La nuova Legge federale sulla protezione dei dati (LPD) è in vigore dal 1° settembre 2023. A distanza di oltre due anni, la pratica dimostra che molte aziende svizzere hanno implementato le basi, ma le criticità restano nei dettagli. I registri delle attività di trattamento sono incompleti, le valutazioni d’impatto sulla protezione dei dati mancano, i contratti con i responsabili del trattamento sono obsoleti e l’integrazione di sistemi di IA genera nuove lacune di conformità che nel 2023 non erano prevedibili.
Questa checklist non sostituisce la consulenza legale. È uno strumento pratico per verificare lo stato attuale della vostra conformità LPD e identificare i principali ambiti di intervento.
Basi: cosa deve essere in ordine dal settembre 2023
I punti seguenti sono obbligatori dall’entrata in vigore della nuova LPD. Se presentate lacune in queste aree, è necessario intervenire immediatamente.
Registro delle attività di trattamento (art. 12 LPD). Ogni azienda con più di 250 collaboratori o che tratta dati personali degni di particolare protezione deve tenere un registro di tutte le attività di trattamento. Il registro deve documentare la finalità del trattamento, le categorie di persone interessate, le categorie di dati personali trattati, i destinatari, i tempi di conservazione e le misure tecniche e organizzative. Nella pratica, un registro delle attività di trattamento è raccomandato per tutte le aziende, indipendentemente dalle dimensioni.
Informativa sulla protezione dei dati (art. 19 LPD). La vostra informativa sulla protezione dei dati deve presentare in modo trasparente l’identità del titolare del trattamento, la finalità del trattamento, i destinatari, la comunicazione all’estero e i diritti delle persone interessate. Verificate se la vostra informativa rispecchia la nuova LPD o se è ancora basata sulla versione precedente della legge.
Obbligo d’informazione al momento della raccolta (art. 19 LPD). Ad ogni raccolta di dati personali le persone interessate devono essere informate. Questo vale non solo per i moduli web, ma anche per le rilevazioni telefoniche, lo scambio di biglietti da visita, i processi di candidatura e qualsiasi altra forma di raccolta dati.
Contratti con i responsabili del trattamento (art. 9 LPD). Se fate trattare dati personali da terzi, necessitate di un contratto scritto che disciplini il trattamento. Questo riguarda fornitori cloud, prestatori di servizi IT, uffici paghe, agenzie di marketing e qualsiasi altro responsabile del trattamento. I contratti devono garantire che il responsabile del trattamento elabori i dati solo secondo le vostre istruzioni e assicuri un’adeguata sicurezza dei dati.
Valutazione d’impatto sulla protezione dei dati (art. 22 LPD). Se un trattamento comporta un rischio elevato per la personalità o i diritti fondamentali delle persone interessate, dovete effettuare una valutazione d’impatto sulla protezione dei dati prima del trattamento. Questo vale in particolare per la profilazione con rischio elevato, il trattamento su larga scala di dati degni di particolare protezione e la sorveglianza sistematica di spazi pubblici.
Obbligo di notifica in caso di violazione della sicurezza dei dati (art. 24 LPD). Le violazioni della sicurezza dei dati che possono comportare un rischio elevato per le persone interessate devono essere notificate all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) il più rapidamente possibile. Avete un processo per il rilevamento, la valutazione e la notifica delle violazioni della protezione dei dati?
IA e protezione dei dati: le nuove sfide del 2026
Dal 2023, il panorama dell’IA è cambiato radicalmente. La maggior parte delle aziende oggi utilizza strumenti di IA, spesso senza aver considerato appieno le implicazioni in materia di protezione dei dati. Qui si annidano i maggiori rischi di conformità nel 2026.
Trattamento dei dati assistito dall’IA. Se utilizzate sistemi di IA che trattano dati personali, i principi della LPD si applicano senza restrizioni. Finalità, proporzionalità, minimizzazione dei dati, esattezza e trasparenza devono essere rispettati anche nel trattamento assistito dall’IA. Il fatto che un algoritmo elabori i dati al posto di un essere umano non modifica gli obblighi.
Decisioni individuali automatizzate (art. 21 LPD). La LPD conferisce alle persone interessate il diritto di essere informate sulle decisioni individuali esclusivamente automatizzate e di esprimere il proprio punto di vista. Se il vostro sistema di IA prende decisioni con effetti significativi sulle persone (decisioni di credito, preselezione di candidature, calcolo dei premi assicurativi), dovete garantire questo diritto.
Comunicazione all’estero (art. 16-17 LPD). L’utilizzo di strumenti di IA basati su cloud comporta spesso una comunicazione di dati all’estero. Se il server del fornitore di IA si trova fuori dalla Svizzera o se i dati vengono trasmessi a un Paese terzo per l’elaborazione, dovete verificare se il Paese destinatario offre un livello adeguato di protezione dei dati. Per gli USA, lo Swiss-US Data Privacy Framework fornisce una base, ma le condizioni sono complesse e non adatte a tutti i trattamenti.
Profilazione (art. 5 lett. f e g LPD). La nuova LPD distingue tra profilazione semplice e profilazione a rischio elevato. I sistemi di IA che creano profili personali, analizzano modelli comportamentali o formulano previsioni su persone rientrano nelle disposizioni sulla profilazione. In caso di profilazione a rischio elevato si applicano requisiti più severi, in particolare l’obbligo di ottenere il consenso esplicito nel caso di titolari privati.
La checklist: 15 punti per la vostra conformità LPD 2026
Esaminate i seguenti punti e valutate per ciascuno se nella vostra azienda è stato completamente attuato, parzialmente attuato o non attuato.
1. Registro delle attività di trattamento. Il vostro registro è completo e aggiornato? I sistemi di IA e i relativi trattamenti sono registrati?
2. Informativa sulla protezione dei dati. La vostra informativa corrisponde alla nuova LPD? Tutte le finalità di trattamento sono esposte in modo trasparente, inclusi i trattamenti assistiti dall’IA?
3. Obbligo d’informazione. Le persone interessate vengono correttamente informate ad ogni raccolta di dati? Anche nei contatti telefonici, nei processi di candidatura e negli eventi?
4. Contratti con i responsabili del trattamento. Disponete di contratti aggiornati con tutti i responsabili del trattamento (fornitori cloud, prestatori di servizi IT, fornitori di IA) conformi ai requisiti della LPD?
5. Valutazione d’impatto sulla protezione dei dati. Avete effettuato una valutazione d’impatto per tutti i trattamenti a rischio elevato? In particolare per i sistemi di IA che trattano dati personali o effettuano profilazioni?
6. Processo di notifica per le violazioni della protezione dei dati. Esiste un processo documentato per il rilevamento, la valutazione e la notifica delle violazioni all’IFPDT?
7. Diritti delle persone interessate. Siete in grado di rispondere alle richieste di accesso (art. 25 LPD) entro 30 giorni? Esiste un processo per le richieste di rettifica e cancellazione?
8. Comunicazione di dati all’estero. Avete garantito le tutele necessarie per tutte le trasmissioni di dati all’estero? I Paesi destinatari e le basi giuridiche sono documentati?
9. Misure tecniche e organizzative. Le vostre misure di sicurezza sono adeguate allo stato della tecnica? Crittografia, controlli degli accessi, registrazione, concetto di backup?
10. Decisioni individuali automatizzate. Se utilizzate l’IA per decisioni riguardanti le persone: le persone interessate vengono informate? Possono esprimere il proprio punto di vista?
11. Privacy by Design e by Default. I requisiti di protezione dei dati vengono considerati fin dall’inizio nei nuovi progetti e sistemi? Le impostazioni predefinite sono orientate alla tutela della privacy?
12. Formazione. I vostri collaboratori sono formati sulla gestione dei dati personali? Sanno come riconoscere e segnalare le violazioni della protezione dei dati?
13. Cancellazione e conservazione dei dati. Disponete di un concetto di cancellazione? I dati vengono effettivamente cancellati alla scadenza del termine di conservazione?
14. Inventario IA. Avete una panoramica di tutti i sistemi di IA nella vostra azienda che trattano dati personali? I flussi di dati sono documentati?
15. Responsabilità. È chiaramente definito chi nella vostra azienda è responsabile della protezione dei dati? Esiste un consulente per la protezione dei dati (facoltativo, ma raccomandato)?
Punti deboli ricorrenti nella pratica
Dall’esperienza con aziende svizzere di diverse dimensioni e settori emergono problemi ricorrenti.
Registri delle attività di trattamento incompleti. La maggior parte dei registri è stata creata nel 2023 e da allora non è stata aggiornata. Mancano i nuovi strumenti di IA, i servizi cloud e i flussi di dati.
Valutazioni d’impatto mancanti per i sistemi di IA. Molte aziende hanno introdotto strumenti di IA senza effettuare una valutazione d’impatto sulla protezione dei dati. Ciò è particolarmente critico per i sistemi che utilizzano dati personali per la profilazione, lo scoring o le decisioni automatizzate.
Contratti obsoleti con i responsabili del trattamento. I contratti con i fornitori cloud e i prestatori di servizi IT sono stati spesso stipulati prima dell’introduzione delle funzionalità di IA. I nuovi flussi di dati non sono coperti.
Flussi di dati poco chiari nell’ambito dell’IA. Molte aziende non sanno esattamente dove vanno i dati quando i collaboratori utilizzano strumenti di IA. I dati in ingresso vengono utilizzati per l’addestramento del modello? Dove vengono archiviati i dati? Chi ha accesso?
Mancanza di trasparenza verso le persone interessate. Clienti e collaboratori vengono raramente informati del fatto che i loro dati vengono elaborati da sistemi di IA.
Rendere compatibili protezione dei dati e IA
La conformità alla LPD e l’utilizzo dell’IA non si escludono a vicenda. Richiedono però la giusta infrastruttura. Quando i dati vengono elaborati e archiviati in Svizzera, quando i flussi di dati sono trasparenti e documentati, quando ogni output è tracciabile e quando le persone interessate possono esercitare i propri diritti, l’IA può essere impiegata nel rispetto della protezione dei dati.
Enclava è stata sviluppata come piattaforma svizzera di IA per i settori regolamentati, con piena attenzione alla sovranità dei dati, alla trasparenza e alla tracciabilità. Tutti i dati vengono elaborati e archiviati in Svizzera. Ogni output è attribuito alle fonti e tracciabile. L’architettura è concepita fin dalle fondamenta per la conformità.
Se desiderate aggiornare la vostra conformità LPD e allo stesso tempo utilizzare l’IA, trovate ulteriori informazioni su enclava.ch oppure scriveteci a [email protected].