Multe sulla protezione dei dati in Svizzera: chi viene punito — e per cosa
La legge svizzera sulla protezione dei dati prevede multe fino a CHF 250'000 — ma chi le pronuncia davvero, e chi colpiscono? La risposta sorprende: né l'IFPDT, né l'azienda. Cosa è realmente punibile, quali casi sono diventati pubblici finora e dove si trova il vero rischio nella quotidianità del web.

«Multe fino a 250'000 franchi — le distribuisce dunque l'IFPDT, come le autorità europee distribuiscono i loro milioni con il GDPR?» Più o meno così suona spesso il discorso nelle direzioni aziendali svizzere quando si parla di protezione dei dati. Entrambe le ipotesi sono sbagliate: l'IFPDT non può pronunciare alcuna multa, e la multa non colpisce nemmeno l'azienda. Chi capisce il funzionamento reale delle sanzioni della LPD può valutare il proprio rischio in modo realistico — senza panico, ma anche senza false sicurezze. Questo articolo spiega chi viene punito in Svizzera e per cosa, cosa è realmente successo dall'entrata in vigore della legge riveduta e quali errori nella quotidianità del web creano i rischi maggiori.
Le basi della legge stessa le trovate nella nostra guida LPD e nell'articolo «nLPD spiegata in parole semplici».
Il chiarimento più importante: l'IFPDT non pronuncia multe
L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) non può pronunciare multe — la legge federale sulla protezione dei dati (LPD, RS 235.1) semplicemente non gli conferisce questo strumento. Ciò che l'IFPDT può fare è comunque incisivo: apre indagini d'ufficio o su segnalazione e, dalla revisione della legge, emana decisioni vincolanti. Può così ordinare che un trattamento di dati venga adeguato, sospeso o completamente interrotto, che i dati vengano cancellati o distrutti — in pratica, veri e propri divieti di trattamento. Le decisioni di interesse generale vengono inoltre pubblicate, con il nome dell'azienda.
Le multe vere e proprie sono pronunciate dalle autorità cantonali di perseguimento penale — ministeri pubblici o, a seconda del cantone, uffici del prefetto. La LPD attribuisce espressamente ai cantoni il perseguimento e il giudizio dei suoi reati (art. 65 LPD). L'IFPDT può sporgere denuncia e far valere nella procedura i diritti di un accusatore privato — nulla di più.
Tre condizioni limitano ulteriormente il rischio di multa:
- La querela: i reati degli art. 60–62 LPD sono perseguiti solo su querela — tipicamente della persona i cui diritti sono stati violati. Senza querela, nessun procedimento. Unica eccezione: l'inosservanza di una decisione dell'IFPDT (art. 63 LPD) è perseguita d'ufficio.
- L'intenzionalità: è punibile solo chi agisce intenzionalmente. La negligenza — l'omissione accidentale, il modulo trascurato — resta impunita. Attenzione però: basta il dolo eventuale. Chi sa che qualcosa non va e lo accetta consapevolmente agisce con intenzione.
- Le persone fisiche: destinataria della multa non è la società, ma la persona che risponde della violazione.
Chi colpisce la multa: persone, non aziende
La multa colpisce la persona fisica responsabile — in una PMI tipicamente la direzione, nelle organizzazioni più grandi il quadro che ha preso la decisione, in singoli casi anche specialisti come giuristi d'impresa o responsabili della protezione dei dati. Il legislatore lo ha costruito così di proposito: una multa a carico della cassa aziendale si può mettere in conto, un procedimento penale contro la propria persona no.
L'unica eccezione si trova all'art. 64 LPD: se entra in considerazione una multa non superiore a CHF 50'000 e l'identificazione della persona punibile all'interno dell'azienda richiederebbe provvedimenti d'inchiesta sproporzionati, l'autorità può rinunciare a perseguire i singoli e condannare al pagamento della multa l'azienda al loro posto. Si tratta di una semplificazione per le autorità, non di uno scudo per la direzione — quando la responsabilità è chiaramente attribuibile, resta la punibilità personale.
Se un datore di lavoro possa farsi carico di una multa inflitta a un collaboratore è giuridicamente controverso. Nessuno dovrebbe farci affidamento: il procedimento penale in sé — interrogatorio, spese legali, un fascicolo a proprio nome — grava in ogni caso sulla persona interessata.
Per cosa si viene multati: il catalogo dei reati degli art. 60–63 LPD
Sono punibili quattro gruppi di violazioni — tutti con multe fino a CHF 250'000, tutti solo in caso di intenzionalità:
- Violazione degli obblighi di informazione, di accesso e di collaborazione (art. 60 LPD): chi, nella raccolta di dati, omette intenzionalmente di informare le persone interessate o le informa in modo falso — l'informativa sulla protezione dei dati è qui il caso d'applicazione principale — si rende punibile. Lo stesso vale per chi risponde a una richiesta d'accesso con informazioni inesatte o incomplete, o per chi rifiuta di collaborare a un'indagine dell'IFPDT o vi fornisce informazioni false. Una particolarità del diritto d'accesso: secondo la lettura prevalente, ignorare semplicemente una richiesta d'accesso non è punibile — rispondere fornendo intenzionalmente informazioni false o incomplete lo è. Per l'obbligo di informazione, invece, è punibile anche l'omissione completa.
- Violazione degli obblighi di diligenza (art. 61 LPD): ne fanno parte la comunicazione di dati personali all'estero in violazione delle condizioni legali, l'affidamento di un trattamento a un responsabile senza le condizioni dell'art. 9 LPD — si pensi al contratto di trattamento dei dati mancante — e l'inosservanza dei requisiti minimi di sicurezza dei dati stabiliti dal Consiglio federale.
- Violazione dell'obbligo di discrezione (art. 62 LPD): chi rivela intenzionalmente dati personali segreti di cui è venuto a conoscenza nell'esercizio della professione è punito su querela. Questa disposizione va nettamente oltre il classico segreto professionale di medici o avvocati — copre praticamente ogni attività professionale.
- Inosservanza di decisioni (art. 63 LPD): chi non si conforma intenzionalmente a una decisione dell'IFPDT o a una decisione delle autorità di ricorso è punito d'ufficio. È la leva che dà mordente alle decisioni dell'IFPDT: la decisione in sé non costa nulla — la sua inosservanza, fino a CHF 250'000.
LPD e GDPR: due logiche sanzionatorie completamente diverse
Il Regolamento generale sulla protezione dei dati dell'UE multa le aziende, la LPD svizzera punisce le persone — è questa la differenza centrale. Con il GDPR le autorità di controllo infliggono direttamente multe amministrative all'impresa: fino a EUR 20 milioni o al 4 per cento del fatturato annuo mondiale, se superiore. Anche le violazioni per negligenza sono sanzionabili, e non serve alcuna querela.
Il modello svizzero è un modello di diritto penale: procedimento penale cantonale, requisito dell'intenzionalità, reati perseguibili su querela, responsabilità personale. Gli importi sono più contenuti e gli ostacoli procedurali maggiori — ma il rischio è strettamente personale. Per le aziende svizzere con clientela nell'UE, di regola i due regimi si applicano in parallelo: il GDPR per i trattamenti con un legame con l'UE, la LPD per tutto il resto. Abbiamo approfondito entrambi i quadri normativi nella nostra guida LPD e nella nostra guida GDPR.
Cosa è successo davvero finora
Dall'entrata in vigore della LPD riveduta il 1° settembre 2023 sono diventate pubbliche solo poche multe — e gli importi noti sono contenuti. Un caso documentato pubblicamente: l'ufficio del prefetto (Statthalteramt) del distretto di Zurigo ha inflitto, con decreto d'accusa del 4 marzo 2025, una multa di CHF 600 (più CHF 430 di spese procedurali) a un giurista d'impresa di TX Group AG — per informazioni intenzionalmente inesatte o incomplete in risposta a una richiesta d'accesso (art. 60 cpv. 1 lett. a LPD). Al momento della sua divulgazione il decreto d'accusa non era cresciuto in giudicato; l'interessato ha fatto opposizione. Inoltre, studi legali d'affari riferiscono di prime multe cresciute in giudicato per violazione intenzionale del diritto d'accesso — tutte inferiori a CHF 1'000 spese comprese, nessuna pubblicata ufficialmente.
Molto più visibile è l'attività di vigilanza dell'IFPDT. Sulla sua pagina delle decisioni pubblica le indagini concluse facendo i nomi delle aziende: contro Cembra Money Bank AG (gennaio 2025, termini e portata delle risposte alle richieste d'accesso), contro Inkasso-Team AG (aprile 2025, pubblicazione online di dati di debitori) o ancora, nell'aprile 2026, contro due società legate al marchio di moda Philipp Plein (principi di trattamento, diritti di cancellazione e di opposizione). Nel suo rapporto d'attività 2024/2025 l'IFPDT annuncia inoltre un intervento rafforzato contro le violazioni del diritto — con circa il 30 per cento di personale in più nella vigilanza.
Il bilancio onesto è quindi questo: il pericolo pratico risiede oggi meno in una multa spettacolare che in tre altre conseguenze. Primo, nell'indagine dell'IFPDT stessa — assorbe risorse, può concludersi con una decisione pubblicata con il nome dell'azienda e crea, tramite l'art. 63 LPD, un vero rischio di multa per il futuro. Secondo, nel danno reputazionale: una decisione pubblicata o un articolo di stampa su un procedimento in materia di protezione dei dati lascia tracce ben più durature di qualsiasi multa. Terzo, nelle pretese civili delle persone interessate, dall'azione per l'accesso o la cancellazione fino alla riparazione del torto morale. Senza dimenticare: anche una multa di CHF 600 significa un procedimento penale contro una persona precisa — con tutto ciò che comporta.
Quali errori creano i rischi maggiori nel contesto web
Tre situazioni della quotidianità dei siti web portano nel modo più diretto alle disposizioni penali e nel mirino della vigilanza:
Primo: l'informativa sulla protezione dei dati falsa o mancante. L'art. 60 LPD punisce sia l'omissione dell'informazione sia l'informazione falsa. Il caso più delicato è il modello copiato che non corrisponde alla realtà: chi sa che sul sito girano servizi di analisi e marketing che nell'informativa non compaiono, e lascia consapevolmente le cose come stanno, si avvicina al dolo eventuale — e documenta da sé la contraddizione.
Secondo: le richieste d'accesso ignorate o gestite male. L'unico caso di multa documentato pubblicamente finora riguarda proprio questo obbligo, e anche la prima decisione pubblicata dell'IFPDT contro un'azienda verteva sui termini di risposta alle richieste d'accesso. Il rimedio è poco spettacolare: una persona responsabile, un modello di risposta, il termine di 30 giorni sotto controllo.
Terzo: il tracciamento senza trasparenza e senza consenso dove è richiesto. Cookie e servizi di tracciamento di cui non si informa da nessuna parte violano l'obbligo di informazione; in caso di profilazione ad alto rischio o di visitatori dall'UE, difficilmente si può fare a meno di un consenso autentico. È esattamente qui che entrano in gioco i criteri di verifica che l'IFPDT utilizza per la sua vigilanza — li abbiamo analizzati nell'articolo sul radar dei rischi secondo l'allegato A dell'IFPDT. Chi vuole sapere a che punto è il proprio sito può verificarlo con lo scanner del sito web gratuito: mostra quali cookie e servizi girano realmente — la base per un'informativa sulla protezione dei dati che corrisponde alla realtà.
Conclusione: multe piccole, rischio personale reale
Il sistema sanzionatorio svizzero non è un clone del GDPR: l'IFPDT indaga ed emana decisioni, mentre le multe arrivano dalle autorità cantonali di perseguimento penale — su querela, solo in caso di intenzionalità e contro la persona responsabile anziché contro la società. Le multe note finora sono contenute e il numero di casi limitato. Concluderne che non ci sia nulla da temere sarebbe però un errore: l'IFPDT sta visibilmente ampliando la sua vigilanza, le decisioni pubblicate colpiscono la reputazione e il rischio penale grava personalmente sulla direzione.
La buona notizia: gli obblighi che creano i rischi maggiori nel contesto web si possono mettere al sicuro in modo sistematico. Con Aiara la vostra informativa sulla protezione dei dati e il vostro banner dei cookie restano automaticamente sincronizzati con ciò che gira realmente sul vostro sito — lo scanner dei cookie lo verifica costantemente. Sparisce così proprio quella contraddizione tra carta e realtà che, nel momento decisivo, pesa di più.
Domande frequenti
L'IFPDT può pronunciare multe?
No. L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) indaga sulle violazioni e può emanare decisioni vincolanti — per esempio ordinare che un trattamento di dati venga adeguato, sospeso o del tutto vietato. Le multe sono pronunciate esclusivamente dalle autorità cantonali di perseguimento penale, e per la maggior parte dei reati solo su querela di una persona interessata.
A quanto possono ammontare le multe secondo la legge svizzera sulla protezione dei dati?
Fino a CHF 250'000 — a carico della persona fisica responsabile, non dell'azienda. Solo quando entra in considerazione una multa non superiore a CHF 50'000 e l'identificazione della persona responsabile richiederebbe uno sforzo sproporzionato, l'azienda può essere condannata al pagamento al suo posto, secondo l'art. 64 LPD.
Chi viene multato — l'azienda o la direzione?
In linea di principio la persona fisica responsabile della violazione: la direzione, il quadro che ha preso la decisione, in singoli casi anche specialisti come giuristi d'impresa o consulenti per la protezione dei dati. È una differenza fondamentale rispetto al Regolamento generale sulla protezione dei dati dell'UE, che prevede multe alle aziende.
Le violazioni per negligenza sono punibili?
No. È punibile solo il comportamento intenzionale — basta però il dolo eventuale, cioè l'accettazione consapevole di una violazione. I reati degli art. 60–62 LPD sono inoltre perseguiti solo su querela; unicamente l'inosservanza di una decisione dell'IFPDT (art. 63 LPD) è perseguita d'ufficio.
Ci sono già state multe in Svizzera con la nuova legge sulla protezione dei dati?
Poche — e gli importi noti sono contenuti. Un caso documentato pubblicamente: un decreto d'accusa dell'ufficio del prefetto (Statthalteramt) del distretto di Zurigo del marzo 2025, con una multa di CHF 600 a un giurista d'impresa per informazioni inesatte in risposta a una richiesta d'accesso; studi legali riferiscono inoltre di prime multe cresciute in giudicato, inferiori a CHF 1'000. Il pericolo pratico risiede oggi piuttosto nelle indagini dell'IFPDT, nei danni reputazionali e nelle pretese civili.
Pronti per un consenso cookie pulito?
Aiara gestisce banner cookie, informativa privacy e impressum del tuo sito — conforme a LPD e GDPR.
Scopri AiaraAltri articoli

22 gennaio 2026 · 5 min di lettura
Obbligo del banner cookie in Svizzera: cosa vale davvero nel 2026

3 luglio 2026 · 8 min di lettura
Contratto di trattamento dei dati su commissione in Svizzera: quando serve — con checklist

19 maggio 2026 · 9 min di lettura