-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Aspetti generali
- II. Competenza del Consiglio federale a concludere trattati internazionali
- Bibliografia
- I Materiali
In breve
Alla luce dei flussi di dati sempre più internazionali, una protezione dei dati efficace deve disciplinare anche le questioni transfrontaliere. Ciò può richiedere accordi con altri Stati o organizzazioni internazionali. Per facilitare la conclusione di tali accordi, l'art. 67 LDP conferisce al Consiglio federale il potere di concludere trattati internazionali senza l'approvazione del Parlamento per due specifiche aree tematiche, in particolare ai fini della cooperazione tra le autorità di protezione dei dati e del riconoscimento reciproco di un livello adeguato di protezione dei dati. La norma di delega deve essere interpretata in modo restrittivo.
I. Aspetti generali
A. Scopo dell'art. 67 LDP
1 Nell'era della rete elettronica onnipresente, il trattamento transfrontaliero dei dati personali è diventato parte della vita quotidiana. Da tempo la protezione dei dati ha quindi anche una dimensione internazionale ed è quindi diventata oggetto di politica estera.
2 La Svizzera ha concluso numerosi accordi bilaterali e multilaterali nel settore della protezione dei dati. Si può distinguere tra accordi generali, che standardizzano o costituzionalizzano la protezione dei dati in tutti i settori del diritto, e accordi specifici, che stabiliscono norme per singoli ambiti di cooperazione. Solo la Convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato dei dati personali (ETS 108), di cui la Svizzera ratificherà presto la versione aggiornata (ETS 108+), rientra attualmente nella prima categoria. Regolamenti specifici sulla protezione dei dati si trovano in numerosi accordi nell'ambito della cooperazione di polizia e dell'assistenza giudiziaria in materia penale, del rilascio di visti, della gestione dell'immigrazione e della riammissione di cittadini stranieri, della cooperazione in materia di asilo e dello scambio di dati sui passeggeri aerei.
3 Un attore importante nella protezione dei dati è l'Unione europea. La sua legge sulla protezione dei dati ha un'influenza significativa sul diritto svizzero. A parte le influenze indirette e l'effetto extraterritoriale del Regolamento generale sulla protezione dei dati (GDPR), che non saranno discussi in modo approfondito in questa sede, esistono anche diversi accordi tra la Svizzera e l'UE con contenuti relativi alla protezione dei dati. Il più importante dal punto di vista pratico è l'Associazione Schengen, in base alla quale la Svizzera adotta alcuni atti giuridici dell'UE, in particolare la direttiva 2016/680 sulla protezione dei dati nei settori della polizia e della giustizia, che deve essere attuata dalla Confederazione e dai Cantoni.
4 Rispetto al regolamento generale sulla conclusione di trattati internazionali in Svizzera (infra n. 10 e segg.), l'art. 67 LPD facilita la conclusione di trattati internazionali conferendo al Consiglio federale la competenza di concludere trattati autonomamente senza l'approvazione dell'Assemblea federale in due ambiti tematici specifici, ossia ai fini della cooperazione tra le autorità di protezione dei dati e del riconoscimento reciproco di un livello adeguato di protezione dei dati.
B. Storia delle origini
5 L'art. 67 LDP sostituisce l'art. 36 cpv. 5 aDSG, considerato troppo vago in base agli attuali principi di delega, ossia il divieto di deleghe in bianco. L'art. 36 cpv. 5 aDSG prevedeva che il Consiglio federale potesse concludere trattati internazionali sulla protezione dei dati se conformi ai principi della LADP.
6 I restanti paragrafi dell'art. 36 aDSG, che autorizzavano il Consiglio federale a emanare disposizioni di attuazione sia di carattere generale che in relazione a specifici ambiti tematici, non sono stati ripresi nella nuova LADP.
7 Nel processo legislativo, l'art. 67 LDP non è stato oggetto di controversie. Il suggerimento di limitare l'autorità del Consiglio federale di concludere accordi al fine di non concludere accordi di diritto internazionale sull'esecuzione in Svizzera di sanzioni imposte da autorità di vigilanza straniere, avanzato in alcuni casi durante il processo di consultazione, non è stato ascoltato né nel messaggio né nelle deliberazioni parlamentari. Rispetto al progetto preliminare e al progetto del Consiglio federale, l'art. 67 (ad eccezione della numerazione) non ha subito modifiche nelle deliberazioni parlamentari e, secondo i verbali del Consiglio, non è stato discusso.
II. Competenza del Consiglio federale a concludere trattati internazionali
8 Un trattato internazionale è un accordo concluso per iscritto tra due o più soggetti di diritto internazionale ai sensi dell'art. 38 cpv. 1 lett. a dello Statuto della CIG e dell'art. 2 cpv. 1 lett. a della Convenzione di Vienna sul diritto dei trattati.
9 Mentre l'art. 67 LADP utilizza il termine "trattato internazionale", à l'art. 16 cpv. 2 lett. a LADP parla di "trattato internazionale". Nonostante la diversa terminologia, il significato è lo stesso.
10 In linea di principio, il Consiglio federale e l'Assemblea federale sono congiuntamente responsabili della conclusione di trattati internazionali in Svizzera. Mentre il Consiglio federale, nell'ambito delle sue competenze di politica estera, negozia e firma i trattati internazionali (art. 184 cpv. 1 e 2 BV), il Parlamento approva i trattati mediante un decreto federale (art. 166 cpv. 2 frase 1 BV) prima che il Consiglio federale possa ratificarli (art. 184 cpv. 2 BV). Ciò si spiega con il fatto che i trattati internazionali, proprio come le leggi federali, contengono disposizioni legislative e quindi richiedono almeno una successiva legittimazione democratica. In alcuni casi, oltre all'approvazione parlamentare, è previsto il referendum facoltativo o obbligatorio sui trattati internazionali. Se un trattato internazionale è soggetto a referendum, se riguarda interessi importanti dei Cantoni o se è di grande importanza politica, finanziaria, economica, ecologica, sociale o culturale, deve essere effettuata una consultazione preventiva.
11 Il Parlamento può tuttavia rinunciare a questa competenza mediante delega. Di conseguenza, l'obbligo di approvazione non si applica ai trattati la cui conclusione è stata delegata dal Parlamento al Consiglio federale mediante una legge federale o un trattato internazionale approvato dal Parlamento. L'idea è quella di sollevare l'Assemblea federale dall'approvazione di trattati "non meritevoli di approvazione parlamentare" e di occuparsi solo di questioni che richiedono una maggiore legittimità democratica.
12 Questa competenza indipendente a concludere trattati è illustrata in modo più dettagliato nell'art. 7a RVOG, che indica tre costellazioni in cui il Consiglio federale può ratificare un trattato senza l'approvazione preventiva del Parlamento.
In primo luogo, sulla base di un'autorizzazione contenuta in una legge federale specifica (art. 7a cpv. 1 RVOG). L'art. 67 LDP è un'autorizzazione di questo tipo. In questo caso, sono decisivi i principi paralleli a quelli delle deleghe legislative al Consiglio federale: le valutazioni essenziali di politica legale devono essere fatte con sufficiente certezza nella legge parlamentare. Le cosiddette "deleghe in bianco" non sono compatibili con il principio di legalità, perché potrebbero avere l'effetto di sottrarre all'obbligo di approvazione un numero imprevedibile di trattati internazionali con contenuti diversi.
In secondo luogo, un'autorizzazione in un trattato internazionale approvato dall'Assemblea federale (art. 7a cpv. 1 RVOG). In questo caso si applicano principi di delega sostanzialmente analoghi a quelli delle deleghe di competenza in un atto federale.
In terzo luogo, il Consiglio federale può ratificare i cosiddetti trattati di portata limitata senza la previa approvazione del Parlamento (art. 7a cpv. 2 RVOG). Si tratta di una clausola generale sussidiaria, in quanto si applica a tutti i trattati di portata limitata, indipendentemente dal settore in questione. Secondo l'art. 7a cpv. 3 RVOG, i contratti di portata limitata comprendono i contratti che non creano nuovi obblighi o non comportano una rinuncia a diritti esistenti (art. 7a cpv. 3 lett. a RVOG), i contratti che servono solo ad eseguire contratti approvati dall'Assemblea federale e si limitano a precisare i diritti, gli obblighi o i principi organizzativi già stabiliti nel contratto di base (lett. b), e i contratti che sono rivolti alle autorità e regolano questioni tecnico-amministrative (lett. c). Questo elenco è esemplificativo: se un contratto ha effettivamente un ambito di applicazione limitato deve essere determinato dall'interpretazione. La legge specifica anche quali contratti non sono in linea di principio considerati di portata limitata (art. 7a cpv. 4 RVOG). Questo è il caso, in particolare, se il trattato è soggetto a referendum facoltativo sul trattato di Stato ai sensi dell'art. 141 cpv. 1 lett. d della Costituzione federale (lett. a), se contiene disposizioni che rientrano nelle competenze cantonali (lett. b) o se comporta spese elevate (lett. c). Altri criteri sono se un trattato interferisce con gli interessi giuridicamente protetti dei privati, se richiede una modifica della legge o se si inserisce "senza problemi" nel contesto generale della politica interna ed estera e dell'economia.
13 In termini puramente quantitativi, la stragrande maggioranza (oltre il 90%) dei trattati stipulati dalla Svizzera è conclusa autonomamente dal Consiglio federale. Il Consiglio federale presenta ogni anno all'Assemblea federale un rapporto sui trattati conclusi autonomamente (art. 48a cpv. 2 RVOG). In questa forma, il controllo parlamentare è esercitato retroattivamente.
14 Il Consiglio federale può anche delegare la competenza di concludere trattati internazionali a un dipartimento. Se il trattato ha una portata limitata ai sensi dell'art. 7a cpv. 2 RVOG, può inoltre delegare tale competenza a un gruppo o a un ufficio federale (art. 48a cpv. 1 RVOG).
15La disposizione precedente, l'art. 36 cpv. 5 aDSG, stabiliva che il Consiglio federale può concludere autonomamente trattati internazionali "a condizione che siano conformi ai principi della legge". Tale disposizione è stata interpretata dalla dottrina nel senso che i trattati internazionali dovevano rispettare i principi generali della protezione dei dati, ossia i principi di legalità, buona fede, riconoscibilità, proporzionalità, limitazione delle finalità, esattezza dei dati, sicurezza dei dati, tutela dei diritti delle persone interessate e divieto di divulgazione dei dati all'estero in caso di rischio di gravi violazioni della personalità. Sebbene questo requisito non sia stato incorporato nella nuova disposizione, per l'art. 67 LADP deriva comunque dalla natura della delega e, in ultima analisi, dal principio della separazione dei poteri: in assenza di una disposizione esplicita, il Consiglio federale non è autorizzato a concludere accordi che contraddicano le disposizioni generali della legge senza l'approvazione del Parlamento. Poiché i principi della protezione dei dati derivano direttamente dalla Costituzione (artt. 5, 13, 36 Cost.) e dalle disposizioni di diritto internazionale della Convenzione sulla protezione dei dati (art. 5 STE 108+), anche l'approvazione parlamentare non cambierebbe il fatto che i trattati internazionali che contraddicono i principi della protezione dei dati non possono essere conclusi in linea di principio.
A. Cooperazione internazionale tra autorità di protezione dei dati (lett. a)
16Secondo l'art. 67 lett. a LDP, il Consiglio federale può concludere trattati internazionali che regolano la cooperazione internazionale tra le autorità di protezione dei dati. Si pongono questioni di delimitazione per quanto riguarda il termine "cooperazione" (a) e la cerchia delle autorità coinvolte (b).
1. Cooperazione
17 La natura sempre più transfrontaliera del trattamento dei dati rende indispensabile la cooperazione internazionale tra le autorità di protezione dei dati. La cooperazione è pertanto una delle pietre miliari della moderna Convenzione del Consiglio d'Europa ETS 108+, che obbliga gli Stati contraenti del Capitolo V a cooperare e a prestarsi reciproca assistenza (cfr. art. 16 cpv. 1 ETS 108+). Analogamente, l'Unione europea, nella sua legislazione modernizzata sulla protezione dei dati, pone grande enfasi sulla cooperazione istituzionalizzata tra le autorità nazionali di protezione dei dati (cfr. art. 60 e segg. GDPR e art. 50 e segg. della direttiva sulla protezione dei dati - che è vincolante per la Svizzera nel settore della polizia e del perseguimento penale). DIRETTIVA 2016/680).
18La cooperazione tra le autorità di protezione dei dati può assumere varie forme. L'art. 17 della Convenzione ETS 108+ elenca le seguenti forme di cooperazione come esempi: La fornitura di assistenza reciproca, in particolare sotto forma di scambio di informazioni, coordinamento di indagini o operazioni o attuazione di misure congiunte, nonché la fornitura reciproca di informazioni e documentazione sul diritto nazionale e sulla prassi amministrativa.
19La Convenzione ETS 108+ obbliga le parti contraenti a formare una rete di autorità di vigilanza per organizzare la loro cooperazione (art. 17 cpv. 3). Gli ulteriori dettagli della cooperazione, in particolare per quanto riguarda le forme e le procedure e le lingue da utilizzare, devono essere stabiliti direttamente tra le Parti contraenti interessate (art. 21 cpv. 3). La conclusione di trattati internazionali è necessaria per regolare tali questioni. L'art. 67 lett. a LFPR consente al Consiglio federale di concludere tali accordi in modo semplificato, attuando così anche l'obbligo previsto dalla Convenzione ETS 108+.
20 In termini di diritto interno, uno dei compiti giuridicamente definiti dell'IFPDT è quello di collaborare con le autorità estere responsabili della protezione dei dati (à art. 58 cpv. 1 lett. b LDP). In pratica, l'IFPDT collabora con singole autorità nazionali e sovranazionali per la protezione dei dati, in particolare con le autorità per la protezione dei dati degli Stati membri di Schengen e con il Comitato europeo per la protezione dei dati (EDSA). È inoltre coinvolto in organismi internazionali come il Consiglio d'Europa, la Conferenza europea e internazionale dei commissari per la protezione dei dati, l'Associazione francofona delle autorità di protezione dei dati e l'OCSE.
21 L'IFPDT ha anche la competenza di fornire assistenza amministrativa alle autorità straniere per la protezione dei dati, a condizione che siano soddisfatti i requisiti dell'art. 55 LDP. A tal fine può essere necessario un trattato di diritto internazionale, che il Consiglio federale può concludere più facilmente ai sensi dell'art. 67 lett. a.
22In relazione alle suddette competenze giuridiche della DFP, l'art. 67 lett. a LADP fornisce la base giuridica nel caso in cui la cooperazione internazionale vada al di là di una cooperazione puramente informale (ad esempio lo scambio di buone pratiche) e debba quindi essere posta su una base formale. La conclusione di un trattato internazionale è particolarmente necessaria se si vogliono stabilire diritti e obblighi reciproci su base permanente e se si vogliono scambiare con altri Stati dati personali o dati altrimenti protetti (come i segreti aziendali). Per il trasferimento di dati personali, devono essere osservati anche i requisiti dell'art. 16 LADP.
23Finora non sono stati conclusi accordi di cooperazione di questo tipo nel settore della protezione dei dati. Come modello per un accordo di cooperazione, il dispaccio cita anche un accordo di un altro settore giuridico, ovvero l'accordo del 17 maggio 2013 tra la Confederazione Svizzera e l'Unione Europea sulla cooperazione nell'applicazione del loro diritto della concorrenza. Il contenuto di questo accordo fornisce un'anticipazione dei possibili contenuti di futuri accordi di cooperazione nel settore della protezione dei dati: ad esempio, le parti contraenti si impegnano a informarsi reciprocamente sulle misure di esecuzione che ritengono possano pregiudicare interessi rilevanti dell'altra parte contraente (art. 3), a coordinare le misure di esecuzione in relazione a transazioni interconnesse (art. 4) o a richiedere l'avvio di misure di esecuzione (art. 6).
24Ricadono nell'ambito di applicazione dell'art. 67 lett. a LADP anche gli accordi che delimitano le competenze delle diverse autorità di protezione dei dati. Un accordo di questo tipo avrebbe rilevanza pratica per quanto riguarda la delimitazione delle competenze tra le autorità di protezione dei dati svizzere e quelle europee, poiché il GDPR si applica anche ai responsabili del trattamento o agli incaricati del trattamento non stabiliti nell'UE, il che significa che le competenze delle autorità di controllo degli Stati membri dell'UE si estendono ai responsabili del trattamento in Svizzera, ma non possono intraprendere alcuna azione esecutiva in Svizzera. Una mozione parlamentare che chiedeva la conclusione di un corrispondente accordo di coordinamento con l'UE è già stata adottata dai Consigli nel 2017, ma non è ancora stata attuata, il che è probabilmente dovuto principalmente al fatto che attualmente non è possibile concludere nuovi accordi con l'UE prima che siano state chiarite le questioni istituzionali. In ogni caso, il Consiglio federale potrebbe concludere un accordo di coordinamento corrispondente sulla base dell'art. 67 LPD senza l'approvazione del Parlamento.
2. Autorità di protezione dei dati
25L'autorizzazione a facilitare la conclusione di accordi di cooperazione di diritto internazionale ai sensi dell'art. 67 LPD riguarda esclusivamente la cooperazione tra "autorità di protezione dei dati". Sia la Convenzione ETS 108 (art. 1 Protocollo aggiuntivo del 2001 e art. 12bis ETS 108+) che la Direttiva UE 2016/180 (art. 41 Direttiva 2016/680), vincolante per la Svizzera, obbligano gli Stati contraenti a istituire una o più autorità di controllo indipendenti per la protezione dei dati.
26Invece, ciò significa che la base di abilitazione dell'art. 67 lett. a LPD non si estende ai contratti di cooperazione in materia di protezione dei dati tra altre autorità, come lo scambio di dati personali tra autorità giudiziarie, di polizia o di migrazione. Tali contratti richiedono l'autorizzazione del Parlamento, a meno che non vi sia un'autorizzazione in un'altra legge federale.
27 La competenza a concludere l'accordo di cooperazione è riservata al Consiglio federale. Secondo la formulazione della legge, l'IFPDT, anche se è la parte direttamente interessata da tali contratti, non è competente a concluderli autonomamente. Anche se il Consiglio federale avrebbe la possibilità di subdelegare all'IFPDT la sua competenza di concludere autonomamente trattati internazionali (cfr. art. 48a cpv. 1 RVOG e sopra, n. 14), finora non l'ha fatto. In questo senso, l'IFPDT dipende per le sue attività dalla conclusione dei contratti corrispondenti da parte del Consiglio federale, il che è in una certa tensione con la sua indipendenza istituzionale (à art. 43 cpv. 4 LDP).
B. Riconoscimento reciproco di un livello di protezione adeguato (lett. b)
28 Il secondo scopo per il quale il Consiglio federale può concludere trattati internazionali senza la previa approvazione del Parlamento è il riconoscimento reciproco di un livello di protezione adeguato ai sensi dell'art. 67 lett. b LADP.
29 Questa disposizione va intesa in relazione all'art. 16 LADP, che regola le condizioni per la divulgazione di dati personali all'estero. Una di queste possibilità è l'esistenza di un trattato internazionale: secondo l'art. 16 cpv. 2 lett. a, la divulgazione all'estero è possibile se un trattato internazionale garantisce un'adeguata protezione dei dati.
30 Anche la Convenzione sulla protezione dei dati modernizzata del Consiglio d'Europa riconosce la possibilità di garantire l'esistenza di un livello di protezione adeguato in un Paese terzo mediante un accordo internazionale (cfr. art. 12 cpv. 3 lett. b ETS 108+). Analogamente, il diritto dell'UE prevede norme corrispondenti (cfr. art. 46 cpv. 2 lett. a GDPR e art. 37 cpv. 2 lett. a della Direttiva 2016/680, vincolante per la Svizzera).
31Un trattato internazionale ai sensi dell'art. 16 cpv. 2 lett. a LPD può essere un accordo generale sulla protezione dei dati, come la Convenzione ETS 108+, o qualsiasi altro accordo settoriale in un ambito specifico che regoli il trasferimento di dati personali tra le parti contraenti. Va notato che un trattato internazionale è coperto dall'autorizzazione di cui all'art. 67 lett. b LADP solo se si limita allo scopo di riconoscere reciprocamente un livello di protezione adeguato; se va oltre, il Consiglio federale non può concludere il trattato in modo indipendente o richiede una base di autorizzazione diversa.
32La possibilità di riconoscere un livello di protezione adeguato mediante un trattato internazionale è rilevante se la legislazione dello Stato interessato o dell'organismo internazionale non fornisce una protezione adeguata ai sensi dell'art. 16 cpv. 1 LADP e non esiste quindi una corrispondente decisione dichiarativa del Consiglio federale. Mediante un accordo, gli Stati interessati possono concordare un sistema di protezione dei dati nell'ambito di un trattato internazionale che compensi le carenze dell'ordinamento giuridico nazionale, in modo da rendere possibile il riconoscimento reciproco di un livello di protezione adeguato.
33 L'esempio più importante di applicazione è rappresentato dagli accordi con gli Stati Uniti, il cui livello di protezione dei dati non è considerato adeguato ai sensi dell'art. 16 cpv. 1 della FADP, tra l'altro a causa degli ampi diritti di accesso del presidente americano e dei servizi segreti nazionali ai dati detenuti dalle società americane e delle limitate possibilità di tutela giuridica per i cittadini non statunitensi. Allo stesso tempo, però, gli accordi con gli Stati Uniti illustrano i limiti degli accordi internazionali sugli standard di protezione dei dati, ovvero la difficoltà, in termini di realpolitik, di modificare la distribuzione delle competenze all'interno degli Stati attraverso il diritto internazionale: Il Safe Harbor Framework tra Stati Uniti e Svizzera (modellato sul Safe Harbor UE-USA, che ha dovuto essere sostituito a causa della sentenza della Corte di giustizia europea nella causa Schrems), che era ancora citato come esempio nel rapporto esplicativo sul progetto preliminare della FADP (ma non più nel messaggio), non è più stato riconosciuto dall'IFPDT come base per i trasferimenti di dati verso gli Stati Uniti a seguito della sentenza Schrems. Dopo che anche il successivo Scudo per la privacy UE-USA è stato giudicato insufficiente dalla Corte di giustizia europea nella causa Schrems II, lo Scudo per la privacy Svizzera-USA è ancora formalmente in vigore, ma è ritenuto insufficiente anche dall'IFPDT. Nel marzo 2022 l'UE e gli USA hanno annunciato di aver raggiunto un accordo su un quadro transatlantico per la privacy dei dati; tuttavia, la Svizzera dovrà prima concordare un accordo parallelo con gli USA. Resta da vedere se il quadro transatlantico sulla privacy dei dati supererà davvero le suddette difficoltà di realpolitik.
34Il riconoscimento reciproco di un livello adeguato di protezione dei dati è possibile anche nell'ambito di accordi settoriali. Così, nel contesto delle convenzioni sulla doppia imposizione con Paesi che non dispongono di un'adeguata protezione dei dati, le parti contraenti possono dichiarare che la protezione dei dati in relazione alla concessione di assistenza amministrativa in materia fiscale è considerata adeguata, almeno per quanto riguarda i dati fiscalmente rilevanti, sulla base delle garanzie fornite dal trattato statale. Lo stesso vale per il trasferimento di dati personali nell'ambito della cooperazione tra polizia, dogana, forze dell'ordine o autorità migratorie, in cui la Svizzera ha concluso numerosi accordi. Come già detto, la base di autorizzazione dell'art. 67 lett. b LADP è limitata alla questione del riconoscimento reciproco di un livello di protezione equivalente. Gli accordi di cooperazione, che in pratica regolano di solito altre questioni di più ampia portata, necessitano quindi di un'autorizzazione preventiva da parte del Parlamento, a meno che un'altra legge federale non fornisca una base di autorizzazione.
C. Trattati di Stato per altri scopi
35La base per l'autorizzazione di cui all'art. 67 LADP è limitata ai due scopi di cui alle lettere a e b. La norma di delega deve essere interpretata in modo restrittivo. La norma di delega deve essere interpretata in modo restrittivo.
36Il Consiglio federale può concludere trattati internazionali anche per altri scopi nell'ambito della protezione dei dati, ma la competenza non si basa su questo articolo, bensì sulle disposizioni generali (cfr. sopra, n. 10 e segg.). Ciò significa che se il trattato ha una portata limitata o se esiste una disposizione di abilitazione in una legge federale diversa dalla FADP, il Consiglio federale può ratificarlo anche senza l'approvazione del Parlamento. In tutti gli altri casi, l'approvazione parlamentare è necessaria prima della ratifica.
37A mio avviso, i trattati che comportano il trasferimento di dati personali ad autorità estere non sono di portata limitata, in quanto interferiscono con gli interessi giuridicamente protetti dei privati. Tra questi figurano i numerosi accordi di cooperazione nei settori della polizia, della giustizia, dell'assistenza giudiziaria, della migrazione e della fiscalità che la Svizzera ha concluso con altri Stati e che contengono disposizioni sullo scambio di dati. Rientrano in questa categoria anche i trattati tra Stati o gli scambi di note per l'attuazione dell'ulteriore sviluppo dell'acquis di Schengen (nella misura in cui regolano più di semplici dettagli tecnici), nonché gli accordi con altri Stati sull'accesso ai dati del codice di prenotazione (PNR). Poiché l'art. 67 non prevede alcuna autorizzazione per tali accordi, è sempre necessaria una delega in una legge federale settoriale o un'approvazione parlamentare. Correttamente, il Consiglio federale ha ottenuto anche l'approvazione preventiva dell'Assemblea federale prima di ratificare la Convenzione ETS 108+ e l'adozione della Direttiva 2016/680. Entrambi gli atti giuridici sono strumenti di grande portata, come definito dall'elenco esemplare dell'art. 7a cpv. 4 RVOG.
38 Va notato che la base di autorizzazione di cui all'art. 67 LDP autorizza il Consiglio federale a concludere trattati di portata limitata e più ampia nell'ambito degli scopi dichiarati. A mio avviso, l'opinione giuridica espressa dalla dottrina sulla vecchia norma di delega di cui all'art. 36 cpv. 5 aDSG, secondo cui questa comprenderebbe solo trattati di portata limitata, non riconosce il rapporto tra le diverse basi di autorizzazione di cui all'art. 7a RVOG. Una delega settoriale in una legge federale costituisce una lex specialis e consente a maggior ragione la conclusione di trattati di portata limitata e di trattati di portata più ampia.
39Il Consiglio federale decide se esiste un trattato di portata limitata o se rientra nella delega di cui all'art. 67 lett. a e b. Il Consiglio federale è tenuto a controllare se ha esercitato i suoi poteri. Per verificare che non ecceda i suoi poteri, l'art. 48a cpv. 2 RVOG obbliga il Consiglio federale a riferire annualmente all'Assemblea federale sui contratti conclusi, modificati e risolti da esso, dai dipartimenti, dai raggruppamenti o dagli uffici. Se l'Assemblea federale non è d'accordo con la suddivisione effettuata dal Consiglio federale, può chiedere con una mozione che il Consiglio federale sottoponga il contratto a una successiva approvazione.
Bibliografia
Cattaneo Gianni, Kommentierung zu Art. 67 DSG, in: Métille Sylvain/Meier Philippe (Hrsg,), Loi sur la protection des données LPD.
Dauag Apollo, Kommentierung zu Art. 67 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2022.
EDÖB, 29. Tätigkeitsbericht 2021/22, Bern 2022, abrufbar unter https://www.edoeb.admin.ch/edoeb/de/home/deredoeb/taetigkeitsberichte.html , besucht am 11.4.2023 (zit. 29. Tätigkeitsbericht).
EDÖB, Stellungnahme zur Übermittlung von Personendaten in die USA und weitere Staaten ohne angemessenes Datenschutzniveau, 8.9.2020, abrufbar unter https://www.edoeb.admin.ch/edoeb/de/home/kurzmeldungen/nsb_mm.msg-id-80318.html , besucht am 13.4.2023 (zit. Datenübermittlung).
Epiney Astrid, Kommentierung zu Art. 166 BV, in: Waldmann Bernhard/Belser Eva Maria/Epiney Astrid (Hrsg.), Basler Kommentar, Bundesverfassung, Basel 2015.
Epiney Astrid/Frei Nula, Die völker- und europarechtliche Einbettung des DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar Datenschutzgesetz, Zürich 2023, S. 33-57 (zit. DSG).
Epiney Astrid/Frei Nula, Zur Übernahme weiterentwickelten EU-Rechts durch den Bundesrat. Selbständige Vertragsschlusskompetenzen im Rahmen der Bilateralen Abkommen, am Beispiel der Liberalisierung des internationalen Schienenpersonenverkehrs, in: Jusletter 12.8.2019 (zit. Vertragsschlusskompetenzen).
Fey Marco, Kommentierung zu Art. 67 aDSG, in: Baeriswyl Bruno/Pärli Kurt (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, Bern 2015.
Fischer Philipp, Kommentierung zu Art. 16 DSG, in: Métille Sylvain/Meier Philippe (Hrsg,), Loi sur la protection des données LPD.
Frei Nula, Die Revision des Datenschutzgesetzes aus europarechtlicher Sicht, in: Jusletter 17.9.2018 (zit. Revision DSG).
Frei Nula, Die Datenschutz-Grundverordnung und die Schweiz, in: Epiney Astrid/Rovelli Sophia (Hrsg.), Datenschutz und Gesundheitsrecht, Zürich 2019 (zit. DSGVO).
Jauslin Carl/Spenlé Christoph, Kommentierung zu Art. 67 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar Datenschutzgesetz, Zürich 2023.
Kerboas Cécile/Lennman Catherine, Kommentierung zu Art. 55 DSG, in: Métille Sylvain/Meier Philippe (Hrsg,), Loi sur la protection des données LPD.
Kunz Christian, Kommentierung zu Art. 16 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar Datenschutzgesetz, Zürich 2023.
Métille Sylvain/Ackermann Annelise, RGPD : application territoriale et extraterritoriale, in: Epiney Astrid/Rovelli Sophia (Hrsg.), Datenschutzgrundverordnung (DSGVO): Tragweite und erste Erfahrungen, Zürich 2020.
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Rudin Beat/Husi-Stämpfli Sandra, Kommentierung zu Art. 36 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Basler Kommentar, Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.
Schmid Evelyne, Kommentierung zu Art. 166 BV, in: Martenet Vincent/Dubey Jacques (Hrsg.), Commentaire romand Constitution fédérale, Basel 2021.
Thürer Daniel, Kommentierung zu Art. 166 BV, in: Ehrenzeller Bernhard/Schindler Benjamin/Schweizer Rainer J./Vallender Klaus A. (Hrsg.), Bundesverfassung St. Galler Kommentar, 4. Aufl., Zürich 2023.
Tschannen Pierre, Staatsrecht der Schweizerischen Eidgenossenschaft, 4. Aufl., Bern 2016.
I Materiali
Botschaft zum Bundesgesetz über die Kompetenz zum Abschluss völkerrechtlicher Verträge von beschränkter Tragweite und über die vorläufige Anwendung völkerrechtlicher Verträge (Änderung des Regierungs- und Verwaltungsorganisationsgesetzes und des Parlamentsgesetzes) vom 4.7.2012, BBl 2012 7465 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2012/1138/de, besucht am 11.4.2023 (zit. Botschaft RVOG und ParlG).
Vorentwurf zum Bundesgesetz über den Datenschutz vom 21.12.2016, abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vorentw-d.pdf.download.pdf/vorentw-d.pdf, besucht am 11.4.2023 (zit. VE-DSG).
Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vn-ber-d.pdf.download.pdf/vn-ber-d.pdf, besucht am 11.4.2023 (zit. Erläuternder Bericht DSG).
Bundesamt für Justiz, Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 10.8.2017, abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/ve-ber-d.pdf.download.pdf/ve-ber-d.pdf, besucht am 11.4.2023 (zit. Vernehmlassungsergebnisse DSG).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 13.4.2023 (zit. Botschaft DSG).
Entwurf zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 7193 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2058/de, besucht am 11.4.2023 (zit. E-DSG).
Botschaft zur Genehmigung des Protokolls vom 10.10.2018 zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 6.12.2019, BBl 2020 565 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2020/60/de, besucht am 13.4.2023 (zit. Botschaft SEV 108+).