O guia, sem jargão jurídico

IA e LPD/nLPD na Suíça: o que isso implica

Um esclarecimento claro sobre o que a nova Lei de Proteção de Dados muda para os seus projetos de IA, e como construímos respeitando a residência dos dados. Importante: não prestamos aconselhamento jurídico.

Hospedagem europeiaOpen sourceRastreável

14'036+ sites criados nos últimos 30 dias

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
Hospedagem europeia
Open source
Rastreável

Desde 1 de setembro de 2023, a nova lei federal sobre proteção de dados (nLPD) está em vigor na Suíça. Ela não menciona a inteligência artificial pelo nome, e isso é intencional: a lei foi redigida de forma tecnologicamente neutra. Consequência direta: qualquer sistema de IA que trate dados pessoais de pessoas físicas está sujeito à nLPD, sem exceção. Este guia explica o que isso significa concretamente para uma empresa suíça que implanta ou planeja implantar ferramentas de IA, seja um chatbot interno, uma ferramenta de recrutamento automatizado, um motor de recomendação ou uma solução de análise de clientes.

14'036+
sites criados nos últimos 30 dias
16
idiomas
100%
hospedagem UE
0
US cloud

Os pontos-chave a conhecer

O essencial, explicado de forma simples.

Residência dos dados

Onde os seus dados são armazenados e tratados importa. Construímos com hospedagem europeia e modelos open source.

Minimização

Tratar apenas os dados necessários: um princípio simples que reduz o risco.

Transparência e rastreabilidade

Saber o que a IA faz com os seus dados, com tratamentos registados e auditáveis.

Subcontratantes

Escolher prestadores que não exponham os seus dados a clouds de terceiros não controladas.

A nLPD e a IA: o princípio da neutralidade tecnológica

O Encarregado Federal de Proteção de Dados e Transparência (PFPDT) confirmou sua posição em novembro de 2023: a lei atual de proteção de dados é diretamente aplicável à IA. A Suíça não possui uma lei específica sobre inteligência artificial, ao contrário da União Europeia com o seu AI Act. O legislador suíço optou conscientemente por uma abordagem baseada na neutralidade tecnológica: as regras existentes (nLPD, Código das Obrigações, LRFP) aplicam-se a qualquer tecnologia, incluindo a IA. Isso significa que o seu fornecedor de CRM com IA, a sua ferramenta de análise preditiva ou o seu assistente conversacional interno estão todos no âmbito de aplicação da nLPD a partir do momento em que tratam dados referentes a uma pessoa identificável.

  • Nenhuma lei específica de IA na Suíça até o momento: a nLPD funciona como quadro jurídico principal
  • Neutralidade tecnológica: o texto legal não menciona a IA, mas aplica-se integralmente a ela
  • O PFPDT confirmou oficialmente esta interpretação em novembro de 2023
  • A Convenção-Quadro do Conselho da Europa sobre IA (assinada pela Suíça em 27 de março de 2025) reforçará este dispositivo até 2026-2027
  • O AI Act europeu pode aplicar-se indiretamente a empresas suíças que tratam dados de residentes da UE

As cinco obrigações fundamentais para qualquer utilização de IA

Independentemente da natureza do sistema de IA implantado, cinco princípios da nLPD são vinculativos para a empresa responsável pelo tratamento.

  • Transparência: as pessoas em causa devem saber que um sistema de IA trata os seus dados, para que finalidade e com que fundamento. A opacidade deliberada constitui uma violação.
  • Finalidade determinada: os dados recolhidos para uma finalidade específica não podem ser reutilizados livremente para treinar ou melhorar um modelo de IA sem base jurídica distinta.
  • Minimização: um sistema de IA deve tratar apenas os dados estritamente necessários ao objetivo perseguido. Agregar dados de forma preventiva seria uma violação deste princípio.
  • Exatidão: os dados que alimentam um sistema de IA devem ser mantidos atualizados. Uma decisão automatizada baseada em dados desatualizados implica a responsabilidade da empresa.
  • Segurança e rastreabilidade: os tratamentos de IA devem ser registados e os acessos controlados. Em caso de violação de dados, a nLPD impõe a notificação às autoridades sem atraso injustificado (contra 72 horas para o RGPD).

Decisões automatizadas e direito de oposição: o que os seus utilizadores podem exigir

A nLPD confere às pessoas em causa um direito de oposição às decisões tomadas unicamente com base num tratamento automatizado, sempre que essas decisões tenham efeitos jurídicos ou efeitos significativos análogos sobre elas. Concretamente: se a sua ferramenta de IA recusar automaticamente uma candidatura, fixar um prémio de seguro ou recusar um crédito sem intervenção humana, a pessoa em causa pode exigir que uma pessoa física reexamine a decisão. O PFPDT formula isso em termos de elevada autodeterminação digital: as empresas devem dar às pessoas em causa os meios para compreender e, se necessário, contestar as decisões automatizadas que as afetam. Este direito de oposição não é opcional: deve estar operacional antes da implantação do sistema, não depois.

  • Direito de oposição às decisões automatizadas com efeitos jurídicos ou significativos
  • Obrigação de prever um mecanismo de reexame humano a pedido
  • A transparência sobre o funcionamento do algoritmo é condição prévia para este direito
  • Setores particularmente expostos: RH (triagem de candidaturas), seguros (tarifação), bancos (pontuação de crédito), comércio eletrónico (personalização discriminatória)

Quando é obrigatória uma Análise de Impacto sobre a Proteção de Dados (AIPD)?

A nLPD introduz a obrigação de realizar uma Análise de Impacto sobre a Proteção de Dados (AIPD, ou DPIA em inglês) antes de qualquer tratamento suscetível de apresentar um risco elevado para os direitos e liberdades fundamentais das pessoas em causa. Para os sistemas de IA, o limiar de risco elevado é rapidamente atingido. Uma AIPD é exigida nomeadamente quando: o tratamento incide sobre dados sensíveis em grande escala (saúde, opiniões políticas, dados biométricos), o sistema realiza uma criação de perfis extensiva das pessoas, as decisões automatizadas têm efeitos jurídicos ou económicos significativos, ou o tratamento implica a vigilância sistemática de um espaço acessível ao público. A AIPD deve ser realizada antes do lançamento, documentada e atualizada se o sistema evoluir. Se a análise revelar um risco residual elevado não atenuado, o PFPDT pode ser consultado.

  • Tratamento de dados sensíveis em grande escala: AIPD obrigatória
  • Criação extensiva de perfis ou pontuação automatizada: AIPD obrigatória
  • Decisões automatizadas com efeitos jurídicos ou económicos significativos: AIPD obrigatória
  • Vigilância sistemática de espaços públicos: AIPD obrigatória
  • A AIPD deve ser realizada antes da implantação, não após um incidente
  • O PFPDT pode ser consultado se subsistir um risco residual elevado

Práticas de IA proibidas pela nLPD

Embora a nLPD não estabeleça uma lista exaustiva de utilizações de IA proibidas, certas práticas são claramente incompatíveis com os direitos fundamentais que protege, bem como com as posições do PFPDT.

  • Reconhecimento facial em tempo real em grande escala em espaços públicos: incompatível com a nLPD e os direitos fundamentais
  • Sistemas de pontuação social (social scoring) que avaliam sistematicamente os indivíduos com base no conjunto do seu comportamento: incompatíveis com a autodeterminação informacional protegida pela LPD
  • Recolha e tratamento de dados biométricos sem base jurídica sólida e sem finalidade legítima e documentada
  • Treino de modelos de IA com dados pessoais desviados da sua finalidade inicial, sem base jurídica distinta
  • Tratamento de dados sensíveis (saúde, origem racial, opiniões políticas) sem consentimento explícito ou sem outra base jurídica admitida

Treinar um modelo de IA com os seus dados internos: o que diz a nLPD

Um dos casos mais frequentes nas empresas: utilizar dados internos (e-mails, processos de RH, históricos de clientes, contratos) para treinar ou afinar um modelo de IA. A nLPD impõe diversas salvaguardas. Em primeiro lugar, a finalidade: os dados recolhidos para gerir contratos de clientes não podem ser reutilizados para treinar um modelo de IA sem base jurídica distinta. Em seguida, a localização: se o modelo for alojado por um fornecedor fora da Suíça ou fora do EEE, ocorre uma transferência internacional de dados, sujeita às garantias adequadas da nLPD. Por fim, a opacidade dos modelos: uma vez treinado, é difícil garantir que nenhum dado pessoal possa ser extraído ou deduzido. Uma arquitetura soberana, com um modelo implantado numa infraestrutura europeia ou nos seus próprios servidores, é a resposta mais robusta a este problema.

  • Verificar a base jurídica antes de qualquer reutilização de dados internos para a IA
  • Documentar a finalidade do treino e assegurar a sua compatibilidade com a recolha inicial
  • Identificar se ocorre uma transferência internacional (fornecedor americano, cloud fora do EEE) e implementar as garantias adequadas
  • Classificar os seus dados (públicos, internos, confidenciais, sensíveis) antes de decidir quais podem alimentar um modelo
  • Privilegiar modelos open source implantados em infraestrutura europeia para evitar a extraterritorialidade
  • Documentar as decisões de arquitetura num registo de tratamento

Sanções nLPD: responsabilidade pessoal e montantes

Um ponto frequentemente subestimado: ao contrário do RGPD, que sanciona a empresa, a nLPD sanciona em primeiro lugar as pessoas físicas. São os dirigentes, os responsáveis informáticos e certos colaboradores que podem ser alvo de processos e condenados ao pagamento de coimas pessoais. O montante máximo é de 250'000 CHF por violação. As violações mais expostas dizem respeito a: o incumprimento da obrigação de informação, a falta de notificação de uma violação de dados à autoridade competente, ou a violação das obrigações relativas às decisões individuais automatizadas. A sanção não é automática: é necessária uma queixa. Mas o risco reputacional, em caso de processo público, pode ser superior à própria coima.

  • Sanção máxima: 250'000 CHF por violação (coima pessoal, não da empresa)
  • Pessoas expostas: dirigentes, responsáveis de TI, DPO, colaboradores envolvidos
  • Violações mais frequentemente sancionadas: falta de informação, ausência de notificação de violação, incumprimento das regras sobre decisões automatizadas
  • Sem coima automática: é necessária uma queixa (ao contrário do RGPD)
  • Risco reputacional potencialmente mais elevado do que a própria coima

LPD vs RGPD: as diferenças-chave para projetos de IA

Muitas empresas suíças também tratam dados de residentes europeus e estão, por isso, sujeitas ao RGPD paralelamente à nLPD. Os dois quadros são semelhantes no essencial, mas divergem em vários pontos importantes. Apresentamos a seguir as diferenças mais significativas para um projeto de IA.

  • Sanções: o RGPD visa as empresas (até 4% do volume de negócios mundial), a nLPD visa as pessoas físicas (máx. 250'000 CHF)
  • DPO: obrigatório em certos casos ao abrigo do RGPD, recomendado mas não obrigatório ao abrigo da nLPD
  • Notificação de violação: 72 horas para o RGPD, sem atraso injustificado para a nLPD (mais flexível mas também mais vago)
  • Consentimento: a nLPD não exige o consentimento explícito como única base jurídica, ao contrário do RGPD, que o coloca como fundamento central
  • Âmbito extraterritorial: o RGPD aplica-se logo que um residente da UE seja afetado, mesmo que a empresa esteja na Suíça
  • AI Act da UE: não se aplica diretamente na Suíça, mas uma empresa suíça que comercializa na UE pode estar sujeita a ele

Perspetivas regulatórias 2025-2027: o que está a chegar

O quadro jurídico suíço sobre IA está em evolução. Há várias mudanças a antecipar para as empresas que implantam sistemas de IA.

  • Convenção do Conselho da Europa sobre IA (CETS 225): a Suíça assinou em 27 de março de 2025. A sua ratificação criará obrigações adicionais, nomeadamente em matéria de sistemas de IA de elevado risco e de supervisão pelas autoridades
  • AI Act da UE em vigor progressivamente até 2026: as empresas suíças que operam no mercado da UE podem ser afetadas, nomeadamente para sistemas de IA de alto risco (RH, crédito, saúde, infraestrutura crítica)
  • Revisão potencial da nLPD: o Conselho Federal acompanha a evolução europeia e uma adaptação é previsível para o horizonte 2026-2027
  • Portaria federal sobre a utilização de IA na administração: em consulta, poderia inspirar normas setoriais privadas
  • Reforço da atividade do PFPDT: mais tomadas de posição setoriais sobre utilizações específicas de IA (chatbots, criação de perfis, IA generativa)

Lista de verificação: dez ações concretas para uma IA conforme à nLPD

Este é um ponto de partida operacional para as empresas que implantam ou pretendem implantar ferramentas de IA. Esta lista não constitui aconselhamento jurídico: consulte um jurista especializado para a sua situação específica.

  • 1. Mapear: elaborar a lista de todas as ferramentas de IA utilizadas na sua organização e identificar quais tratam dados pessoais
  • 2. Classificar os dados: distinguir dados públicos, internos, confidenciais e sensíveis antes de decidir quais podem alimentar um modelo
  • 3. Documentar a finalidade: para cada tratamento de IA, documentar a finalidade precisa no seu registo das atividades de tratamento
  • 4. Avaliar o risco: determinar se um tratamento exige uma AIPD (dados sensíveis, criação de perfis, decisões automatizadas com impacto)
  • 5. Informar: assegurar que os avisos de informação (política de privacidade, avisos de tratamento) cobrem explicitamente as utilizações de IA
  • 6. Prever a oposição: implementar um mecanismo operacional de recurso humano para qualquer decisão automatizada significativa
  • 7. Controlar os subcontratantes: verificar as garantias oferecidas pelos seus fornecedores de IA (localização, transferências, certificações)
  • 8. Formar as equipas: sensibilizar os colaboradores para as obrigações da nLPD no contexto da IA, nomeadamente as equipas de RH, marketing e TI
  • 9. Testar e auditar: prever auditorias regulares dos sistemas de IA para verificar a conformidade e a ausência de vieses discriminatórios
  • 10. Manter um registo vivo: atualizar a documentação a cada evolução do sistema de IA ou da regulamentação

nLPD vs RGPD: as diferenças essenciais para os seus projetos de IA

A maioria das empresas suíças deve conciliar os dois quadros. Aqui estão as diferenças mais importantes a conhecer para estruturar os seus projetos de IA.

CritérionLPD (Suíça)RGPD (UE)
Entrada em vigor1 de setembro de 202325 de maio de 2018
SançõesMáx. 250'000 CHF, coima pessoalAté 4% do volume de negócios mundial, coima sobre a empresa
DPO (encarregado de proteção de dados)Recomendado, não obrigatório para PMEObrigatório em certos casos
Prazo de notificação de violaçãoSem atraso injustificado (mais flexível)Máximo de 72 horas
Consentimento como base jurídicaUma base entre várias (mais flexível)Central mas enquadrada
AIPD obrigatóriaSim, para tratamentos de risco elevadoSim, para tratamentos de risco elevado
Âmbito extraterritorialAplica-se se a empresa tratar dados de pessoas na SuíçaAplica-se logo que um residente da UE seja afetado
Lei específica de IANenhuma (neutralidade tecnológica)AI Act em vigor progressivamente até 2026

O nosso papel

Construímos respeitando os seus dados

Não fazemos direito, mas construímos a IA de forma a respeitar a residência e a confidencialidade dos seus dados.

Hospedagem europeia

Infraestrutura na Europa (Hetzner), sem cloud dos EUA.

Open source

Modelos open source na nossa infraestrutura, os seus dados não servem para treinar nenhum modelo.

Rastreável

Tratamentos registados e auditáveis.

swissIa.lpdNlpdSuisse.localContextTitle

A Suíça dispõe de uma autoridade independente dedicada: o Encarregado Federal de Proteção de Dados e Transparência (PFPDT), sediado em Berna, que emite recomendações e pode abrir inquéritos preliminares.
Os cantões de Vaud, Genève, Fribourg e Neuchâtel têm as suas próprias legislações cantonais de proteção de dados, aplicáveis às entidades públicas cantonais. Para as empresas privadas, prevalece a nLPD federal.
A Suíça romanda conta com vários intervenientes especializados em conformidade nLPD e IA: escritórios de advocacia especializados (nomeadamente em Genève e Lausanne), consultores de proteção de dados e prestadores tecnológicos que integram a conformidade desde a conceção.
O setor financeiro suíço (bancos, seguros, gestão de patrimónios) está particularmente exposto às obrigações da nLPD no contexto da IA, tendo em conta a natureza sensível dos dados tratados e as frequentes decisões automatizadas (pontuação, deteção de fraude, consultoria automatizada).
A Convenção-Quadro do Conselho da Europa sobre IA (assinada pela Suíça em 27 de março de 2025) é o primeiro tratado internacional juridicamente vinculativo sobre IA. A sua ratificação pelo Parlamento suíço criará obrigações formais adicionais.

Perguntas frequentes

A LPD aplica-se a ferramentas de IA como o ChatGPT ou o Copilot utilizados em empresas?

Sim. A partir do momento em que essas ferramentas tratam dados pessoais de pessoas físicas identificáveis (nomes, e-mails, informações sobre colaboradores ou clientes), a nLPD aplica-se. A empresa que utiliza estas ferramentas é responsável pelo tratamento. Deve assegurar que a finalidade está documentada, que as pessoas são informadas e que os dados não são reutilizados para fins não previstos pelo fornecedor. É indispensável verificar as condições contratuais do fornecedor, nomeadamente no que diz respeito à localização dos dados e à reutilização para treino de modelos.

A minha empresa deve nomear um encarregado de proteção de dados (DPO) para utilizar IA?

A nLPD não torna o DPO obrigatório nas mesmas condições que o RGPD. No entanto, nomear ou contratar um responsável pela proteção de dados é fortemente recomendado quando a sua empresa implanta sistemas de IA que tratam dados pessoais em grande escala ou dados sensíveis. Este responsável pode ser interno ou externo (consultor jurídico, consultor especializado). O seu papel: supervisionar a conformidade, realizar as AIPD, gerir os pedidos das pessoas em causa e assegurar a ligação com o PFPDT se necessário.

O que é uma AIPD e em que casos é obrigatória para um projeto de IA?

Uma Análise de Impacto sobre a Proteção de Dados (AIPD) é uma avaliação documentada dos riscos que um tratamento de dados representa para os direitos e liberdades das pessoas em causa. É obrigatória ao abrigo da nLPD quando o tratamento é suscetível de apresentar um risco elevado: tratamento de dados sensíveis em grande escala, criação extensiva de perfis, decisões automatizadas com efeitos significativos, ou vigilância sistemática. Para a maioria dos projetos de IA ambiciosos em empresas (IA de RH, pontuação de clientes, análise comportamental), uma AIPD é necessária. Deve ser realizada antes da implantação.

É possível treinar um modelo de IA com os dados de clientes ou colaboradores da empresa?

Sim, sob certas condições. É necessário dispor de uma base jurídica válida para este novo tratamento (a recolha inicial dos dados não é suficiente se a finalidade era diferente). As pessoas em causa devem ser informadas desta utilização. Se os dados forem sensíveis, é exigido o consentimento explícito ou outra base jurídica forte. A localização do modelo é determinante: um modelo alojado em servidores fora da Suíça ou fora do EEE implica uma transferência internacional de dados, sujeita a garantias adicionais. Documentar estas decisões no seu registo de tratamento é indispensável.

Que práticas de IA são proibidas pela nLPD?

A nLPD não estabelece uma lista exaustiva, mas o PFPDT precisou que certas aplicações são incompatíveis com os direitos fundamentais que protege: o reconhecimento facial generalizado em tempo real em espaços públicos, os sistemas de pontuação social (social scoring) que avaliam sistematicamente os comportamentos dos indivíduos, e qualquer recolha ou tratamento de dados biométricos ou sensíveis sem base jurídica sólida. O AI Act da UE, que proíbe explicitamente algumas destas práticas, pode aplicar-se indiretamente a empresas suíças que tratam dados de residentes da UE.

Quais são as sanções em caso de violação da nLPD no contexto da IA?

A nLPD sanciona as pessoas físicas, não diretamente a empresa. As coimas podem atingir 250'000 CHF por violação. Os dirigentes, responsáveis informáticos e colaboradores envolvidos estão pessoalmente expostos. As violações mais sancionáveis: não informar as pessoas em causa, não notificar uma violação de dados, ou violar as regras sobre decisões individuais automatizadas. É necessária uma queixa para desencadear um processo. O risco reputacional é frequentemente mais preocupante do que a própria coima.

A nLPD e o RGPD aplicam-se simultaneamente à minha empresa suíça?

Depende da sua atividade. Se tratar dados de residentes da UE (clientes, parceiros, potenciais clientes), o RGPD aplica-se a esses tratamentos, independentemente de a sua empresa estar na Suíça ou não. A nLPD aplica-se a todos os tratamentos de dados de pessoas na Suíça. Na prática, muitas empresas suíças devem cumprir os dois quadros. Boa notícia: os dois estão amplamente alinhados e uma política de conformidade bem construída cobre ambos, desde que se tenham em conta as poucas diferenças (sanções, DPO, prazos de notificação).

O AI Act europeu diz respeito a empresas sediadas na Suíça?

O AI Act da UE não se aplica diretamente na Suíça, que não é membro da UE. No entanto, se a sua empresa coloca no mercado europeu sistemas de IA, ou se os seus sistemas produzem efeitos sobre pessoas na UE, as regras do AI Act podem dizer-lhe respeito. Além disso, a Suíça assinou a Convenção do Conselho da Europa sobre IA (março de 2025), cuja ratificação introduzirá obrigações complementares, em particular para sistemas de IA de risco elevado.

Como escolher um fornecedor de IA conforme à nLPD?

Três critérios principais: a localização dos dados (preferir servidores na Suíça ou na UE/EEE para evitar transferências internacionais não enquadradas), a política de reutilização dos dados (o fornecedor utiliza os seus dados para treinar os seus modelos? Se sim, com que base jurídica?), e a transparência contratual (o fornecedor pode fornecer-lhe um registo de subcontratantes, um DPA, garantias de segurança documentadas?). Os modelos open source implantados na sua infraestrutura ou numa infraestrutura europeia oferecem geralmente a melhor resposta a estes três critérios.

A nLPD aplica-se a modelos de IA open source implantados internamente?

Sim. A nLPD aplica-se ao responsável pelo tratamento, ou seja, à sua empresa, independentemente da natureza do modelo (open source ou proprietário, alojado internamente ou por terceiros). Se o seu modelo open source trata dados pessoais, todas as obrigações da nLPD aplicam-se: informação, minimização, segurança, AIPD se risco elevado, etc. A vantagem do open source implantado internamente é precisamente dar-lhe controlo total sobre os dados e eliminar o risco de transferência não desejada para terceiros.

Um projeto de IA que respeite os seus dados?

Falemos do seu caso. Construímos respeitando a residência dos dados.

Solicitar uma Demo Personalizada

Conte-nos sobre sua equipe e entraremos em contato em 24 horas.

Nunca compartilharemos suas informações. Espere uma resposta em 24 horas.

IA e LPD/nLPD na Suíça | O que isso implica (guia)