La LPD si applica agli strumenti di IA come ChatGPT o Copilot utilizzati in azienda?
Sì. Non appena questi strumenti trattano dati personali di persone fisiche identificabili (nomi, email, informazioni su dipendenti o clienti), la nLPD si applica. L'azienda che utilizza questi strumenti è responsabile del trattamento. Deve assicurarsi che la finalità sia documentata, che le persone siano informate e che i dati non vengano riutilizzati per scopi non previsti dal fornitore. È indispensabile verificare le condizioni contrattuali del fornitore, in particolare riguardo alla localizzazione dei dati e al loro riutilizzo per l'addestramento dei modelli.
La mia azienda deve nominare un responsabile della protezione dei dati (DPO) per utilizzare l'IA?
La nLPD non rende il DPO obbligatorio alle stesse condizioni del RGPD. Tuttavia, nominare o mandatare un responsabile della protezione dei dati è fortemente raccomandato quando la propria azienda distribuisce sistemi di IA che trattano dati personali su larga scala o dati sensibili. Tale responsabile può essere interno o esterno (consulente legale, consulente specializzato). Il suo ruolo: supervisionare la conformità, effettuare le AIPD, gestire le richieste delle persone interessate e assicurare il collegamento con l'IFPDT se necessario.
Che cos'è un'AIPD e in quali casi è obbligatoria per un progetto di IA?
Un'Analisi d'Impatto sulla Protezione dei Dati (AIPD) è una valutazione documentata dei rischi che un trattamento di dati comporta per i diritti e le libertà delle persone interessate. È obbligatoria sotto la nLPD quando il trattamento è suscettibile di presentare un rischio elevato: trattamento di dati sensibili su larga scala, profilazione estensiva, decisioni automatizzate con effetti significativi, o sorveglianza sistematica. Per la maggior parte dei progetti di IA ambiziosi in azienda (IA HR, scoring clienti, analisi comportamentale), un'AIPD è necessaria. Deve essere effettuata prima della distribuzione.
È possibile addestrare un modello di IA con i dati di clienti o dipendenti dell'azienda?
Sì, a determinate condizioni. Occorre innanzitutto disporre di una base giuridica valida per questo nuovo trattamento (la raccolta iniziale dei dati non è sufficiente se la finalità era diversa). Le persone interessate devono essere informate di tale utilizzo. Se i dati sono sensibili, è richiesto il consenso esplicito o un'altra base giuridica solida. La localizzazione del modello è determinante: un modello ospitato su server al di fuori della Svizzera o dello SEE implica un trasferimento internazionale di dati, soggetto a garanzie aggiuntive. È indispensabile documentare queste decisioni nel proprio registro dei trattamenti.
Quali pratiche di IA sono vietate dalla nLPD?
La nLPD non stabilisce un elenco esaustivo, ma l'IFPDT ha precisato che alcune applicazioni sono incompatibili con i diritti fondamentali che tutela: il riconoscimento facciale generalizzato in tempo reale negli spazi pubblici, i sistemi di punteggio sociale (social scoring) che valutano sistematicamente il comportamento degli individui, e qualsiasi raccolta o trattamento di dati biometrici o sensibili senza una solida base giuridica. L'AI Act dell'UE, che vieta esplicitamente alcune di queste pratiche, può applicarsi indirettamente alle aziende svizzere che trattano dati di residenti UE.
Quali sono le sanzioni in caso di violazione della nLPD nel contesto dell'IA?
La nLPD sanziona le persone fisiche, non direttamente l'azienda. Le ammende possono raggiungere i 250'000 CHF per violazione. I dirigenti, i responsabili informatici e i collaboratori coinvolti sono personalmente esposti. Le violazioni più sanzionabili: non informare le persone interessate, non notificare una violazione dei dati, o violare le norme sulle decisioni individuali automatizzate. Per avviare un procedimento è necessaria una denuncia. Il rischio reputazionale è spesso più preoccupante della sanzione stessa.
La nLPD e il RGPD si applicano simultaneamente alla mia azienda svizzera?
Dipende dalla vostra attività. Se trattate dati di residenti dell'UE (clienti, partner, prospect), il RGPD si applica a tali trattamenti, indipendentemente dal fatto che la vostra azienda abbia sede in Svizzera o meno. La nLPD si applica a tutti i trattamenti di dati di persone in Svizzera. In pratica, molte aziende svizzere devono rispettare entrambi i quadri normativi. La buona notizia è che i due sono ampiamente allineati e una politica di conformità ben costruita copre entrambi, a condizione di tener conto delle poche differenze (sanzioni, DPO, termini di notifica).
L'AI Act europeo riguarda le aziende con sede in Svizzera?
L'AI Act dell'UE non si applica direttamente in Svizzera, che non è membro dell'UE. Tuttavia, se la vostra azienda immette sul mercato europeo sistemi di IA, o se i vostri sistemi producono effetti su persone nell'UE, le norme dell'AI Act possono riguardarvi. Inoltre, la Svizzera ha firmato la Convenzione del Consiglio d'Europa sull'IA (marzo 2025), la cui ratifica introdurrà obblighi complementari, in particolare per i sistemi di IA ad alto rischio.
Come scegliere un fornitore di IA conforme alla nLPD?
Tre criteri principali: la localizzazione dei dati (preferire server in Svizzera o in UE/SEE per evitare trasferimenti internazionali non regolamentati), la politica di riutilizzo dei dati (il fornitore utilizza i vostri dati per addestrare i propri modelli? Se sì, su quale base giuridica?), e la trasparenza contrattuale (il fornitore può fornirvi un registro dei subfornitori, un DPA, garanzie di sicurezza documentate?). I modelli open source distribuiti sulla vostra infrastruttura o su un'infrastruttura europea offrono generalmente la migliore risposta a questi tre criteri.
La nLPD si applica ai modelli di IA open source distribuiti internamente?
Sì. La nLPD si applica al responsabile del trattamento, ovvero alla vostra azienda, indipendentemente dalla natura del modello (open source o proprietario, ospitato internamente o presso terzi). Se il vostro modello open source tratta dati personali, si applicano tutti gli obblighi della nLPD: informazione, minimizzazione, sicurezza, AIPD se c'è rischio elevato, ecc. Il vantaggio dell'open source distribuito internamente è precisamente quello di darvi il controllo totale sui dati ed eliminare il rischio di trasferimento indesiderato a terzi.