nLPD e IA: obblighi delle PMI svizzere nel 2026

La nuova legge federale sulla protezione dei dati (nLPD), entrata in vigore il 1° settembre 2023, ha profondamente modificato il quadro giuridico in cui le imprese svizzere utilizzano le tecnologie di intelligenza artificiale. Per le PMI svizzere, questa normativa rappresenta sia una sfida di conformità che un'opportunità per distinguersi attraverso pratiche etiche e trasparenti.

Con l'adozione dell'IA che accelera nel tessuto economico svizzero, è fondamentale comprendere le implicazioni concrete della nLPD sui vostri progetti di intelligenza artificiale. Questo articolo dettaglia gli obblighi legali, i rischi e le misure pratiche da implementare.

Promemoria: cos'è la nLPD?

La nuova legge sulla protezione dei dati (nLPD) sostituisce la legge federale del 1992, ormai obsoleta di fronte alle sfide digitali contemporanee. Ispirata al RGPD europeo ma con specificità elvetiche, rafforza significativamente i diritti delle persone interessate e gli obblighi dei responsabili del trattamento.

I principi fondamentali applicabili all'IA

La nLPD si basa su diversi principi direttamente rilevanti per i sistemi di IA:

Trasparenza: ogni persona i cui dati sono trattati deve essere informata
Finalità: i dati possono essere utilizzati solo per lo scopo dichiarato al momento della raccolta
Proporzionalità: devono essere trattati solo i dati strettamente necessari
Esattezza: i dati devono essere corretti e aggiornati
Sicurezza: devono essere adottate misure tecniche e organizzative adeguate per proteggere i dati

Questi principi si applicano integralmente ai sistemi di IA, che si tratti di un chatbot, di uno strumento di scoring dei clienti o di un algoritmo di reclutamento.

Gli obblighi specifici delle PMI che utilizzano l'IA

1. Obbligo rafforzato di informazione

Quando una PMI implementa un sistema di IA che tratta dati personali, deve informare le persone interessate in modo chiaro e comprensibile. Queste informazioni devono specificare:

L'identità del responsabile del trattamento
La finalità del trattamento automatizzato
Le categorie di dati trattati
Gli eventuali destinatari dei dati
Se applicabile, il trasferimento di dati all'estero

Esempio concreto: se la vostra PMI utilizza un CRM con IA per analizzare il comportamento dei clienti, dovete informarli che le loro interazioni sono analizzate da un algoritmo, per quale scopo e quali dati vengono utilizzati.

2. Analisi d'impatto relativa alla protezione dei dati (AIPD)

L'articolo 22 della nLPD impone la realizzazione di un'analisi d'impatto quando un trattamento presenta un rischio elevato per la personalità o i diritti fondamentali delle persone interessate. I sistemi di IA spesso presentano questo livello di rischio, in particolare quando:

Creano profili di personalità
Trattano dati sensibili su larga scala
Monitorano sistematicamente spazi accessibili al pubblico
Prendono decisioni automatizzate con effetti giuridici

Costo stimato: un'AIPD completa per un progetto IA costa tra 3'000 e 15'000 CHF a seconda della complessità, un investimento ragionevole rispetto alle sanzioni possibili.

3. Tenuta del registro delle attività di trattamento

Ogni azienda con più di 250 collaboratori deve tenere un registro delle attività di trattamento. Al di sotto di questa soglia, l'obbligo si applica comunque se il trattamento presenta un rischio elevato — il che è spesso il caso con l'IA.

Questo registro deve documentare:

Ogni sistema di IA utilizzato e i dati che tratta
La base giuridica del trattamento
Le misure di sicurezza adottate
Gli eventuali subappaltatori coinvolti
La durata di conservazione dei dati

4. Diritto a una decisione umana

Punto cruciale per le PMI che utilizzano l'IA nei loro processi decisionali: l'articolo 21 della nLPD concede alle persone interessate il diritto di richiedere che una decisione automatizzata con effetti giuridici sia riesaminata da un essere umano.

Concretamente, se il vostro sistema di IA rifiuta automaticamente una candidatura, un credito o determina una tariffa, la persona interessata può richiedere una revisione manuale di questa decisione.

Le sanzioni in caso di non conformità

La nLPD prevede sanzioni penali che possono raggiungere 250'000 CHF per le persone fisiche responsabili. A differenza del RGPD, non sono le aziende ma gli individui (dirigenti, responsabili IT) a essere personalmente sanzionati.

Le infrazioni più frequenti relative all'IA includono:

| Infrazione | Multa massima | |---|---| | Mancanza di informazione | 250'000 CHF | | Violazione del dovere di diligenza con i subappaltatori | 250'000 CHF | | Violazione dei requisiti minimi di sicurezza | 250'000 CHF | | Mancato rispetto dell'obbligo di segnalazione delle violazioni | 250'000 CHF |

Il Preposto federale alla protezione dei dati e alla trasparenza (PFPDT) dispone inoltre di ampi poteri investigativi e può ordinare la modifica o la cessazione di un trattamento non conforme.

Guida pratica: 7 passi per garantire la conformità nLPD dei vostri progetti IA

Passo 1: Mappare i vostri trattamenti IA esistenti

Prima di tutto, fate un inventario esaustivo di tutti gli strumenti di IA utilizzati nella vostra PMI. Questo include le soluzioni SaaS che integrano l'IA, anche quando questa componente non è evidenziata dal fornitore.

Passo 2: Valutare i rischi di ogni trattamento

Per ogni sistema di IA identificato, determinate il livello di rischio in base ai dati trattati, al volume, alla finalità e alle conseguenze potenziali per le persone interessate.

Passo 3: Aggiornare le vostre dichiarazioni di riservatezza

Le vostre note legali e politiche di riservatezza devono menzionare esplicitamente l'uso dell'IA, i dati trattati e i diritti delle persone interessate.

Passo 4: Verificare i contratti con i fornitori di IA

Ogni fornitore di soluzioni IA costituisce un subappaltatore ai sensi della nLPD. Un contratto conforme all'articolo 9 deve regolare il rapporto, specificando in particolare le misure di sicurezza, gli obblighi di riservatezza e le modalità di restituzione o distruzione dei dati.

Passo 5: Mettere in sicurezza i flussi di dati transfrontalieri

Molti strumenti di IA (ChatGPT, Google Cloud AI, AWS) ospitano i loro dati negli Stati Uniti. La nLPD impone garanzie specifiche per questi trasferimenti: clausole contrattuali standard, certificazione o consenso esplicito.

Consiglio: privilegiate le soluzioni ospitate in Svizzera o nell'UE quando possibile. Esistono alternative locali per molti casi d'uso.

Passo 6: Documentare i vostri processi decisionali automatizzati

Per ogni decisione automatizzata dall'IA che abbia un impatto significativo sulle persone, documentate il funzionamento dell'algoritmo, i criteri utilizzati e il meccanismo di revisione umana.

Passo 7: Formare i vostri team

La conformità nLPD non è solo una questione del dipartimento legale. Ogni collaboratore che utilizza strumenti di IA deve comprendere i principi base della protezione dei dati e le buone pratiche da rispettare.

Il caso particolare dell'IA generativa

L'uso di strumenti di IA generativa (ChatGPT, Claude, Midjourney) da parte dei collaboratori di una PMI pone sfide specifiche:

Rischio di divulgazione involontaria: i dati inseriti in uno strumento di IA generativa possono essere utilizzati per addestrare il modello. È opportuno vietare formalmente l'inserimento di dati personali o riservati.
Hosting fuori dalla Svizzera: la maggior parte di questi strumenti è ospitata negli Stati Uniti, richiedendo garanzie aggiuntive.
Assenza di controllo sui risultati: i contenuti generati possono contenere informazioni errate o distorte, potenzialmente coinvolgendo la responsabilità dell'azienda.

Una carta d'uso dell'IA generativa, approvata dalla direzione e comunicata a tutti i collaboratori, costituisce un minimo indispensabile.

L'articolazione con il regolamento europeo sull'IA (AI Act)

Sebbene la Svizzera non sia direttamente soggetta all'AI Act europeo entrato in vigore progressivamente dal 2024, le PMI svizzere che esportano verso l'UE o servono clienti europei devono tenerne conto. I requisiti dell'AI Act in materia di trasparenza, gestione dei rischi e supervisione umana completano utilmente il quadro della nLPD.

Inoltre, il Consiglio federale ha annunciato di lavorare su un quadro normativo specifico per l'IA, che potrebbe ispirarsi all'approccio europeo. Conformarsi fin da ora alle buone pratiche rappresenta un investimento preventivo intelligente.

Budget conformità nLPD per un progetto IA

| Voce | Costo stimato (CHF) | |---|---| | Audit iniziale di conformità | 2'000 – 5'000 | | Analisi d'impatto (AIPD) | 3'000 – 15'000 | | Aggiornamento dei documenti legali | 1'500 – 4'000 | | Formazione dei team | 1'000 – 3'000 | | Supporto annuale | 2'000 – 8'000 | | Totale primo anno | 9'500 – 35'000 |

Questi importi, sebbene significativi, rimangono molto inferiori alle potenziali sanzioni e costituiscono un investimento nella fiducia dei vostri clienti e partner.

Conclusione

La conformità nLPD nell'ambito dei progetti IA non è un'opzione per le PMI svizzere: è un obbligo legale accompagnato da sanzioni personali significative. Oltre all'aspetto normativo, un approccio responsabile all'IA rappresenta un vero vantaggio competitivo in un mercato svizzero dove la fiducia è un valore cardinale.

L'essenziale è non aspettare un incidente per agire. Un approccio proattivo, strutturato e proporzionato alla dimensione della vostra azienda vi permetterà di sfruttare appieno l'IA rispettando i diritti dei vostri clienti, collaboratori e partner.

Desiderate valutare la conformità nLPD dei vostri progetti IA? Richiedete il vostro audit gratuito e ricevete una diagnosi personalizzata entro 48 ore.

Risorsa esterna

Preposto federale alla protezione dei dati (PFPDT) — Guida nLPD