi grande importanza nel processo decisionale. Quanto più sono interessati i segreti professionali, commerciali o di fabbricazione del detentore del segreto, tanto maggiore deve essere il peso attribuito alle osservazioni delle persone interessate.
80 Secondo Gerschwiler, le persone interessate devono essere informate già quando si può presumere con una certa probabilità che potrebbero essere divulgati segreti professionali, commerciali o di fabbricazione. Ciò è condivisibile. La protezione dei segreti professionali, commerciali e di fabbricazione può essere garantita in modo efficace solo se l'IFPDT non informa solo quando è certo che sono coinvolti segreti protetti dal diritto penale. Per poter tenere conto in modo efficace degli interessi dei detentori dei segreti e coinvolgerli tempestivamente nel processo decisionale attraverso la possibilità di presentare osservazioni, è necessario applicare un criterio generoso. Ciò può anche contribuire a evitare ricorsi successivi.
81 In via eccezionale, l'IFPDT non è tenuto a richiedere un parere alle persone interessate. Ciò avviene quando non è possibile ottenere un parere o quando ciò comporterebbe uno sforzo sproporzionato. Questa eccezione è stata evidentemente introdotta per motivi pratici e mira a evitare che la comunicazione delle informazioni alle autorità straniere di protezione dei dati venga compromessa qualora la richiesta di un parere sia impossibile o comporti uno sforzo sproporzionato. Poiché con la comunicazione l'IFPDT interferisce con i segreti professionali, commerciali o di fabbricazione delle persone interessate, tutelati dal diritto penale, non si deve presumere affrettatamente che ciò sia impossibile o irragionevole. Tuttavia, la procedura ammissibile dovrà essere determinata in ultima istanza dalla giurisprudenza.
Bibliografia
Bachmann Gregor, Anspruch auf Verfahren und Entscheid, Bern 2019.
Baeriswyl Bruno, Die Einwilligung hilft (nicht) weiter, digma 2020, S. 62–66.
Baeriswyl Bruno, Kommentierung zu Art. 31, in: Bruno Baeriswyl/Kurt Pärli (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz (DSG), 1. Aufl., Bern 2015.
Baeriswyl Bruno, Kommentierung zu Art. 55 DSG: in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.
Baeriswyl Bruno, Kommentierung zu Art. 6 DSG: in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.
Bai Alain, Der Rechtsschutz gemäss Art. 6 EMRK in Verfahren der internationalen Amtshilfe im Bereich der direkten Steuern, Zürich 2018.
Bellanger François, L’entraide administrative en Suisse, in: Bellanger François/Tanquerel Thierry (Hrsg.), L’entraide administrative, Zürich/Basel 2005, S. 9–28.
Belser Eva Maria/Epiney Astrid/Waldmann Bernhard, Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011.
Benhamou Yaniv/Jacot-Guillarmod Emilie, GDPR on the Swiss Territory, Jusletter IT vom 24. Mai 2018.
Biaggini Giovanni, BV Kommentar, 2. Aufl., Zürich 2017.
Blöchlinger Karin, Amtsgeheimnis und Behördenkooperation, Zum Spannungsfeld von Geheimnisschutz und Verwaltungstätigkeit, Zürich 2015.
Bopp Christian, Das Schweizerische Bankgeschäft, 8. Aufl., Zürich 2021.
Breitenmoser Stephan, Internationale Amtshilfe in Finanzmarktsachen in der Rechtsprechung des Bundesverwaltungsgerichts – aktuelle Fragen und Tendenzen, in: Breitenmoser Stephan/ Ehrenzeller Bernhard (Hrsg.), Internationale Amts- und Rechtshilfe in Steuer- und Finanzmarktsachen, Zürich 2017, S. 185–199.
Breitenmoser Stephan/Bai Alain, Internationale Amts- und Rechtshilfe mit Bezügen zum Ausländerrecht, in: Uebersax Peter/Rudin Beat/Hugi Yar Thomas/Geiser Thomas/Vetterli Luzia (Hrsg.), Ausländerrecht, 3. Aufl., Basel 2022, S. 1921–2015.
Breitenmoser Stephan/Weyeneth Robert, Amts- und Rechtshilfe ist nicht gleich Amts- und Rechtshilfe, in: Fankhauser Roland/Widmer Lüchinger Corinne/Klingler Rafael/Seiler Benedikt (Hrsg.), Das Zivilrecht und seine Durchsetzung, Festschrift für Professor Thomas Sutter-Somm, Zürich 2016, S. 1063–1084.
Diggelmann Oliver, Kommentierung zu Art. 13 BV, in: Waldmann Bernhard/Belser Eva Maria/Epiney Astrid (Hrsg.), Basler Kommentar, Bundesverfassung, Basel 2015.
Dix Alexander, Kommentierung zu Art. 61 DSGVO, in: Kühlig Jürgen/Buchner Benedikt (Hrsg.), DS-GVO/BDSG, Datenschutz-Grundversorgung, Bundesdatenschutzgesetz, Kommentar, 3. Aufl., München 2020.
Donatsch Andreas/Heimgartner Stefan/Meyer Frank/Simonek Madeleine, Internationale Rechtshilfe, 2. Aufl., Zürich 2015.
du Pasquier Shelby R., Internationale Amtshilfe: Informationsaustausch und verfahrensrechtliche Aspekte, AJP 2006, S. 74–82.
Egli Patricia, Kommentierung zu Art. 44 BV, in: Ehrenzeller Bernhard et al. (Hrsg.), St. Galler Kommentar, Bundesverfassung, 4. Aufl., Zürich 2023.
Ferrari-Visca Reto, Strafrechtliche Datenschutzbestimmungen, in: Dal Molin Luca/Wesiak-Schmidt Kirsten (Hrsg.), Datenschutz im Unternehmen, Praxishandbuch mit Beispielen und Checklisten, Zürich/St. Gallen 2023, S. 365–427.
Frei Nula, Kommentierung zu Art. 67 DSG, in: Steiner Thomas/Morand Anne-Sophie/Hürlimann Daniel (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz (Version: 07.09.2023), https://onlinekommentar.ch/de/kommentare/dsg67.
Gächter Thomas/Egli Philipp, Kommentierung zu Art. 43 VwVG, in: Auer Christoph/Müller Markus/Schindler Benjamin (Hrsg.), Kommentar, Bundesgesetz über das Verwaltungsverfahren (VwVG), 2. Aufl., Zürich 2019.
Gerschwiler Stefan, Kommentierung zu Art. 55 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar, DSG, Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023.
Häberli Thomas, Kommentierung zu Art. 83 BGG, in: Niggli Marcel Alexander/Uebersax Peter/Wiprächtiger Hans/Kneubühler Lorenz (Hrsg.), Basler Kommentar, Bundesgerichtsgesetz, 3. Aufl., Basel 2018.
Häfelin Ulrich/Müller Georg/Uhlmann Felix, Allgemeines Verwaltungsrecht, 8. Aufl., Zürich 2020.
Harrendorf Stefan/König Stefan/Voigt Lea, Kommentierung zu Art. 6 EMRK, in: Meyer-Ladewig Jens/Nettesheim Martin/von Raumer Stefan (Hrsg.), Handkommentar, Europäische Menschenrechtskonvention, 5. Aufl., Baden-Baden 2023.
Husi-Stämpfli Sandra/Rudin Beat, Datenschutz, in: Tschudi Hans Martin/Schindler Benjamin/Ruch Alexander/Jakob Eric/Friesecke Manuel (Hrsg.), Die Grenzüberschreitende Zusammenarbeit der Schweiz, Zürich/St. Gallen 2014, S. 623–648.
Jaag Tobias/Häggi Furrer Reto, Kommentierung zu Art. 43 VwVG, in: Waldmann Bernhard/Weissenberger Philippe (Hrsg.), Praxiskommentar, Verwaltungsverfahrensgesetz, 2. Aufl., Zürich 2016.
Kerboas Cécile/Lennman Catherine, Kommentierung zu Art. 55 DSG, in: Meier Philippe/Métille Sylvain (Hrsg.), Commentaire Romand, Loi fédérale sur la protection des données, Basel 2023.
Kiener Regina/Rütsche Bernhard/Kuhn Mathias, Öffentliches Verfahrensrecht, 3. Aufl., Zürich 2021.
Kölz Alfred/Häner Isabelle/Bertschi Martin/Bundi Livio, Verwaltungsverfahren und Verwaltungsrechtspflege des Bundes, 4. Aufl., Zürich/Genf 2025.
Mazidi Simon, Kommentierung zu Art. 59 DSG, in: Blechta Gabor-Paul/Vasella David (Hrsg.), Basler Kommentar, Datenschutzgesetz/Öffentlichkeitsgesetz, 4. Aufl., Basel 2023.
Mund Claudia, Kommentierung zu Art. 36 DSG: in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.
Opel Andrea, Amtshilfe ohne Information der Betroffenen – eine rechtsstaatlich bedenkliche Neuerung, ASA 83 (2014), S. 265–295 (zit. als Opel, Amtshilfe).
Opel Andrea, Neuausrichtung der schweizerischen Abkommenspolitik in Steuersachen: Amtshilfe nach dem OECD-Standard, Bern 2015 (zit. als Opel, Neuausrichtung).
Oswald Diana, Verfahrensrechtliche Aspekte der internationalen Amtshilfe in Steuersachen, Zürich 2015.
Pasquier Aurélien, Die Sanktionen in der DSGVO, in: Epiney Astrid/Rovelli Sophia (Hrsg.), Datenschutzgrundverordnung (DSGVO): Tragweite und erste Erfahrungen/Le Règlement général sur la protection des données (RPDG): portée et premières expériences, Zürich 2020, S. 99–138.
Poltier Etienne, L’entraide administrative interne, in: Poltier Etienne/Favre Anne-Christine/Martenet Vincent (Hrsg.), L'entraide administrative, Évolution ou révolution?, Zürich 2019, S. 61–102.
Popp Peter, Grundzüge der internationalen Rechtshilfe in Strafsachen, Basel 2001.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16. November 2020.
Roth Florian/Mazidi Simon, Kommentierung zu Art. 54 DSG, in: Steiner Thomas/Morand Anne-Sophie/Hürlimann Daniel (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz (Version: 30.01.2024), https://onlinekommentar.ch/de/kommentare/dsg54.
Rudin Beat, Kommentierung zu Art. 5 DSG: in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.
Schweizer Rainer J., Anforderungen der EGMR-Rechtsprechung an die internationale Amts- und Rechtshilfe, in: Lorandi Franco/Staehelin Daniel (Hrsg.), Innovatives Recht, Festschrift für Ivo Schwander, Zürich 2011, S. 985–1010 (zit. als Schweizer, FS Schwander).
Schweizer Rainer J., Kommentierung zu Art. 44 BV, in: Ehrenzeller Bernhard/Schindler Benjamin/Schweizer Rainer J./Vallender Klaus A. (Hrsg.), St. Galler Kommentar, Bundesverfassung, 3. Aufl., Zürich 2014.
Schweizer Rainer J., Von einer Amts- und Rechtshilfe auf Ersuchen zum internationalen Informationsverbund: Grundsätzliche Aspekte, in: Breitenmoser Stephan/Ehrenzeller Bernhard (Hrsg.), Internationale Amts- und Rechtshilfe in Steuer- und Finanzmarktsachen, Zürich 2017, S. 227–293 (zit. als Schweizer, Informationsverbund).
Seferovic Goran, Kommentierung zu Art. 21 UWG, in: Heizmann Reto/Loacker Leander D. (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Kommentar,2. Aufl., Zürich/St. Gallen 2025 (zit. als Seferovic, in: Heizmann/Loacker).
Seiler Hansjörg, Internationale Amtshilfe aus Schweizer Sicht, Liechtensteinische Juristenzeitung 32 (2011), S. 42–50.
Thurnherr Daniela, Verfahrensgrundrechte und Verwaltungshandeln, Zürich/St. Gallen 2013.
Vasella David, Zur Freiwilligkeit und zur Ausdrücklichkeit der Einwilligung im Datenschutzrecht, Jusletter 16. November 2015.
Vest Hans, Kommentierung zu Art. 32 BV, in: Ehrenzeller Bernhard et al. (Hrsg.), St. Galler Kommentar, Bundesverfassung, 4. Aufl., Zürich 2023.
Waldmann Bernhard, Anspruch auf den Erlass einer Verfügung, in: Häner Isabelle/Waldmann Bernhard (Hrsg.), 8. Forum für Verwaltungsrecht – Brennpunkt «Verfügung», Bern 2022, S. 55–85.
Waldmann Bernhard/Kraemer Raphael, Kommentierung zu Art. 44 BV, in: Waldmann Bernhard/Belser Eva Maria/Epiney Astrid (Hrsg.), Basler Kommentar, Bundesverfassung, Basel 2015.
Weber-Dürler Beatrice/Kunz-Notter Pandora, Kommentierung zu Art. 25 VwVG, in: Auer Christoph/Müller Markus/Schindler Benjamin (Hrsg.), VwVG – Bundesgesetz über das Verwaltungsverfahren, Kommentar, 2. Aufl., Zürich 2019 (zit. als Weber-Dürler/Kunz-Notter, in: Auer/Müller/Schindler).
Weissenberger Philippe, Grenzüberschreitende Amtshilfe auf dem Prüfstand – Wege zu mehr Rechtssicherheit, Rechtsschutz und Effizienz, ASA 77 (2009), S. 825–835.
Widmer Thomas, Les amendes «administratives» prévues par l’art. 83 du RGPD peuvent-elles être reconnues et exécutées en Suisse?, sic! 2023, S. 387–390.
Wyss Martin Philipp, Gesetzgebungsbedarf bei der internationalen Amtshilfe?, in: Ehrenzeller Bernhard/Breitenmoser Stephan (Hrsg.), Aktuelle Fragen der internationalen Amts- und Rechshilfe, St. Gallen 2009, S. 217–248.
I materiali
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II 413 ff. (zit. als Botschaft DSG 1988).
Botschaft zur Auferlegung der Kosten für die Behandlung zweier Amtshilfegesuche des Internal Revenue Service der Vereinigten Staaten von Amerika auf die UBS AG, BBl 2010 3211 (zit. als Botschaft Kostenauferlegung).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941 ff. (zit. als Botschaft DSG 2017)
Botschaft zur Genehmigung des Protokolls vom 10.10.2018 zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, BBl 2020 565 ff. (zit. Botschaft Konvention 108+).
Botschaft zur Totalrevision der Bundesrechtspflege, BBl 2001 4202 ff. (zit. als Botschaft Bundesrechtspflege 2001).
Bundesamt für Justiz, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vn-ber-d.pdf.download.pdf/vn-ber-d.pdf, besucht am 1.8.2023 (zit. als Erl. Bericht VE).
Bundesamt für Justiz, Rechtsfragen im Zusammenhang mit der Zusammenarbeit mit ausländischen Behörden (Amtshilfe, Rechtshilfe, Souveränitätsschutz), Bericht vom 14.3.2011, https://www.bj.admin.ch/dam/bj/de/data/sicherheit/gesetzgebung/archiv/zssg/ber-auslandszusammenarbeit-d.pdf.download.pdf/ber-auslandszusammenarbeit-d.pdf, besucht am 1.10.2023 (zit. als BJ, Bericht Zusammenarbeit).
Bundesamt für Justiz, Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz, Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens vom 10.8.2017, https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/ve-ber-d.pdf.download.pdf/ve-ber-d.pdf, besucht am 1.8.2023 (zit. als Ergebnisse Vernehmlassungsverfahren DSG).
Bundesamt für Justiz, Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz, Stellungnahme der Organisationen A–H, https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/organisationen-a-h.pdf.download.pdf/organisationen-a-h.pdf, besucht am 1.8.2023 (zit. als Vernehmlassungsverfahren DSG, Stellungnahme der Organisationen A–H).
Council of Europe, Explanatory Report to the Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, https://rm.coe.int/cets-223-explanatory-report-to-the-protocol-amending-the-convention-fo/16808ac91a, besucht am 20.9.2023 (zit. als CoE, Explanatory Report).
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, 30. Tätigkeitsbericht 2022/23, https://edb.reader.epaper.guru/de-CH/viewer/616971da-d98a-4d01-9554-87a20c0277e9/fd949f38-fa10-4c60-a59a-0354346b8612, besucht am 9.10.2023 (zit. als EDÖB, 30. Tätigkeitsbericht 2022/23).
OECD, Review of the OECD Recommendation on Cross-Border Co-operation in the Enforcement of Laws Protecting Privacy, 22.9.2023, https://www.oecd-ilibrary.org/docserver/67774f69-en.pdf?expires=1696874300&id=id&accname=guest&checksum=20FD51C34B496C02E3550F9EE3868428, besucht am 9.10.2023 (zit. als OECD 2023).