La guía, sin jerga jurídica

IA y LPD/nLPD en Suiza: lo que implica

Un repaso claro de lo que la nueva Ley de Protección de Datos cambia para tus proyectos de IA y de cómo construimos respetando la residencia de los datos. Importante: no ofrecemos asesoramiento jurídico.

Alojamiento europeoOpen sourceTrazable

14'053+ sitios creados en los últimos 30 días

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
Alojamiento europeo
Open source
Trazable

Desde el 1 de septiembre de 2023, la nueva ley federal de protección de datos (nLPD) está en vigor en Suiza. No menciona la inteligencia artificial de forma explícita, y eso es intencional: la ley está formulada de manera tecnológicamente neutra. Consecuencia directa: cualquier sistema de IA que trate datos personales de personas físicas está sujeto a la nLPD, sin excepción. Esta guía explica lo que esto significa en la práctica para una empresa suiza que despliega o planea desplegar herramientas de IA, ya sea un chatbot interno, una herramienta de reclutamiento automatizado, un motor de recomendaciones o una solución de análisis de clientes.

14'053+
sitios creados en los últimos 30 días
16
idiomas
100%
alojamiento UE
0
US cloud

Los puntos clave que conviene conocer

Lo esencial, explicado de forma sencilla.

Residencia de los datos

Dónde se almacenan y se procesan tus datos importa. Construimos con alojamiento europeo y modelos open source.

Minimización

Procesar solo los datos necesarios: un principio sencillo que reduce el riesgo.

Transparencia y trazabilidad

Saber qué hace la IA con tus datos, con procesamientos registrados y auditables.

Subcontratistas

Elegir proveedores que no expongan tus datos a nubes de terceros no controladas.

La nLPD y la IA: el principio de neutralidad tecnológica

El Comisionado Federal de Protección de Datos y Transparencia (PFPDT) confirmó su posición en noviembre de 2023: la ley vigente de protección de datos es directamente aplicable a la IA. Suiza no tiene una ley específica sobre inteligencia artificial, a diferencia de la Unión Europea con su AI Act. El legislador suizo optó conscientemente por un enfoque basado en la neutralidad tecnológica: las normas existentes (nLPD, Código de Obligaciones, LRFP) se aplican a cualquier tecnología, incluida la IA. Esto significa que su CRM potenciado con IA, su herramienta de análisis predictivo o su asistente conversacional interno entran todos en el ámbito de aplicación de la nLPD en el momento en que tratan datos relacionados con una persona identificable.

  • Ninguna ley específica sobre IA en Suiza por el momento: la nLPD actúa como marco principal
  • Neutralidad tecnológica: el texto legal no menciona la IA pero se le aplica íntegramente
  • El PFPDT confirmó esta interpretación oficialmente en noviembre de 2023
  • El Convenio Marco del Consejo de Europa sobre IA (firmado por Suiza el 27 de marzo de 2025) reforzará este marco para 2026-2027
  • El AI Act europeo puede aplicarse indirectamente a empresas suizas que traten datos de residentes de la UE

Las cinco obligaciones fundamentales para todo uso de IA

Independientemente de la naturaleza del sistema de IA desplegado, cinco principios de la nLPD son vinculantes para la empresa responsable del tratamiento.

  • Transparencia: las personas afectadas deben saber que un sistema de IA trata sus datos, con qué finalidad y sobre qué base. La opacidad deliberada constituye una infracción.
  • Finalidad determinada: los datos recopilados para un propósito específico no pueden reutilizarse libremente para entrenar o mejorar un modelo de IA sin una base legal separada.
  • Minimización: un sistema de IA solo debe tratar los datos estrictamente necesarios para el objetivo perseguido. Agregar datos por si acaso sería una violación de este principio.
  • Exactitud: los datos que alimentan un sistema de IA deben mantenerse actualizados. Una decisión automatizada basada en datos obsoletos compromete la responsabilidad de la empresa.
  • Seguridad y trazabilidad: los tratamientos de IA deben registrarse en logs y los accesos deben estar controlados. En caso de violación de datos, la nLPD exige notificación a las autoridades sin demora injustificada (frente a las 72 horas del RGPD/GDPR).

Decisiones automatizadas y derecho de oposición: lo que sus usuarios pueden exigir

La nLPD otorga a las personas afectadas un derecho de oposición a las decisiones tomadas únicamente sobre la base de un tratamiento automatizado, siempre que dichas decisiones tengan efectos jurídicos o efectos significativos análogos sobre ellas. En concreto: si su herramienta de IA rechaza automáticamente una candidatura, fija una tarifa de seguro o deniega un crédito sin intervención humana, la persona afectada puede exigir que una persona física revise la decisión. El PFPDT lo formula en términos de alta autodeterminación digital: las empresas deben dar a las personas afectadas los medios para comprender y, si es necesario, impugnar las decisiones automatizadas que les afectan. Este derecho de oposición no es opcional: debe estar operativo antes del despliegue del sistema, no después.

  • Derecho de oposición a las decisiones automatizadas con efectos jurídicos o significativos
  • Obligación de prever un mecanismo de revisión humana a petición
  • La transparencia sobre el funcionamiento del algoritmo es una condición previa a este derecho
  • Sectores particularmente expuestos: RRHH (cribado de candidaturas), seguros (tarificación), banca (scoring de crédito), comercio electrónico (personalización discriminatoria)

¿Cuándo es obligatorio realizar una Evaluación de Impacto sobre la Protección de Datos (AIPD)?

La nLPD introduce la obligación de realizar una Evaluación de Impacto sobre la Protección de Datos (AIPD, o DPIA en inglés) antes de cualquier tratamiento que pueda presentar un riesgo elevado para los derechos y libertades fundamentales de las personas afectadas. Para los sistemas de IA, el umbral de riesgo elevado se alcanza rápidamente. Una AIPD es necesaria en particular cuando: el tratamiento afecta a datos sensibles a gran escala (salud, opiniones políticas, datos biométricos), el sistema realiza una elaboración extensiva de perfiles de personas, las decisiones automatizadas tienen efectos legales o económicos significativos, o el tratamiento implica la vigilancia sistemática de un espacio accesible al público. La AIPD debe realizarse antes del lanzamiento, documentarse y actualizarse si el sistema evoluciona. Si el análisis revela un riesgo residual elevado no mitigado, puede consultarse al PFPDT.

  • Tratamiento de datos sensibles a gran escala: AIPD obligatoria
  • Elaboración extensiva de perfiles o scoring automatizado: AIPD obligatoria
  • Decisiones automatizadas con efectos legales o económicos significativos: AIPD obligatoria
  • Vigilancia sistemática de espacios públicos: AIPD obligatoria
  • La AIPD debe realizarse antes del despliegue, no tras un incidente
  • El PFPDT puede ser consultado si persiste un riesgo residual elevado

Prácticas de IA prohibidas por la nLPD

Si bien la nLPD no establece una lista exhaustiva de usos de IA prohibidos, ciertas prácticas son claramente incompatibles con los derechos fundamentales que protege, así como con las posiciones del PFPDT.

  • Reconocimiento facial en tiempo real a gran escala en espacios públicos: incompatible con la nLPD y los derechos fundamentales
  • Sistemas de puntuación social (social scoring) que evalúan sistemáticamente a los individuos en el conjunto de su comportamiento: incompatibles con la autodeterminación informacional protegida por la LPD
  • Recopilación y tratamiento de datos biométricos sin una base legal sólida y sin una finalidad legítima y documentada
  • Entrenamiento de modelos de IA con datos personales desviados de su finalidad original, sin una base legal separada
  • Tratamiento de datos sensibles (salud, origen racial, opiniones políticas) sin consentimiento explícito o sin otra base legal admitida

Entrenar un modelo de IA con sus datos internos: lo que dice la nLPD

Uno de los casos más frecuentes en empresas: usar datos internos (correos electrónicos, expedientes de RRHH, historiales de clientes, contratos) para entrenar o afinar un modelo de IA. La nLPD impone varias salvaguardas. Primero, la finalidad: los datos recopilados para gestionar contratos de clientes no pueden reutilizarse para entrenar un modelo de IA sin una base legal separada. Luego, la localización: si el modelo está alojado por un proveedor fuera de Suiza o fuera del EEE, se produce una transferencia internacional de datos, sujeta a las garantías adecuadas de la nLPD. Por último, la opacidad de los modelos: una vez entrenado, es difícil garantizar que ningún dato personal pueda ser extraído o deducido. Una arquitectura soberana, con un modelo desplegado en una infraestructura europea o en sus propios servidores, es la respuesta más robusta a este problema.

  • Verificar la base legal antes de cualquier reutilización de datos internos para la IA
  • Documentar la finalidad del entrenamiento y asegurarse de su compatibilidad con la recopilación inicial
  • Identificar si se produce una transferencia internacional (proveedor estadounidense, nube fuera del EEE) e implementar las garantías adecuadas
  • Clasificar sus datos (públicos, internos, confidenciales, sensibles) antes de decidir cuáles pueden alimentar un modelo
  • Dar preferencia a los modelos de código abierto desplegados en infraestructura europea para evitar la extraterritorialidad
  • Documentar las decisiones de arquitectura en un registro de tratamiento

Sanciones nLPD: responsabilidad personal e importes

Un punto frecuentemente subestimado: a diferencia del RGPD/GDPR, que sanciona a la empresa, la nLPD sanciona en primer lugar a las personas físicas. Son los directivos, los responsables de informática y determinados colaboradores quienes pueden ser procesados y condenados a multas personales. El importe máximo es de 250.000 CHF por infracción. Las infracciones más expuestas son: el incumplimiento de la obligación de informar, la falta de notificación de una violación de datos a la autoridad competente, o la infracción de las obligaciones relativas a las decisiones individuales automatizadas. La sanción no es automática: debe presentarse una denuncia. Pero el riesgo reputacional, en caso de procedimiento público, puede ser superior a la propia multa.

  • Sanción máxima: 250.000 CHF por infracción (multa personal, no empresarial)
  • Personas expuestas: directivos, responsables de TI, DPO, colaboradores implicados
  • Infracciones más frecuentemente sancionadas: falta de información, ausencia de notificación de violación, infracción de las normas sobre decisiones automatizadas
  • No hay multa automática: se necesita una denuncia (a diferencia del RGPD/GDPR)
  • El riesgo reputacional puede ser potencialmente más elevado que la propia multa

LPD vs RGPD/GDPR: las diferencias clave para los proyectos de IA

Muchas empresas suizas también tratan datos de residentes europeos y, por lo tanto, están sujetas al RGPD/GDPR en paralelo a la nLPD. Ambos marcos son similares en lo esencial, pero difieren en varios puntos importantes. A continuación se presentan las diferencias más significativas para un proyecto de IA.

  • Sanciones: el RGPD/GDPR se dirige a las empresas (hasta el 4% del volumen de negocios mundial), la nLPD se dirige a las personas físicas (máximo 250.000 CHF)
  • DPO: obligatorio en determinados casos bajo el RGPD/GDPR, recomendado pero no obligatorio bajo la nLPD
  • Notificación de violación: 72 horas para el RGPD/GDPR, sin demora injustificada para la nLPD (más flexible pero también más vago)
  • Consentimiento: la nLPD no exige el consentimiento explícito como única base legal, a diferencia del RGPD/GDPR que lo convierte en un fundamento central
  • Alcance extraterritorial: el RGPD/GDPR se aplica en cuanto un residente de la UE esté implicado, aunque la empresa esté en Suiza
  • AI Act de la UE: no se aplica directamente en Suiza, pero una empresa suiza que comercializa en la UE puede estar sujeta a él

Perspectivas regulatorias 2025-2027: lo que se avecina

El marco legal suizo sobre la IA está en movimiento. Varias evoluciones deben anticiparse para las empresas que despliegan sistemas de IA.

  • Convenio del Consejo de Europa sobre IA (CETS 225): Suiza lo firmó el 27 de marzo de 2025. Su ratificación creará obligaciones adicionales, en particular en materia de sistemas de IA de alto riesgo y supervisión por parte de las autoridades
  • AI Act de la UE en vigor progresivamente hasta 2026: las empresas suizas que operan en el mercado de la UE pueden verse afectadas, especialmente para los sistemas de IA de alto riesgo (RRHH, crédito, salud, infraestructuras críticas)
  • Posible revisión de la nLPD: el Consejo Federal sigue la evolución europea y una adaptación es posible en el horizonte 2026-2027
  • Ordenanza federal sobre el uso de la IA en la administración: en consulta, podría inspirar normas sectoriales privadas
  • Creciente influencia del PFPDT: más tomas de posición sectoriales sobre usos específicos de la IA (chatbots, elaboración de perfiles, IA generativa)

Lista de verificación: diez acciones concretas para una IA conforme a la nLPD

Este es un punto de partida operativo para las empresas que despliegan o planean desplegar herramientas de IA. Esta lista no es un asesoramiento jurídico: consulte a un abogado especializado para su situación específica.

  • 1. Cartografiar: elaborar la lista de todas las herramientas de IA utilizadas en su organización e identificar cuáles tratan datos personales
  • 2. Clasificar los datos: distinguir entre datos públicos, internos, confidenciales y sensibles antes de decidir cuáles pueden alimentar un modelo
  • 3. Documentar la finalidad: para cada tratamiento de IA, documentar la finalidad precisa en su registro de actividades de tratamiento
  • 4. Evaluar el riesgo: determinar si un tratamiento requiere una AIPD (datos sensibles, elaboración de perfiles, decisiones automatizadas de impacto)
  • 5. Informar: asegurarse de que los avisos de información (política de privacidad, avisos de tratamiento) cubran explícitamente los usos de IA
  • 6. Prever la oposición: establecer un mecanismo operativo de recurso humano para toda decisión automatizada significativa
  • 7. Controlar a los subcontratistas: verificar las garantías ofrecidas por sus proveedores de IA (localización, transferencias, certificaciones)
  • 8. Formar a los equipos: sensibilizar a los colaboradores sobre las obligaciones de la nLPD en el contexto de IA, especialmente los equipos de RRHH, marketing e informática
  • 9. Probar y auditar: prever auditorías periódicas de los sistemas de IA para verificar el cumplimiento y la ausencia de sesgos discriminatorios
  • 10. Mantener un registro actualizado: actualizar la documentación cada vez que evolucione el sistema de IA o la normativa

nLPD vs RGPD/GDPR: las diferencias esenciales para sus proyectos de IA

La mayoría de las empresas suizas deben compaginar ambos marcos. Aquí están las diferencias más importantes que debe conocer para estructurar sus proyectos de IA.

CriterionLPD (Suiza)RGPD/GDPR (UE)
Entrada en vigor1 de septiembre de 202325 de mayo de 2018
SancionesMáximo 250.000 CHF, multa personalHasta el 4% del volumen de negocios mundial, multa a la empresa
DPO (delegado de protección de datos)Recomendado, no obligatorio para pymesObligatorio en determinados casos
Plazo de notificación de violaciónSin demora injustificada (más flexible)72 horas como máximo
Consentimiento como base legalUna base entre varias (más flexible)Central pero regulada
AIPD obligatoriaSí, para tratamientos de alto riesgoSí, para tratamientos de alto riesgo
Alcance extraterritorialSe aplica si la empresa trata datos de personas en SuizaSe aplica en cuanto un residente de la UE esté implicado
Ley específica de IANinguna (neutralidad tecnológica)AI Act en vigor progresivamente hasta 2026

Nuestro papel

Construimos respetando tus datos

No hacemos derecho, pero construimos la IA de forma que respete la residencia y la confidencialidad de tus datos.

Alojamiento europeo

Infraestructura en Europa (Hetzner), sin nube de EE. UU.

Open source

Modelos open source en nuestra infraestructura, tus datos no sirven para entrenar ningún modelo.

Trazable

Procesamientos registrados y auditables.

swissIa.lpdNlpdSuisse.localContextTitle

Suiza dispone de una autoridad independiente dedicada: el Comisionado Federal de Protección de Datos y Transparencia (PFPDT), con sede en Berna, que emite recomendaciones y puede abrir investigaciones preliminares.
Los cantones de Vaud, Genève, Fribourg y Neuchâtel tienen sus propias legislaciones cantonales de protección de datos, aplicables a las entidades públicas cantonales. Para las empresas privadas, prevalece la nLPD federal.
La Suiza francófona cuenta con varios actores especializados en conformidad nLPD e IA: bufetes de abogados especializados (especialmente en Genève y Lausanne), consultores de protección de datos y proveedores tecnológicos que integran el cumplimiento desde el diseño.
El sector financiero suizo (bancos, aseguradoras, gestión de patrimonio) está particularmente expuesto a las obligaciones de la nLPD en el contexto de IA, dada la naturaleza sensible de los datos tratados y las frecuentes decisiones automatizadas (scoring, detección de fraude, asesoramiento automatizado).
El Convenio Marco del Consejo de Europa sobre IA (firmado por Suiza el 27 de marzo de 2025) es el primer tratado internacional jurídicamente vinculante sobre IA. Su ratificación por el Parlamento suizo creará obligaciones formales adicionales.

Preguntas frecuentes

¿Se aplica la LPD a las herramientas de IA como ChatGPT o Copilot utilizadas en empresas?

Sí. En el momento en que estas herramientas traten datos personales de personas físicas identificables (nombres, correos electrónicos, información sobre empleados o clientes), se aplica la nLPD. La empresa que utiliza estas herramientas es responsable del tratamiento. Debe asegurarse de que la finalidad esté documentada, de que las personas estén informadas y de que los datos no se reutilicen para fines no previstos por el proveedor. Es imprescindible verificar las condiciones contractuales del proveedor, especialmente en lo relativo a la localización de los datos y la reutilización para el entrenamiento de modelos.

¿Debe mi empresa nombrar un delegado de protección de datos (DPO) para usar IA?

La nLPD no hace obligatorio el DPO en las mismas condiciones que el RGPD/GDPR. Sin embargo, nombrar o designar a un responsable de protección de datos es muy recomendable cuando su empresa despliega sistemas de IA que tratan datos personales a gran escala o datos sensibles. Este responsable puede ser interno o externo (asesor jurídico, consultor especializado). Su función: supervisar el cumplimiento, realizar las AIPD, gestionar las solicitudes de las personas afectadas y servir de enlace con el PFPDT si es necesario.

¿Qué es una AIPD y en qué casos es obligatoria para un proyecto de IA?

Una Evaluación de Impacto sobre la Protección de Datos (AIPD) es una evaluación documentada de los riesgos que un tratamiento de datos supone para los derechos y libertades de las personas afectadas. Es obligatoria bajo la nLPD cuando el tratamiento puede presentar un riesgo elevado: tratamiento de datos sensibles a gran escala, elaboración extensiva de perfiles, decisiones automatizadas con efectos significativos, o vigilancia sistemática. Para la mayoría de los ambiciosos proyectos de IA en empresas (IA de RRHH, scoring de clientes, análisis de comportamiento), una AIPD es necesaria. Debe realizarse antes del despliegue.

¿Se puede entrenar un modelo de IA con los datos de clientes o empleados de la empresa?

Sí, bajo ciertas condiciones. Primero hay que disponer de una base legal válida para este nuevo tratamiento (la recopilación inicial de datos no es suficiente si la finalidad era diferente). Las personas afectadas deben ser informadas de este uso. Si los datos son sensibles, se requiere el consentimiento explícito u otra base legal sólida. La localización del modelo es determinante: un modelo alojado en servidores fuera de Suiza o del EEE implica una transferencia internacional de datos, sujeta a garantías adicionales. Documentar estas decisiones en su registro de tratamiento es imprescindible.

¿Qué prácticas de IA están prohibidas por la nLPD?

La nLPD no establece una lista exhaustiva, pero el PFPDT ha precisado que ciertas aplicaciones son incompatibles con los derechos fundamentales que protege: el reconocimiento facial generalizado en tiempo real en espacios públicos, los sistemas de puntuación social (social scoring) que evalúan sistemáticamente los comportamientos de los individuos, y cualquier recopilación o tratamiento de datos biométricos o sensibles sin una base legal sólida. El AI Act de la UE, que prohíbe explícitamente algunas de estas prácticas, puede aplicarse indirectamente a las empresas suizas que tratan datos de residentes de la UE.

¿Cuáles son las sanciones en caso de infracción de la nLPD en el contexto de IA?

La nLPD sanciona a las personas físicas, no directamente a la empresa. Las multas pueden alcanzar los 250.000 CHF por infracción. Los directivos, responsables de informática y colaboradores implicados están personalmente expuestos. Las infracciones más sancionables: no informar a las personas afectadas, no notificar una violación de datos, o infringir las normas sobre decisiones individuales automatizadas. Debe presentarse una denuncia para iniciar un procedimiento. El riesgo reputacional suele ser más preocupante que la propia multa.

¿Se aplican simultáneamente la nLPD y el RGPD/GDPR a mi empresa suiza?

Depende de su actividad. Si trata datos de residentes de la UE (clientes, socios, clientes potenciales), el RGPD/GDPR se aplica a esos tratamientos, independientemente de si su empresa está en Suiza o no. La nLPD se aplica a todos los tratamientos de datos de personas en Suiza. En la práctica, muchas empresas suizas deben respetar ambos marcos. La buena noticia es que están ampliamente alineados y una política de cumplimiento bien elaborada cubre ambos, siempre que se tengan en cuenta las pocas diferencias (sanciones, DPO, plazos de notificación).

¿Afecta el AI Act europeo a las empresas con sede en Suiza?

El AI Act de la UE no se aplica directamente en Suiza, que no es miembro de la UE. Sin embargo, si su empresa comercializa sistemas de IA en el mercado europeo, o si sus sistemas producen efectos sobre personas en la UE, las normas del AI Act pueden afectarle. Por otra parte, Suiza firmó el Convenio del Consejo de Europa sobre IA (marzo de 2025), cuya ratificación introducirá obligaciones complementarias, en particular para los sistemas de IA de alto riesgo.

¿Cómo elegir un proveedor de IA conforme a la nLPD?

Tres criterios principales: la localización de los datos (preferir servidores en Suiza o en la UE/EEE para evitar transferencias internacionales no reguladas), la política de reutilización de los datos (¿el proveedor utiliza sus datos para entrenar sus modelos? Si es así, ¿con qué base legal?), y la transparencia contractual (¿puede el proveedor proporcionarle un registro de subcontratistas, un DPA, garantías de seguridad documentadas?). Los modelos de código abierto desplegados en su infraestructura o en una infraestructura europea ofrecen generalmente la mejor respuesta a estos tres criterios.

¿Se aplica la nLPD a los modelos de IA de código abierto desplegados internamente?

Sí. La nLPD se aplica al responsable del tratamiento, es decir, a su empresa, independientemente de la naturaleza del modelo (código abierto o propietario, alojado internamente o en un tercero). Si su modelo de código abierto trata datos personales, se aplican todas las obligaciones de la nLPD: información, minimización, seguridad, AIPD si hay riesgo elevado, etc. La ventaja del código abierto desplegado internamente es precisamente darle control total sobre los datos y eliminar el riesgo de transferencia no deseada a un tercero.

¿Un proyecto de IA que respete tus datos?

Hablemos de tu caso. Construimos respetando la residencia de los datos.

Solicitar una Demo Personalizada

Cuéntanos sobre tu equipo y nos pondremos en contacto en 24 horas.

Nunca compartiremos tu información. Espera una respuesta en 24 horas.

IA y LPD/nLPD en Suiza | Lo que implica (guía)