La guida, senza gergo legale

IA e LPD/nLPD in Svizzera: cosa comporta

Un punto chiaro su cosa cambia la nuova Legge sulla protezione dei dati per i vostri progetti IA, e come costruiamo rispettando la residenza dei dati. Importante: non forniamo consulenza legale.

Hosting europeoOpen sourceTracciabile

14'036+ siti creati negli ultimi 30 giorni

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
Hosting europeo
Open source
Tracciabile

Dal 1° settembre 2023 è in vigore in Svizzera la nuova legge sulla protezione dei dati (nLPD). Essa non cita esplicitamente l'intelligenza artificiale, e ciò è voluto: la legge è formulata in modo tecnologicamente neutro. La conseguenza diretta è che qualsiasi sistema di IA che tratti dati personali di persone fisiche è soggetto alla nLPD, punto. Questa guida spiega cosa significa concretamente per un'azienda svizzera che distribuisce o intende distribuire strumenti di IA, sia che si tratti di un chatbot interno, di uno strumento di reclutamento automatizzato, di un motore di raccomandazione o di una soluzione di analisi della clientela.

14'036+
siti creati negli ultimi 30 giorni
16
lingue
100%
hosting UE
0
US cloud

I punti chiave da conoscere

L'essenziale, spiegato in modo semplice.

Residenza dei dati

Dove sono archiviati e trattati i vostri dati conta. Costruiamo con hosting europeo e modelli open source.

Minimizzazione

Trattare solo i dati necessari: un principio semplice che riduce il rischio.

Trasparenza e tracciabilità

Sapere cosa fa l'IA dei vostri dati, con trattamenti registrati e verificabili.

Subappaltatori

Scegliere fornitori che non espongono i vostri dati a cloud di terzi non controllati.

La nLPD e l'IA: il principio di neutralità tecnologica

L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha confermato la propria posizione nel novembre 2023: la legge vigente sulla protezione dei dati si applica direttamente all'IA. La Svizzera non ha una legge specifica sull'intelligenza artificiale, a differenza dell'Unione Europea e del suo AI Act. Il legislatore svizzero ha deliberatamente scelto un approccio fondato sulla neutralità tecnologica: le norme esistenti (nLPD, Codice delle obbligazioni, LRFP) si applicano a qualsiasi tecnologia, compresa l'IA. Ciò significa che il vostro fornitore di CRM potenziato dall'IA, il vostro strumento di analisi predittiva o il vostro assistente conversazionale interno rientrano tutti nel campo di applicazione della nLPD non appena trattano dati riferibili a una persona identificabile.

  • Nessuna legge dedicata all'IA in Svizzera ad oggi: la nLPD funge da quadro principale
  • Neutralità tecnologica: il testo di legge non cita l'IA ma vi si applica integralmente
  • L'IFPDT ha confermato ufficialmente questa interpretazione nel novembre 2023
  • La Convenzione quadro del Consiglio d'Europa sull'IA (firmata dalla Svizzera il 27 marzo 2025) rafforzerà questo dispositivo entro il 2026-2027
  • L'AI Act europeo può applicarsi indirettamente alle aziende svizzere che trattano dati di residenti UE

I cinque obblighi fondamentali per qualsiasi utilizzo dell'IA

Indipendentemente dalla natura del sistema di IA distribuito, cinque principi della nLPD si impongono all'azienda responsabile del trattamento.

  • Trasparenza: le persone interessate devono sapere che un sistema di IA tratta i loro dati, a quale scopo e su quale base. L'opacità deliberata costituisce una violazione.
  • Finalità determinata: i dati raccolti per uno scopo preciso non possono essere riutilizzati liberamente per addestrare o migliorare un modello di IA senza una base giuridica distinta.
  • Minimizzazione: un sistema di IA deve trattare solo i dati strettamente necessari all'obiettivo perseguito. Aggregare dati "nel caso" costituirebbe una violazione di questo principio.
  • Esattezza: i dati che alimentano un sistema di IA devono essere tenuti aggiornati. Una decisione automatizzata basata su dati obsoleti comporta la responsabilità dell'azienda.
  • Sicurezza e tracciabilità: i trattamenti di IA devono essere registrati e gli accessi controllati. In caso di violazione dei dati, la nLPD impone una notifica alle autorità senza indugio ingiustificato (contro le 72 ore del RGPD).

Decisioni automatizzate e diritto di opposizione: cosa possono esigere i vostri utenti

La nLPD conferisce alle persone interessate un diritto di opposizione alle decisioni adottate unicamente sulla base di un trattamento automatizzato, qualora tali decisioni abbiano effetti giuridici o effetti significativi analoghi su di loro. In concreto: se il vostro strumento di IA rifiuta automaticamente una candidatura, fissa una tariffa assicurativa o rifiuta un credito senza intervento umano, la persona interessata può esigere che una persona fisica riesamini la decisione. L'IFPDT formula ciò in termini di elevata autodeterminazione digitale: le aziende devono dare alle persone interessate i mezzi per comprendere e, se necessario, contestare le decisioni automatizzate che le riguardano. Tale diritto di opposizione non è facoltativo: deve essere operativo prima della distribuzione del sistema, non dopo.

  • Diritto di opposizione alle decisioni automatizzate aventi effetti giuridici o significativi
  • Obbligo di prevedere un meccanismo di riesame umano su richiesta
  • La trasparenza sul funzionamento dell'algoritmo è una condizione preliminare a tale diritto
  • Settori particolarmente esposti: risorse umane (selezione delle candidature), assicurazioni (tariffazione), banche (scoring del credito), e-commerce (personalizzazione discriminante)

Quando è obbligatoria un'Analisi d'Impatto sulla Protezione dei Dati (AIPD)?

La nLPD introduce l'obbligo di effettuare un'Analisi d'Impatto sulla Protezione dei Dati (AIPD, o DPIA in inglese) prima di qualsiasi trattamento suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali delle persone interessate. Per i sistemi di IA, la soglia del rischio elevato viene raggiunta rapidamente. Un'AIPD è richiesta in particolare quando: il trattamento riguarda dati sensibili su larga scala (salute, opinioni politiche, dati biometrici), il sistema effettua una profilazione estensiva delle persone, le decisioni automatizzate hanno effetti legali o economici significativi, oppure il trattamento implica la sorveglianza sistematica di uno spazio accessibile al pubblico. L'AIPD deve essere effettuata prima del lancio, documentata e aggiornata se il sistema evolve. Se l'analisi rivela un rischio residuo elevato non attenuato, può essere consultato l'IFPDT.

  • Trattamento di dati sensibili su larga scala: AIPD obbligatoria
  • Profilazione estensiva o scoring automatizzato: AIPD obbligatoria
  • Decisioni automatizzate con effetti legali o economici significativi: AIPD obbligatoria
  • Sorveglianza sistematica di spazi pubblici: AIPD obbligatoria
  • L'AIPD deve essere effettuata prima della distribuzione, non dopo un incidente
  • L'IFPDT può essere consultato se sussiste un rischio residuo elevato

Pratiche di IA vietate dalla nLPD

Se la nLPD non stabilisce un elenco esaustivo degli usi di IA vietati, alcune pratiche sono chiaramente incompatibili con i diritti fondamentali che tutela, nonché con le posizioni dell'IFPDT.

  • Riconoscimento facciale in tempo reale su larga scala negli spazi pubblici: incompatibile con la nLPD e i diritti fondamentali
  • Sistemi di punteggio sociale (social scoring) che valutano sistematicamente gli individui sull'insieme del loro comportamento: incompatibili con l'autodeterminazione informazionale tutelata dalla LPD
  • Raccolta e trattamento di dati biometrici senza una solida base giuridica e senza una finalità legittima e documentata
  • Addestramento di modelli di IA con dati personali sottratti alla loro finalità originaria, senza una base giuridica distinta
  • Trattamenti di dati sensibili (salute, origine razziale, opinioni politiche) senza consenso esplicito o senza altra base giuridica ammessa

Addestrare un modello di IA con i vostri dati interni: cosa prevede la nLPD

Uno dei casi più frequenti in azienda: utilizzare dati interni (email, fascicoli HR, cronologie clienti, contratti) per addestrare o affinare un modello di IA. La nLPD impone diverse salvaguardie. Innanzitutto, la finalità: i dati raccolti per gestire contratti con i clienti non possono essere riutilizzati per addestrare un modello di IA senza una base giuridica distinta. Poi, la localizzazione: se il modello è ospitato da un fornitore al di fuori della Svizzera o dello SEE, si verifica un trasferimento internazionale di dati, soggetto alle garanzie adeguate previste dalla nLPD. Infine, l'opacità dei modelli: una volta addestrato, è difficile garantire che nessun dato personale possa essere estratto o dedotto. Un'architettura sovrana, con un modello distribuito su un'infrastruttura europea o sui propri server, è la risposta più robusta a questo problema.

  • Verificare la base giuridica prima di qualsiasi riutilizzo di dati interni per l'IA
  • Documentare la finalità dell'addestramento e assicurarsi della sua compatibilità con la raccolta iniziale
  • Identificare se si verifica un trasferimento internazionale (fornitore statunitense, cloud al di fuori dello SEE) e predisporre le garanzie adeguate
  • Classificare i propri dati (pubblici, interni, riservati, sensibili) prima di decidere quali possono alimentare un modello
  • Privilegiare i modelli open source distribuiti su infrastruttura europea per evitare l'extraterritorialità
  • Documentare le decisioni architetturali in un registro dei trattamenti

Sanzioni nLPD: responsabilità personale e importi

Un aspetto spesso sottovalutato: a differenza del RGPD, che sanziona l'azienda, la nLPD sanziona in primo luogo le persone fisiche. Sono i dirigenti, i responsabili informatici e alcuni collaboratori che possono essere perseguiti e condannati a sanzioni pecuniarie personali. L'importo massimo è di 250'000 CHF per violazione. Le violazioni maggiormente esposte riguardano: il mancato rispetto dell'obbligo di informare, la mancata notifica di una violazione dei dati all'autorità competente, o la violazione degli obblighi relativi alle decisioni individuali automatizzate. La sanzione non è automatica: deve essere presentata una denuncia. Tuttavia, il rischio reputazionale, in caso di procedimento pubblico, può essere superiore alla sanzione stessa.

  • Sanzione massima: 250'000 CHF per violazione (ammenda personale, non aziendale)
  • Persone esposte: dirigenti, responsabili IT, DPO, collaboratori coinvolti
  • Violazioni più frequentemente sanzionate: mancata informazione, assenza di notifica di violazione, violazione delle norme sulle decisioni automatizzate
  • Nessuna ammenda automatica: è necessaria una denuncia (a differenza del RGPD)
  • Il rischio reputazionale è potenzialmente più elevato della sanzione stessa

LPD vs RGPD: le differenze chiave per i progetti di IA

Molte aziende svizzere trattano anche dati di residenti europei e sono quindi soggette al RGPD parallelamente alla nLPD. I due quadri normativi si assomigliano nell'essenziale ma divergono su diversi punti importanti. Di seguito le differenze più significative per un progetto di IA.

  • Sanzioni: il RGPD riguarda le aziende (fino al 4% del fatturato mondiale), la nLPD riguarda le persone fisiche (max 250'000 CHF)
  • DPO: obbligatorio in certi casi sotto il RGPD, raccomandato ma non obbligatorio sotto la nLPD
  • Notifica di violazione: 72 ore per il RGPD, senza indugio ingiustificato per la nLPD (più flessibile ma anche più vago)
  • Consenso: la nLPD non esige il consenso esplicito come unica base giuridica, a differenza del RGPD che ne fa un fondamento centrale
  • Portata extraterritoriale: il RGPD si applica non appena è coinvolto un residente UE, anche se l'azienda ha sede in Svizzera
  • AI Act UE: non si applica direttamente in Svizzera, ma un'azienda svizzera che commercializza nell'UE può essere soggetta a esso

Prospettive regolamentari 2025-2027: cosa si avvicina

Il quadro giuridico svizzero sull'IA è in evoluzione. Diverse novità sono da anticipare per le aziende che distribuiscono sistemi di IA.

  • Convenzione del Consiglio d'Europa sull'IA (CETS 225): la Svizzera ha firmato il 27 marzo 2025. La sua ratifica creerà obblighi aggiuntivi, in particolare in materia di sistemi di IA ad alto rischio e di supervisione da parte delle autorità
  • AI Act UE in vigore progressivamente fino al 2026: le aziende svizzere che operano sul mercato UE possono essere interessate, in particolare per i sistemi di IA ad alto rischio (risorse umane, credito, salute, infrastrutture critiche)
  • Potenziale revisione della nLPD: il Consiglio federale segue l'evoluzione europea e un adeguamento è ipotizzabile entro il 2026-2027
  • Ordinanza federale sull'utilizzo dell'IA nell'amministrazione: in consultazione, potrebbe ispirare norme settoriali private
  • Crescente attivismo dell'IFPDT: maggiori prese di posizione settoriali su specifici utilizzi dell'IA (chatbot, profilazione, IA generativa)

Checklist: dieci azioni concrete per un'IA conforme alla nLPD

Ecco un punto di partenza operativo per le aziende che distribuiscono o intendono distribuire strumenti di IA. Questo elenco non costituisce un parere giuridico: consultate un legale specializzato per la vostra situazione specifica.

  • 1. Mappare: redigere l'elenco di tutti gli strumenti di IA utilizzati nella propria organizzazione e identificare quali trattano dati personali
  • 2. Classificare i dati: distinguere dati pubblici, interni, riservati e sensibili prima di decidere quali possono alimentare un modello
  • 3. Documentare la finalità: per ogni trattamento di IA, documentare la finalità precisa nel registro delle attività di trattamento
  • 4. Valutare il rischio: determinare se un trattamento richiede un'AIPD (dati sensibili, profilazione, decisioni automatizzate con impatto)
  • 5. Informare: assicurarsi che le informative (politica sulla privacy, avvisi di trattamento) coprano esplicitamente gli utilizzi di IA
  • 6. Prevedere l'opposizione: predisporre un meccanismo operativo di ricorso umano per qualsiasi decisione automatizzata significativa
  • 7. Controllare i subfornitori: verificare le garanzie offerte dai propri fornitori di IA (localizzazione, trasferimenti, certificazioni)
  • 8. Formare i team: sensibilizzare i collaboratori agli obblighi della nLPD nel contesto dell'IA, in particolare i team HR, marketing e IT
  • 9. Testare e controllare: prevedere audit regolari dei sistemi di IA per verificare la conformità e l'assenza di bias discriminatori
  • 10. Tenere un registro dinamico: aggiornare la documentazione a ogni evoluzione del sistema di IA o della normativa

nLPD vs RGPD: le differenze essenziali per i vostri progetti di IA

La maggior parte delle aziende svizzere deve destreggiarsi tra i due quadri normativi. Ecco le differenze più importanti da conoscere per strutturare i vostri progetti di IA.

CriterionLPD (Svizzera)RGPD (UE)
Entrata in vigore1° settembre 202325 maggio 2018
SanzioniMax 250'000 CHF, ammenda personaleFino al 4% del fatturato mondiale, ammenda sull'azienda
DPO (responsabile della protezione dei dati)Raccomandato, non obbligatorio per le PMIObbligatorio in certi casi
Termine di notifica della violazioneSenza indugio ingiustificato (più flessibile)Massimo 72 ore
Consenso come base giuridicaUna base tra diverse (più flessibile)Centrale ma regolamentata
AIPD obbligatoriaSì, per trattamenti ad alto rischioSì, per trattamenti ad alto rischio
Portata extraterritorialeSi applica se l'azienda tratta dati di persone in SvizzeraSi applica non appena è coinvolto un residente UE
Legge specifica sull'IANessuna (neutralità tecnologica)AI Act in vigore progressivamente fino al 2026

Il nostro ruolo

Costruiamo rispettando i vostri dati

Non facciamo diritto, ma costruiamo l'IA in modo da rispettare la residenza e la riservatezza dei vostri dati.

Hosting europeo

Infrastruttura in Europa (Hetzner), nessun cloud USA.

Open source

Modelli open source sulla nostra infrastruttura, i vostri dati non servono ad addestrare alcun modello.

Tracciabile

Trattamenti registrati e verificabili.

Contesto locale

La Svizzera dispone di un'autorità indipendente dedicata: l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), con sede a Berna, che emette raccomandazioni e può avviare indagini preliminari.
I cantoni di Vaud, Genève, Friburgo e Neuchâtel dispongono di proprie legislazioni cantonali sulla protezione dei dati, applicabili agli enti pubblici cantonali. Per le aziende private, prevale la nLPD federale.
La Svizzera romanda conta diversi operatori specializzati in conformità nLPD e IA: studi legali specializzati (in particolare a Genève e Lausanne), consulenti per la protezione dei dati e fornitori tecnologici che integrano la conformità fin dalla progettazione.
Il settore finanziario svizzero (banche, assicurazioni, gestione patrimoniale) è particolarmente esposto agli obblighi della nLPD nel contesto dell'IA, data la natura sensibile dei dati trattati e le frequenti decisioni automatizzate (scoring, rilevazione delle frodi, consulenza automatizzata).
La Convenzione quadro del Consiglio d'Europa sull'IA (firmata dalla Svizzera il 27 marzo 2025) è il primo trattato internazionale giuridicamente vincolante sull'IA. La sua ratifica da parte del Parlamento svizzero creerà obblighi formali aggiuntivi.

Domande frequenti

La LPD si applica agli strumenti di IA come ChatGPT o Copilot utilizzati in azienda?

Sì. Non appena questi strumenti trattano dati personali di persone fisiche identificabili (nomi, email, informazioni su dipendenti o clienti), la nLPD si applica. L'azienda che utilizza questi strumenti è responsabile del trattamento. Deve assicurarsi che la finalità sia documentata, che le persone siano informate e che i dati non vengano riutilizzati per scopi non previsti dal fornitore. È indispensabile verificare le condizioni contrattuali del fornitore, in particolare riguardo alla localizzazione dei dati e al loro riutilizzo per l'addestramento dei modelli.

La mia azienda deve nominare un responsabile della protezione dei dati (DPO) per utilizzare l'IA?

La nLPD non rende il DPO obbligatorio alle stesse condizioni del RGPD. Tuttavia, nominare o mandatare un responsabile della protezione dei dati è fortemente raccomandato quando la propria azienda distribuisce sistemi di IA che trattano dati personali su larga scala o dati sensibili. Tale responsabile può essere interno o esterno (consulente legale, consulente specializzato). Il suo ruolo: supervisionare la conformità, effettuare le AIPD, gestire le richieste delle persone interessate e assicurare il collegamento con l'IFPDT se necessario.

Che cos'è un'AIPD e in quali casi è obbligatoria per un progetto di IA?

Un'Analisi d'Impatto sulla Protezione dei Dati (AIPD) è una valutazione documentata dei rischi che un trattamento di dati comporta per i diritti e le libertà delle persone interessate. È obbligatoria sotto la nLPD quando il trattamento è suscettibile di presentare un rischio elevato: trattamento di dati sensibili su larga scala, profilazione estensiva, decisioni automatizzate con effetti significativi, o sorveglianza sistematica. Per la maggior parte dei progetti di IA ambiziosi in azienda (IA HR, scoring clienti, analisi comportamentale), un'AIPD è necessaria. Deve essere effettuata prima della distribuzione.

È possibile addestrare un modello di IA con i dati di clienti o dipendenti dell'azienda?

Sì, a determinate condizioni. Occorre innanzitutto disporre di una base giuridica valida per questo nuovo trattamento (la raccolta iniziale dei dati non è sufficiente se la finalità era diversa). Le persone interessate devono essere informate di tale utilizzo. Se i dati sono sensibili, è richiesto il consenso esplicito o un'altra base giuridica solida. La localizzazione del modello è determinante: un modello ospitato su server al di fuori della Svizzera o dello SEE implica un trasferimento internazionale di dati, soggetto a garanzie aggiuntive. È indispensabile documentare queste decisioni nel proprio registro dei trattamenti.

Quali pratiche di IA sono vietate dalla nLPD?

La nLPD non stabilisce un elenco esaustivo, ma l'IFPDT ha precisato che alcune applicazioni sono incompatibili con i diritti fondamentali che tutela: il riconoscimento facciale generalizzato in tempo reale negli spazi pubblici, i sistemi di punteggio sociale (social scoring) che valutano sistematicamente il comportamento degli individui, e qualsiasi raccolta o trattamento di dati biometrici o sensibili senza una solida base giuridica. L'AI Act dell'UE, che vieta esplicitamente alcune di queste pratiche, può applicarsi indirettamente alle aziende svizzere che trattano dati di residenti UE.

Quali sono le sanzioni in caso di violazione della nLPD nel contesto dell'IA?

La nLPD sanziona le persone fisiche, non direttamente l'azienda. Le ammende possono raggiungere i 250'000 CHF per violazione. I dirigenti, i responsabili informatici e i collaboratori coinvolti sono personalmente esposti. Le violazioni più sanzionabili: non informare le persone interessate, non notificare una violazione dei dati, o violare le norme sulle decisioni individuali automatizzate. Per avviare un procedimento è necessaria una denuncia. Il rischio reputazionale è spesso più preoccupante della sanzione stessa.

La nLPD e il RGPD si applicano simultaneamente alla mia azienda svizzera?

Dipende dalla vostra attività. Se trattate dati di residenti dell'UE (clienti, partner, prospect), il RGPD si applica a tali trattamenti, indipendentemente dal fatto che la vostra azienda abbia sede in Svizzera o meno. La nLPD si applica a tutti i trattamenti di dati di persone in Svizzera. In pratica, molte aziende svizzere devono rispettare entrambi i quadri normativi. La buona notizia è che i due sono ampiamente allineati e una politica di conformità ben costruita copre entrambi, a condizione di tener conto delle poche differenze (sanzioni, DPO, termini di notifica).

L'AI Act europeo riguarda le aziende con sede in Svizzera?

L'AI Act dell'UE non si applica direttamente in Svizzera, che non è membro dell'UE. Tuttavia, se la vostra azienda immette sul mercato europeo sistemi di IA, o se i vostri sistemi producono effetti su persone nell'UE, le norme dell'AI Act possono riguardarvi. Inoltre, la Svizzera ha firmato la Convenzione del Consiglio d'Europa sull'IA (marzo 2025), la cui ratifica introdurrà obblighi complementari, in particolare per i sistemi di IA ad alto rischio.

Come scegliere un fornitore di IA conforme alla nLPD?

Tre criteri principali: la localizzazione dei dati (preferire server in Svizzera o in UE/SEE per evitare trasferimenti internazionali non regolamentati), la politica di riutilizzo dei dati (il fornitore utilizza i vostri dati per addestrare i propri modelli? Se sì, su quale base giuridica?), e la trasparenza contrattuale (il fornitore può fornirvi un registro dei subfornitori, un DPA, garanzie di sicurezza documentate?). I modelli open source distribuiti sulla vostra infrastruttura o su un'infrastruttura europea offrono generalmente la migliore risposta a questi tre criteri.

La nLPD si applica ai modelli di IA open source distribuiti internamente?

Sì. La nLPD si applica al responsabile del trattamento, ovvero alla vostra azienda, indipendentemente dalla natura del modello (open source o proprietario, ospitato internamente o presso terzi). Se il vostro modello open source tratta dati personali, si applicano tutti gli obblighi della nLPD: informazione, minimizzazione, sicurezza, AIPD se c'è rischio elevato, ecc. Il vantaggio dell'open source distribuito internamente è precisamente quello di darvi il controllo totale sui dati ed eliminare il rischio di trasferimento indesiderato a terzi.

Un progetto IA che rispetta i vostri dati?

Parliamo del vostro caso. Costruiamo nel rispetto della residenza dei dati.

Richiedi una Demo Personalizzata

Parlaci del tuo team e ti contatteremo entro 24 ore.

Non condivideremo mai le tue informazioni. Aspettati una risposta entro 24 ore.

IA e LPD/nLPD in Svizzera | Cosa comporta (guida)