Compliance

nLPD e intelligenza artificiale: cosa devono sapere le imprese svizzere nel 2026

1 maggio 2026 · 10 minuti · Team Atenek
nLPD e intelligenza artificiale: cosa devono sapere le imprese svizzere nel 2026

Questo articolo ha scopo informativo e non costituisce consulenza legale. Per valutazioni specifiche sulla conformità della vostra azienda alla nLPD, consultate un professionista legale qualificato.

La nuova Legge federale sulla protezione dei dati (nLPD) è in vigore dal 1° settembre 2023. A distanza di quasi tre anni, molte imprese svizzere non hanno ancora chiarito come si applica alle soluzioni di intelligenza artificiale che usano o che stanno valutando di adottare.

La domanda più comune che riceviamo è questa: “I dati dei nostri clienti sono al sicuro se usiamo un agente AI o una pipeline documentale?”

La risposta dipende da come è costruito il sistema. Non tutti i sistemi AI sono uguali dal punto di vista della conformità nLPD — e la differenza tra un sistema conforme e uno non conforme non è sempre visibile dall’esterno.

1. La nLPD in sintesi — cosa cambia rispetto alla vecchia LPD

La nLPD ha modernizzato il quadro svizzero sulla protezione dei dati, avvicinandolo al GDPR europeo pur mantenendo caratteristiche proprie del sistema giuridico svizzero.

I cambiamenti più rilevanti per le imprese che usano AI:

Ampliamento della definizione di dati personali. La nLPD include esplicitamente i dati genetici e biometrici tra le categorie particolarmente degne di protezione.

Obbligo di privacy by design. I sistemi che trattano dati personali devono essere progettati con la protezione dei dati come elemento fondante, non come aggiunta successiva.

Maggiore trasparenza. Le persone interessate hanno il diritto di sapere quando le loro decisioni vengono influenzate da sistemi automatizzati, e di richiedere una revisione umana.

Obbligo di notifica delle violazioni. Le violazioni dei dati devono essere notificate all’Incaricato federale della protezione dei dati (IFPDT) entro tempi definiti.

Sanzioni più severe. Le violazioni possono comportare sanzioni fino a 250.000 CHF per le persone fisiche responsabili.

2. Perché l’AI pone sfide specifiche alla nLPD

I sistemi AI trattano i dati in modo diverso dai software tradizionali, e questo crea sfide specifiche per la conformità nLPD.

I modelli AI imparano dai dati. Un sistema AI che viene addestrato su dati dei clienti incorpora quelle informazioni nel modello.

Le decisioni automatizzate richiedono trasparenza. Se un agente AI prende o influenza decisioni che riguardano persone — approvazione di un credito, risposta a una richiesta di assicurazione, classificazione di un cliente — la nLPD richiede che le persone interessate possano richiedere una spiegazione e una revisione umana.

I dati attraversano confini. Molti sistemi AI commerciali elaborano i dati su server esteri — tipicamente negli Stati Uniti.

I log e le conversazioni sono dati personali. Le conversazioni con un agente AI contengono dati personali. Devono essere gestite, archiviate e cancellate secondo i principi nLPD.

3. I quattro requisiti chiave per sistemi AI nLPD-compliant

Un sistema AI conforme alla nLPD deve rispettare questi quattro requisiti fondamentali.

1. Data residency svizzera o equivalente. I dati personali dei clienti svizzeri devono essere elaborati su infrastruttura con server in Svizzera o in paesi con un livello di protezione riconosciuto come equivalente.

2. Nessun uso dei dati per training. I dati dei clienti non devono essere usati per addestrare modelli AI di terze parti. Questo è un punto critico: molti fornitori di AI commerciali usano le conversazioni e i dati degli utenti per migliorare i propri modelli.

3. Tracciabilità e audit trail. Ogni operazione del sistema AI deve essere tracciata: quali dati ha acceduto, quali azioni ha compiuto, quando.

4. Diritto di revisione umana. Quando il sistema AI influenza decisioni che riguardano persone, queste devono avere il diritto di richiedere che la decisione venga rivista da un operatore umano.

4. Data residency svizzera: cosa significa concretamente

“Data residency svizzera” non significa solo che l’azienda fornitrice ha sede in Svizzera. Significa che i server fisici su cui vengono elaborati e archiviati i dati sono fisicamente in Svizzera.

Questa distinzione è importante perché molti fornitori IT hanno sede legale in Svizzera ma usano infrastruttura cloud estera — tipicamente AWS, Google Cloud o Azure con region in Germania, Irlanda o Stati Uniti.

Per verificare la data residency reale di un sistema AI, chiedete al fornitore:

  • In quale region cloud vengono elaborati i dati? (es. Switzerland North su Azure, eu-central-1 su AWS)
  • I dati vengono mai replicati o trasferiti verso region estere per backup o disaster recovery?
  • Dove vengono archiviate le conversazioni e i log del sistema?
  • Dove vengono eseguiti i modelli AI che elaborano i dati?

Atenek utilizza infrastruttura con data residency in Svizzera per tutti i clienti svizzeri come standard — non come opzione aggiuntiva.

5. Cosa chiedere al vostro fornitore AI

Prima di adottare qualsiasi sistema AI che tratta dati personali dei vostri clienti, chiedete al fornitore una risposta scritta a queste domande:

  1. Dove vengono fisicamente elaborati e archiviati i dati dei nostri clienti?
  2. I dati dei nostri clienti vengono usati per addestrare modelli AI? In quale forma?
  3. Esiste un audit trail completo di tutte le operazioni del sistema?
  4. Come viene gestita la cancellazione dei dati su richiesta?
  5. Come vengono gestite le violazioni dei dati e in quali tempi vengono notificate?
  6. Il sistema è stato valutato da un professionista legale per la conformità nLPD?

Se il fornitore non sa rispondere a queste domande con precisione, o fornisce risposte vaghe, è un segnale di attenzione.

La conformità nLPD non è una caratteristica opzionale di un sistema AI — è un requisito legale.

FAQ

La nLPD si applica anche alle piccole imprese svizzere? Sì. La nLPD si applica a qualsiasi entità privata che tratta dati personali in Svizzera, indipendentemente dalle dimensioni.

Cosa rischia un’azienda che non è conforme alla nLPD? Le sanzioni arrivano fino a 250.000 CHF per le persone fisiche responsabili.

Un sistema AI basato su ChatGPT è conforme alla nLPD? Dipende da come è configurato e da quale infrastruttura usa. I modelli commerciali di OpenAI, Google e altri elaborano dati su server principalmente negli Stati Uniti.

Come faccio a sapere se il mio fornitore AI è davvero nLPD-compliant? Chiedete una dichiarazione scritta che specifichi dove vengono elaborati i dati, se vengono usati per training e come viene garantito il diritto di revisione umana.

Atenek è nLPD-compliant? Sì. Per tutti i clienti svizzeri utilizziamo infrastruttura con data residency in Svizzera, i dati non vengono mai usati per addestrare modelli di terze parti, ogni operazione è tracciata con audit trail completo e ogni sistema include meccanismi di revisione umana.

Continua a leggere

Agenti AI

Agenti AI in azienda: da dove iniziare e cosa aspettarsi nel primo mese

La guida pratica per CEO e responsabili che vogliono capire come si introduce un agente AI senza rischi operativi e con risultati misurabili da subito.

 Automazione

Come automatizzare la gestione documentale in uno studio fiduciario svizzero

Ogni mese centinaia di documenti fiscali da elaborare manualmente. Ecco come una pipeline AI elimina il lavoro ripetitivo rimanendo conforme alla nLPD.

Volete approfondire un caso d'uso simile?

Contattaci per un'analisi dei tuoi processi.

Richiedi l'analisi →

Risposta entro 24 ore lavorative

Scrivici su WhatsApp