La Svizzera gode di una reputazione internazionale per la protezione dei dati, la discrezione e lo Stato di diritto. Questa reputazione è un vantaggio competitivo per le aziende svizzere, in particolare nei settori regolamentati come i servizi finanziari, il diritto e la sanità. Eppure, proprio questo vantaggio viene minacciato dal modo in cui molte aziende utilizzano i propri strumenti di IA.
Chi affida i propri dati a un provider cloud statunitense per utilizzare servizi di IA compromette la sovranità sui dati che i propri mandanti e clienti si aspettano. Non si tratta di un rischio ipotetico. È una realtà giuridica.
Cosa significa sovranità dei dati
La sovranità dei dati indica il controllo su dove i dati vengono archiviati, chi vi può accedere e a quale ordinamento giuridico sono soggetti. Per le aziende svizzere questo significa: i dati trattati e archiviati in Svizzera sono soggetti al diritto svizzero. I dati trattati da un’azienda statunitense sono potenzialmente soggetti al diritto statunitense, indipendentemente dalla collocazione del server.
Questa distinzione non è accademica. Ha conseguenze giuridiche concrete.
Il problema del CLOUD Act
Il CLOUD Act statunitense (Clarifying Lawful Overseas Use of Data Act) è stato approvato nel 2018. Conferisce alle autorità statunitensi il potere di richiedere la consegna di dati alle aziende statunitensi, anche quando tali dati sono archiviati al di fuori degli USA.
Ciò riguarda direttamente le aziende svizzere che utilizzano servizi di Microsoft, Google, Amazon o altri fornitori tecnologici statunitensi. Anche se i dati si trovano fisicamente su un server a Zurigo, se il fornitore è un’azienda statunitense (o ha una filiale statunitense), il governo USA può teoricamente richiederne l’accesso.
Per gli studi legali svizzeri questo è particolarmente problematico. Il segreto professionale ai sensi dell’art. 13 LLCA è assoluto. La consegna di dati dei mandanti ad autorità estere costituirebbe una violazione grave. Per le banche e i gestori patrimoniali si applicano obblighi di riservatezza analoghi. Per i fornitori di servizi sanitari, il segreto medico protegge i dati.
La questione non è se le autorità statunitensi accedano effettivamente ai dati svizzeri. La questione è se la possibilità giuridica sussista. E sussiste.
La Legge federale sulla protezione dei dati (LPD)
La nuova Legge federale sulla protezione dei dati (LPD), in vigore da settembre 2023, inasprisce considerevolmente i requisiti per il trattamento dei dati personali.
Comunicazione di dati all’estero (art. 16-18 LPD). I dati personali possono essere comunicati solo a Paesi che garantiscono un livello adeguato di protezione dei dati. L’elenco dei Paesi riconosciuti è stabilito dal Consiglio federale. Per gli USA non esiste una decisione di adeguatezza generale. Le comunicazioni richiedono garanzie supplementari come clausole contrattuali tipo o il consenso esplicito della persona interessata.
Obblighi del titolare del trattamento (art. 5-8 LPD). Chi tratta dati personali deve adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati. L’utilizzo di servizi di IA che inviano dati a server statunitensi può violare questo obbligo se non esistono misure di protezione sufficienti.
Disposizioni penali (art. 60-66 LPD). Le violazioni della LPD possono ora essere sanzionate con multe fino a CHF 250'000. A differenza del GDPR, le sanzioni sono dirette contro le persone fisiche, non contro le aziende. Ciò significa: l’amministratore delegato o il responsabile della protezione dei dati risponde personalmente.
Rilevanza del GDPR per le aziende svizzere
Le aziende svizzere che trattano dati di cittadini UE o offrono beni e servizi nello spazio UE sono soggette anche al GDPR. I requisiti per la comunicazione di dati verso Paesi terzi sono ancora più severi sotto il GDPR che sotto la LPD.
Dopo la sentenza Schrems II della CGUE (2020), il Privacy Shield UE-USA è stato invalidato. Il Data Privacy Framework UE-USA del 2023 offre un nuovo quadro, la cui stabilità resta tuttavia controversa. Le aziende svizzere che si affidano a questo quadro assumono un rischio normativo.
Perché questo è particolarmente rilevante per l’IA
I sistemi di IA trattano grandi volumi di dati. Uno strumento di ricerca giuridica assistito dall’IA legge i documenti dei mandanti. Uno strumento di compliance analizza direttive interne e dati finanziari. Uno strumento di analisi documentale elabora contratti con informazioni commerciali riservate.
Se questa elaborazione avviene sull’infrastruttura di un’azienda statunitense, tutti questi dati sono potenzialmente soggetti al CLOUD Act. Ciò vale anche quando il fornitore promette di non leggere i dati o di archiviarli solo in Europa. La possibilità di accesso giuridico sussiste indipendentemente dalle garanzie contrattuali.
A ciò si aggiunge un rischio tecnico: molti fornitori di IA utilizzano i dati degli utenti per addestrare i propri modelli. Anche se un fornitore dichiara di non farlo, i confini tecnici sono spesso poco chiari. La soluzione più sicura è non inviare affatto dati a fornitori le cui pratiche di trattamento dei dati non sono pienamente controllabili.
Cosa possono fare concretamente le aziende svizzere
La sovranità dei dati non è un obiettivo astratto. Esistono misure concrete che le aziende possono adottare.
Verificare il luogo di hosting e il gestore
Dove vengono elaborati i dati? Chi gestisce l’infrastruttura? Un centro dati svizzero gestito da un’azienda statunitense non offre protezione dal CLOUD Act. Ciò che conta non è la collocazione del server, ma la giurisdizione del gestore.
Non considerare le clausole contrattuali come sufficienti
Le clausole contrattuali tipo e gli accordi sulla protezione dei dati offrono un quadro giuridico. Ma non possono neutralizzare il CLOUD Act. Un’azienda statunitense che riceve un ordine di consegna dalle autorità deve ottemperare, indipendentemente dai contratti con i clienti svizzeri.
Scegliere fornitori di IA sotto giurisdizione svizzera
La misura più efficace è utilizzare strumenti di IA di fornitori non soggetti alla giurisdizione statunitense. Le aziende svizzere che gestiscono la propria infrastruttura in Svizzera e non hanno una società madre statunitense non sono soggette al CLOUD Act. I dati sono soggetti esclusivamente al diritto svizzero.
Introdurre una classificazione dei dati
Non tutti i dati hanno la stessa sensibilità. Una classificazione dei dati aiuta a determinare il livello di protezione adeguato. I dati giuridici pubblicamente disponibili possono eventualmente essere elaborati anche tramite servizi internazionali. I dati riservati dei mandanti, i segreti commerciali o i dati sanitari richiedono la sovranità svizzera.
Valutare l’architettura tecnica
Come elabora i dati il sistema di IA? Vengono inviati ad API esterne? Vengono utilizzati per l’addestramento del modello? Vengono cancellati dopo l’elaborazione? Richiedete documentazione tecnica, non solo promesse di marketing.
Il vantaggio competitivo della sovranità dei dati
La sovranità dei dati non è solo un obbligo di compliance. È un vantaggio competitivo. Le aziende svizzere che possono dimostrare che i propri dati sono soggetti esclusivamente al diritto svizzero si differenziano rispetto ai concorrenti internazionali.
Per gli studi legali questo significa: i mandanti hanno fiducia che i loro dati siano protetti. Per i fornitori di servizi finanziari: i clienti sanno che i loro dati patrimoniali non sono potenzialmente accessibili alle autorità statunitensi. Per le aziende in generale: partner e clienti nell’UE apprezzano gli standard svizzeri di protezione dei dati come alternativa ai servizi dominati dagli USA.
In un mondo in cui gli strumenti di IA diventano lo standard, la domanda non sarà se un’azienda utilizza l’IA. La domanda sarà se utilizza l’IA senza rinunciare al controllo sui propri dati.
L’IA sovrana come risposta svizzera
La Svizzera ha tutte le premesse per offrire un’infrastruttura di IA sovrana: stabilità politica, leggi solide sulla protezione dei dati, eccellente infrastruttura tecnica e un quadro giuridico che tutela la riservatezza.
Ciò che finora mancava erano strumenti di IA che sfruttassero queste premesse. Questo sta cambiando.
La piattaforma Enclava di Mont Virtua è interamente ospitata in Svizzera e gestita da un’azienda svizzera. Nessuna dipendenza da aziende statunitensi, nessun rischio CLOUD Act, nessuna comunicazione di dati all’estero. Tutti i dati sono soggetti esclusivamente al diritto svizzero.
Se la sovranità dei dati è rilevante per la vostra azienda, parliamone. Contattateci all’indirizzo [email protected] oppure visitate la nostra pagina di contatto.