A LPD aplica-se a ferramentas de IA como o ChatGPT ou o Copilot utilizados em empresas?
Sim. A partir do momento em que essas ferramentas tratam dados pessoais de pessoas físicas identificáveis (nomes, e-mails, informações sobre colaboradores ou clientes), a nLPD aplica-se. A empresa que utiliza estas ferramentas é responsável pelo tratamento. Deve assegurar que a finalidade está documentada, que as pessoas são informadas e que os dados não são reutilizados para fins não previstos pelo fornecedor. É indispensável verificar as condições contratuais do fornecedor, nomeadamente no que diz respeito à localização dos dados e à reutilização para treino de modelos.
A minha empresa deve nomear um encarregado de proteção de dados (DPO) para utilizar IA?
A nLPD não torna o DPO obrigatório nas mesmas condições que o RGPD. No entanto, nomear ou contratar um responsável pela proteção de dados é fortemente recomendado quando a sua empresa implanta sistemas de IA que tratam dados pessoais em grande escala ou dados sensíveis. Este responsável pode ser interno ou externo (consultor jurídico, consultor especializado). O seu papel: supervisionar a conformidade, realizar as AIPD, gerir os pedidos das pessoas em causa e assegurar a ligação com o PFPDT se necessário.
O que é uma AIPD e em que casos é obrigatória para um projeto de IA?
Uma Análise de Impacto sobre a Proteção de Dados (AIPD) é uma avaliação documentada dos riscos que um tratamento de dados representa para os direitos e liberdades das pessoas em causa. É obrigatória ao abrigo da nLPD quando o tratamento é suscetível de apresentar um risco elevado: tratamento de dados sensíveis em grande escala, criação extensiva de perfis, decisões automatizadas com efeitos significativos, ou vigilância sistemática. Para a maioria dos projetos de IA ambiciosos em empresas (IA de RH, pontuação de clientes, análise comportamental), uma AIPD é necessária. Deve ser realizada antes da implantação.
É possível treinar um modelo de IA com os dados de clientes ou colaboradores da empresa?
Sim, sob certas condições. É necessário dispor de uma base jurídica válida para este novo tratamento (a recolha inicial dos dados não é suficiente se a finalidade era diferente). As pessoas em causa devem ser informadas desta utilização. Se os dados forem sensíveis, é exigido o consentimento explícito ou outra base jurídica forte. A localização do modelo é determinante: um modelo alojado em servidores fora da Suíça ou fora do EEE implica uma transferência internacional de dados, sujeita a garantias adicionais. Documentar estas decisões no seu registo de tratamento é indispensável.
Que práticas de IA são proibidas pela nLPD?
A nLPD não estabelece uma lista exaustiva, mas o PFPDT precisou que certas aplicações são incompatíveis com os direitos fundamentais que protege: o reconhecimento facial generalizado em tempo real em espaços públicos, os sistemas de pontuação social (social scoring) que avaliam sistematicamente os comportamentos dos indivíduos, e qualquer recolha ou tratamento de dados biométricos ou sensíveis sem base jurídica sólida. O AI Act da UE, que proíbe explicitamente algumas destas práticas, pode aplicar-se indiretamente a empresas suíças que tratam dados de residentes da UE.
Quais são as sanções em caso de violação da nLPD no contexto da IA?
A nLPD sanciona as pessoas físicas, não diretamente a empresa. As coimas podem atingir 250'000 CHF por violação. Os dirigentes, responsáveis informáticos e colaboradores envolvidos estão pessoalmente expostos. As violações mais sancionáveis: não informar as pessoas em causa, não notificar uma violação de dados, ou violar as regras sobre decisões individuais automatizadas. É necessária uma queixa para desencadear um processo. O risco reputacional é frequentemente mais preocupante do que a própria coima.
A nLPD e o RGPD aplicam-se simultaneamente à minha empresa suíça?
Depende da sua atividade. Se tratar dados de residentes da UE (clientes, parceiros, potenciais clientes), o RGPD aplica-se a esses tratamentos, independentemente de a sua empresa estar na Suíça ou não. A nLPD aplica-se a todos os tratamentos de dados de pessoas na Suíça. Na prática, muitas empresas suíças devem cumprir os dois quadros. Boa notícia: os dois estão amplamente alinhados e uma política de conformidade bem construída cobre ambos, desde que se tenham em conta as poucas diferenças (sanções, DPO, prazos de notificação).
O AI Act europeu diz respeito a empresas sediadas na Suíça?
O AI Act da UE não se aplica diretamente na Suíça, que não é membro da UE. No entanto, se a sua empresa coloca no mercado europeu sistemas de IA, ou se os seus sistemas produzem efeitos sobre pessoas na UE, as regras do AI Act podem dizer-lhe respeito. Além disso, a Suíça assinou a Convenção do Conselho da Europa sobre IA (março de 2025), cuja ratificação introduzirá obrigações complementares, em particular para sistemas de IA de risco elevado.
Como escolher um fornecedor de IA conforme à nLPD?
Três critérios principais: a localização dos dados (preferir servidores na Suíça ou na UE/EEE para evitar transferências internacionais não enquadradas), a política de reutilização dos dados (o fornecedor utiliza os seus dados para treinar os seus modelos? Se sim, com que base jurídica?), e a transparência contratual (o fornecedor pode fornecer-lhe um registo de subcontratantes, um DPA, garantias de segurança documentadas?). Os modelos open source implantados na sua infraestrutura ou numa infraestrutura europeia oferecem geralmente a melhor resposta a estes três critérios.
A nLPD aplica-se a modelos de IA open source implantados internamente?
Sim. A nLPD aplica-se ao responsável pelo tratamento, ou seja, à sua empresa, independentemente da natureza do modelo (open source ou proprietário, alojado internamente ou por terceiros). Se o seu modelo open source trata dados pessoais, todas as obrigações da nLPD aplicam-se: informação, minimização, segurança, AIPD se risco elevado, etc. A vantagem do open source implantado internamente é precisamente dar-lhe controlo total sobre os dados e eliminar o risco de transferência não desejada para terceiros.