Secondo il Codice delle obbligazioni (art. 716), il consiglio d’amministrazione può deliberare su tutti gli affari che non siano attribuiti all’assemblea generale dalla legge o dallo statuto. Esso gestisce gli affari della società nella misura in cui non abbia delegato la gestione.
Inoltre, la nuova legge sulla protezione dei dati (LPD), che entra in vigore nel settembre del 2023, chiarisce le responsabilità di ciascuna parte. Sebbene il consiglio di amministrazione e i suoi membri non siano esplicitamente menzionati, la legge specifica che la persona o l’organo che determina lo scopo e i mezzi del trattamento dei dati è intimamente responsabile. Il consiglio di amministrazione rientra in questa logica e può quindi essere ritenuto responsabile.