IA e protezione dei dati in Svizzera: cosa vale davvero
Risposta diretta: La nuova legge svizzera sulla protezione dei dati riveduta (nLPD, in vigore dal 1° settembre 2023) è neutrale sul piano tecnologico e, secondo l'IFPDT, direttamente applicabile ai trattamenti di dati basati sull'IA. Per le aziende significa: trasparenza sull'uso dell'IA, un registro delle attività di trattamento e, in caso di rischio elevato, una valutazione d'impatto sulla protezione dei dati. Aggiornamento: luglio 2026.
Questa guida spiega cosa significa concretamente quando usate l'IA con dati personali - in termini chiari, con rimando alle fonti ufficiali e un limite netto: non sostituisce un parere legale. La protezione dei dati è un campo in cui conta il caso concreto; i punti che seguono vi aiutano a porre le domande giuste e a riconoscere quando coinvolgere un professionista.
La legge sulla protezione dei dati si applica all'IA?
Sì. L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha chiarito che la legge sulla protezione dei dati applicabile si applica direttamente all'IA - è formulata in modo neutrale sul piano tecnologico e non necessita di una legge IA separata per operare. Non appena un'applicazione IA tratta dati personali, valgono i principi consueti: liceità, buona fede, proporzionalità, limitazione della finalità, esattezza dei dati e trasparenza.
La conseguenza è rilevante: non esiste una scappatoia del tipo "è stata l'IA". Chi impiega un'IA resta responsabile del trattamento dei dati - che il modello provenga o meno da un fornitore terzo. Per questo la protezione dei dati appartiene a ogni progetto IA fin dall'inizio, non a un audit successivo, come sottolineiamo anche nella guida all'introduzione dell'IA in azienda.
(Fonte: IFPDT, informazioni su IA e protezione dei dati, admin.ch. La nLPD riveduta è in vigore dal 1° settembre 2023.)
Gli obblighi concreti per l'IA con dati personali
Questi obblighi derivano dalla nLPD riveduta e dalla prassi dell'IFPDT. La tabella li colloca - è un orientamento, non un parere legale definitivo.
| Obbligo | Cosa significa per l'IA | Fonte / nota |
|---|---|---|
| Trasparenza / informazione | Le persone devono sapere quando vengono trattati dati personali - e, secondo l'IFPDT, se comunicano con una macchina e se le immissioni vengono riutilizzate | IFPDT, IA e protezione dei dati (admin.ch) |
| Registro delle attività di trattamento | I trattamenti basati sull'IA rientrano nel registro (finalità, categorie di dati, destinatari, conservazione) | nLPD riveduta; eccezione per PMI sotto i 250 dipendenti a basso rischio |
| Valutazione d'impatto sulla protezione dei dati (VIP) | In caso di rischio elevato - profilazione a rischio elevato o trattamento esteso di dati sensibili - è richiesta una VIP | nLPD riveduta; indipendente dalla dimensione dell'azienda |
| Contratto di trattamento su commessa | Se usate uno strumento IA esterno, serve un contratto di trattamento su commessa e dovete valutare i trasferimenti all'estero | nLPD riveduta; dovere di diligenza nella scelta del fornitore |
| Minimizzazione dei dati e limitazione della finalità | Solo i dati necessari in prompt, log e dati di addestramento; nessun uso per fini diversi senza base | Principi della nLPD riveduta |
Questa panoramica è volutamente generale e non sostituisce un esame del vostro caso concreto. Per l'interpretazione vincolante, rivolgetevi a un professionista del diritto della protezione dei dati.
Quando è richiesta una valutazione d'impatto (VIP)?
Secondo la nLPD riveduta, una VIP è richiesta quando un trattamento previsto può comportare un rischio elevato per la personalità o i diritti fondamentali delle persone interessate. Il rischio elevato comprende in particolare la profilazione estesa a rischio elevato e il trattamento esteso di dati personali sensibili (dati sanitari, religiosi o biometrici).
Per i progetti IA ciò significa concretamente: un bot di conoscenza che risponde a informazioni di prodotto pubbliche di norma non attiva una VIP. Un sistema che valuta automaticamente candidati, costruisce profili di clienti per decisioni o tratta dati sanitari, molto probabilmente sì.
Importante: la soglia dei 250 dipendenti riguarda solo l'eccezione al registro dei trattamenti - non l'obbligo di VIP. Una piccola azienda può essere parzialmente esonerata dal registro e dover comunque svolgere una VIP se il trattamento è rischioso. La VIP appartiene alla fase di progettazione, perché co-determina l'architettura (hosting, logging, controllo degli accessi).
(Fonte: nLPD riveduta; nozioni di base dell'IFPDT sulla VIP, admin.ch.)
Protezioni pratiche per i progetti IA
Queste misure tecniche e organizzative affrontano i rischi di protezione dei dati più frequenti con l'IA. Integrano, non sostituiscono, l'esame legale.
Minimizzazione dei dati in prompt e log
Inserite nel sistema solo i dati personali davvero necessari. Verificate cosa viene registrato e per quanto tempo - i log sono un luogo di archiviazione di dati personali spesso trascurato.
Nessun addestramento sui vostri dati senza base
Chiarite contrattualmente se il fornitore usa le vostre immissioni per l'addestramento del modello. Per l'uso aziendale con dati personali serve di norma un'esclusione dall'addestramento.
Luogo di hosting adeguato
Verificate dove vengono trattati i dati. Per molti settori svizzeri l'hosting svizzero o UE è una condizione; i trasferimenti verso Stati terzi richiedono una base giuridica.
Contratto di trattamento su commessa
Ogni servizio IA esterno che tratta dati personali necessita di un contratto corrispondente con obblighi chiari su sicurezza, riutilizzo e cancellazione.
Trasparenza verso le persone interessate
Rendete trasparente, nell'informativa sulla privacy e all'interfaccia, che l'IA viene usata e a quale scopo - e dove le persone parlano con una macchina.
Persona nel processo per le decisioni
Per le decisioni che riguardano persone (candidatura, credito, prestazione) servono revisione umana e tracciabilità anziché un output automatico a scatola nera.
Quando serve un avvocato o un professionista della protezione dei dati
Questa guida vi aiuta a porre le domande giuste e a impostare le protezioni tecniche. Ma non sostituisce un parere legale, e nelle seguenti situazioni dovreste coinvolgere un professionista della protezione dei dati:
Dati sensibili. Dati sanitari, biometrici, religiosi o relativi a procedimenti penali richiedono un esame più rigoroso e spesso una VIP.
Decisioni individuali automatizzate. Quando un'IA prende decisioni con effetti giuridici o impatto significativo sulle persone, si applicano particolari obblighi di informazione e verifica.
Trasferimenti all'estero. Non appena i dati toccano fornitori o server fuori dalla Svizzera e dall'UE, la base giuridica va chiarita con cura.
Attività transfrontaliera / GDPR. Se vi rivolgete a persone nell'UE, entra inoltre in gioco il GDPR - con requisiti in parte più rigorosi della nLPD riveduta.
La posizione onesta: come partner per l'integrazione dell'IA realizziamo l'architettura rispettosa della privacy e collaboriamo con i vostri consulenti legali - ma non diamo pareri legali vincolanti. Questa chiarezza fa parte di un progetto IA serio.
Domande frequenti
La legge svizzera sulla protezione dei dati si applica alle applicazioni IA?
Sì. L'IFPDT ha chiarito che la nLPD riveduta (in vigore dal 1° settembre 2023) è neutrale sul piano tecnologico e direttamente applicabile ai trattamenti basati sull'IA. Non appena un'IA tratta dati personali, valgono i principi della LPD - trasparenza, limitazione della finalità, minimizzazione dei dati - e la responsabilità resta all'azienda, anche se il modello proviene da un fornitore terzo.
Serve una valutazione d'impatto per un progetto IA?
Una VIP è richiesta quando il trattamento può comportare un rischio elevato per le persone interessate, in particolare per la profilazione estesa a rischio elevato o il trattamento esteso di dati sensibili. Un semplice bot di conoscenza con informazioni pubbliche di norma non ne ha bisogno; un sistema che valuta automaticamente persone o tratta dati sanitari, molto probabilmente sì. L'obbligo dipende dal rischio, non dalla dimensione dell'azienda.
Devo iscrivere l'uso dell'IA nel registro delle attività di trattamento?
In genere sì: i trattamenti basati sull'IA di dati personali rientrano nel registro con finalità, categorie di dati, destinatari e conservazione. Le aziende sotto i 250 dipendenti beneficiano di un'eccezione parziale al registro a basso rischio - ma questa eccezione non copre l'obbligo di VIP.
I collaboratori possono inserire dati personali in uno strumento IA?
Non in strumenti consumer gratuiti qualsiasi. I dati personali possono entrare solo in sistemi con una base giuridica chiara, un contratto di trattamento su commessa, un'esclusione dall'addestramento e un luogo di hosting adeguato. Le immissioni non regolate in strumenti aperti sono una delle violazioni più frequenti della protezione dei dati - una breve policy d'uso lo evita.
Qual è la differenza tra nLPD riveduta e GDPR per l'IA?
La nLPD riveduta è il diritto svizzero e governa i trattamenti svizzeri; il GDPR è il diritto dell'UE e diventa inoltre rilevante non appena trattate o vi rivolgete a persone nell'UE. I principi di base sono simili, e il GDPR è in parte più rigoroso (per esempio su sanzioni e determinati obblighi). Per l'attività transfrontaliera vanno considerati entrambi - qui un parere legale conviene.
AETHER Digital aiuta a realizzare l'IA in modo conforme alla protezione dei dati?
Sì - a livello tecnico e organizzativo. Costruiamo l'architettura rispettosa della privacy (hosting, minimizzazione dei dati, controllo degli accessi, trattamento su commessa) e collaboriamo con i vostri consulenti legali. Non diamo volutamente pareri legali vincolanti; ci assicuriamo invece che la tecnica soddisfi i requisiti legali e diciamo chiaramente quando serve un professionista.
Case study correlate
Continua a leggere
Dove l'automazione dei processi con l'IA rende davvero: casi d'uso per reparto e una logica di ROI onesta che ricavate dalla vostra matematica del tempo - non da promesse di risparmio inventate. Con un modello di calcolo applicabile subito.
Una guida onesta a ChatGPT in azienda: regole di governance chiare, casi d'uso che funzionano davvero, i limiti (allucinazioni, riservatezza, protezione dei dati) e i casi in cui è meglio deliberatamente non usarlo.
Una tabella di marcia concreta per introdurre l'IA in una PMI svizzera: valutare dove conviene, dimostrarla in un piccolo pilota, poi scalare in base all'impatto misurato. Con casi d'uso per reparto, una stima onesta dell'impegno e gli errori che fanno deragliare la maggior parte dei primi progetti.