¿Se aplica la LPD a las herramientas de IA como ChatGPT o Copilot utilizadas en empresas?
Sí. En el momento en que estas herramientas traten datos personales de personas físicas identificables (nombres, correos electrónicos, información sobre empleados o clientes), se aplica la nLPD. La empresa que utiliza estas herramientas es responsable del tratamiento. Debe asegurarse de que la finalidad esté documentada, de que las personas estén informadas y de que los datos no se reutilicen para fines no previstos por el proveedor. Es imprescindible verificar las condiciones contractuales del proveedor, especialmente en lo relativo a la localización de los datos y la reutilización para el entrenamiento de modelos.
¿Debe mi empresa nombrar un delegado de protección de datos (DPO) para usar IA?
La nLPD no hace obligatorio el DPO en las mismas condiciones que el RGPD/GDPR. Sin embargo, nombrar o designar a un responsable de protección de datos es muy recomendable cuando su empresa despliega sistemas de IA que tratan datos personales a gran escala o datos sensibles. Este responsable puede ser interno o externo (asesor jurídico, consultor especializado). Su función: supervisar el cumplimiento, realizar las AIPD, gestionar las solicitudes de las personas afectadas y servir de enlace con el PFPDT si es necesario.
¿Qué es una AIPD y en qué casos es obligatoria para un proyecto de IA?
Una Evaluación de Impacto sobre la Protección de Datos (AIPD) es una evaluación documentada de los riesgos que un tratamiento de datos supone para los derechos y libertades de las personas afectadas. Es obligatoria bajo la nLPD cuando el tratamiento puede presentar un riesgo elevado: tratamiento de datos sensibles a gran escala, elaboración extensiva de perfiles, decisiones automatizadas con efectos significativos, o vigilancia sistemática. Para la mayoría de los ambiciosos proyectos de IA en empresas (IA de RRHH, scoring de clientes, análisis de comportamiento), una AIPD es necesaria. Debe realizarse antes del despliegue.
¿Se puede entrenar un modelo de IA con los datos de clientes o empleados de la empresa?
Sí, bajo ciertas condiciones. Primero hay que disponer de una base legal válida para este nuevo tratamiento (la recopilación inicial de datos no es suficiente si la finalidad era diferente). Las personas afectadas deben ser informadas de este uso. Si los datos son sensibles, se requiere el consentimiento explícito u otra base legal sólida. La localización del modelo es determinante: un modelo alojado en servidores fuera de Suiza o del EEE implica una transferencia internacional de datos, sujeta a garantías adicionales. Documentar estas decisiones en su registro de tratamiento es imprescindible.
¿Qué prácticas de IA están prohibidas por la nLPD?
La nLPD no establece una lista exhaustiva, pero el PFPDT ha precisado que ciertas aplicaciones son incompatibles con los derechos fundamentales que protege: el reconocimiento facial generalizado en tiempo real en espacios públicos, los sistemas de puntuación social (social scoring) que evalúan sistemáticamente los comportamientos de los individuos, y cualquier recopilación o tratamiento de datos biométricos o sensibles sin una base legal sólida. El AI Act de la UE, que prohíbe explícitamente algunas de estas prácticas, puede aplicarse indirectamente a las empresas suizas que tratan datos de residentes de la UE.
¿Cuáles son las sanciones en caso de infracción de la nLPD en el contexto de IA?
La nLPD sanciona a las personas físicas, no directamente a la empresa. Las multas pueden alcanzar los 250.000 CHF por infracción. Los directivos, responsables de informática y colaboradores implicados están personalmente expuestos. Las infracciones más sancionables: no informar a las personas afectadas, no notificar una violación de datos, o infringir las normas sobre decisiones individuales automatizadas. Debe presentarse una denuncia para iniciar un procedimiento. El riesgo reputacional suele ser más preocupante que la propia multa.
¿Se aplican simultáneamente la nLPD y el RGPD/GDPR a mi empresa suiza?
Depende de su actividad. Si trata datos de residentes de la UE (clientes, socios, clientes potenciales), el RGPD/GDPR se aplica a esos tratamientos, independientemente de si su empresa está en Suiza o no. La nLPD se aplica a todos los tratamientos de datos de personas en Suiza. En la práctica, muchas empresas suizas deben respetar ambos marcos. La buena noticia es que están ampliamente alineados y una política de cumplimiento bien elaborada cubre ambos, siempre que se tengan en cuenta las pocas diferencias (sanciones, DPO, plazos de notificación).
¿Afecta el AI Act europeo a las empresas con sede en Suiza?
El AI Act de la UE no se aplica directamente en Suiza, que no es miembro de la UE. Sin embargo, si su empresa comercializa sistemas de IA en el mercado europeo, o si sus sistemas producen efectos sobre personas en la UE, las normas del AI Act pueden afectarle. Por otra parte, Suiza firmó el Convenio del Consejo de Europa sobre IA (marzo de 2025), cuya ratificación introducirá obligaciones complementarias, en particular para los sistemas de IA de alto riesgo.
¿Cómo elegir un proveedor de IA conforme a la nLPD?
Tres criterios principales: la localización de los datos (preferir servidores en Suiza o en la UE/EEE para evitar transferencias internacionales no reguladas), la política de reutilización de los datos (¿el proveedor utiliza sus datos para entrenar sus modelos? Si es así, ¿con qué base legal?), y la transparencia contractual (¿puede el proveedor proporcionarle un registro de subcontratistas, un DPA, garantías de seguridad documentadas?). Los modelos de código abierto desplegados en su infraestructura o en una infraestructura europea ofrecen generalmente la mejor respuesta a estos tres criterios.
¿Se aplica la nLPD a los modelos de IA de código abierto desplegados internamente?
Sí. La nLPD se aplica al responsable del tratamiento, es decir, a su empresa, independientemente de la naturaleza del modelo (código abierto o propietario, alojado internamente o en un tercero). Si su modelo de código abierto trata datos personales, se aplican todas las obligaciones de la nLPD: información, minimización, seguridad, AIPD si hay riesgo elevado, etc. La ventaja del código abierto desplegado internamente es precisamente darle control total sobre los datos y eliminar el riesgo de transferencia no deseada a un tercero.