LPD vs. GDPR: le differenze chiave per le aziende svizzere nel 2026
Diritto svizzero, diritto UE — o entrambi in realtà? Le differenze più importanti tra la LPD rivista e il GDPR a confronto diretto, con pratica concreta per PMI con attività transfrontaliera.
«Siamo un'azienda svizzera, quindi solo la LPD ci riguarda.» Sento spesso questa frase — ed è a volte vera, a volte no. La realtà: non appena operate oltre il confine svizzero, dovete probabilmente osservare entrambi i regimi. Ecco le differenze chiave in panoramica pragmatica.
Ambito di applicazione — il punto decisivo
La LPD rivista è legata all'entità che effettua il trattamento. Chiunque abbia sede in Svizzera e tratti dati personali rientra — indipendentemente da dove risiedano gli interessati. Anche aziende straniere che si rivolgono specificamente a persone in Svizzera possono rientrare nel suo ambito.
Il GDPR invece è legato alla protezione della persona interessata. Chi si rivolge a persone nell'UE («offer goods or services») o ne osserva il comportamento ricade sotto il GDPR — anche se l'azienda è in Svizzera.
La domanda pratica: «Mi rivolgo attivamente a clientela UE?» Se sì, valgono entrambi. Se no, solo LPD.
Consenso — dove diverge davvero
Il GDPR richiede fondamentalmente una base legale per ogni trattamento. Una è il consenso (opt-in, documentato, revocabile). Altre sono l'esecuzione del contratto, l'obbligo legale o l'interesse legittimo.
La LPD è meno formale. Il consenso è obbligatorio solo se vengono trattati dati sensibili o esiste un alto rischio per la personalità (ad esempio profilazione). Per molti trattamenti standard (gestione ordini, newsletter con accordo del cliente), la riconoscibilità dal contesto basta.
Pratica: se volete essere conformi a LPD e GDPR, trattate i consensi in modo conforme GDPR. Così siete automaticamente sopra lo standard LPD.
Diritto d'accesso — simile, non identico
Entrambe le leggi conferiscono agli interessati un diritto d'accesso al trattamento dei loro dati. Entrambe fissano un termine di 30 giorni. Ma:
- GDPR definisce molto precisamente cosa deve contenere l'informazione — finalità, categorie di destinatari, durata di conservazione, origine dei dati, decisioni automatizzate.
- LPD è formulata più apertamente, ma in pratica molto simile. Una risposta conforme GDPR soddisfa anche la LPD.
In pratica, un processo d'accesso comune è redditizio: un destinatario definito nell'azienda, un modello, un workflow documentato.
Informativa privacy — differenza formale, contenuto identico
Gli art. 13 e 14 GDPR elencano le indicazioni obbligatorie di un'informativa privacy. La LPD ha dalla revisione requisiti simili, ma li formula più compattamente.
Chi ha un'informativa conforme GDPR copre automaticamente la LPD. Il contrario non vale necessariamente — un modello LPD potrebbe essere incompleto agli occhi del GDPR.
Rappresentanza — specificità GDPR
Le aziende svizzere che trattano regolarmente dati di persone UE hanno bisogno di un rappresentante UE secondo l'art. 27 GDPR. Questa persona agisce come punto di contatto per le autorità di supervisione UE e gli interessati.
In pratica significa: un servizio giuridico di rappresentanza (diverse centinaia di euro all'anno) o una filiale UE propria. La LPD conosce un obbligo simile per aziende straniere che trattano dati in Svizzera — le aziende svizzere con attività UE potrebbero quindi dover organizzare due rappresentanze.
Sanzioni — la maggiore divergenza
Qui diventa drasticamente diverso:
- GDPR: multe fino a 20 mln EUR o 4 % del fatturato mondiale del gruppo — qualsiasi sia maggiore. Destinatario: l'azienda.
- LPD: multe fino a CHF 250'000. Destinatario: la persona fisica responsabile della violazione (tipicamente l'amministratore).
Entrambe le logiche hanno la loro giustificazione. Il GDPR colpisce l'azienda — il che ha effetto deterrente per i grandi gruppi. La LPD colpisce le persone — il che è più vicino alla realtà delle PMI perché gli amministratori sono di solito direttamente responsabili.
Approccio pratico di doppia conformità
Per PMI svizzere con attività DACH, raccomando la seguente strategia:
- Banner cookie conforme GDPR — opt-in, documentato, revocabile, approccio a strati
- Informativa privacy conforme GDPR — tutti i punti art. 13/14 soddisfatti
- Processo d'accesso conforme GDPR — termine 30 giorni, destinatario definito
- Rappresentante UE — servizio giuridico (es. VGS Datenschutz) da CHF 500/anno
- Registro delle attività di trattamento — anche se non obbligatorio secondo LPD, dà struttura
Con questa configurazione siete conformi a LPD e GDPR. Lo sforzo si sente all'inizio, poi è routine.
Dove la LPD è più indulgente
Tre punti in cui il diritto svizzero è più pragmatico:
- Valutazione d'impatto — solo per trattamenti veramente ad alto rischio, non per ogni nuovo strumento
- Responsabile della protezione dati — volontario, non obbligatorio
- Logica sanzionatoria — persone invece di aziende, il che mantiene la soglia di minaccia bassa per piccole multe ma sensibilizza gli amministratori
Per le PMI, la LPD è complessivamente il regime più piacevole — a condizione di prenderla sul serio e non nascondersi dietro il mito che «tanto è una bagatella».
Cosa offre Aiara
Aiara è costruita da zero per il doppio mondo svizzero. Banner cookie, informativa privacy e impressum coprono simultaneamente LPD e GDPR. Configurate una volta, e il sistema sceglie automaticamente lo standard più severo. Per le agenzie web svizzere con clientela DACH, questo fa risparmiare mezza giornata di lavoro manuale per cliente — e il rischio di violare involontariamente una delle due leggi.
Domande frequenti
Quando il GDPR si applica a un'azienda svizzera?
Non appena vi rivolgete specificamente a persone nell'UE — ad esempio tramite un negozio online in tedesco con spedizione UE, pubblicità UE mirate o rivolgendovi a persone nell'UE — il GDPR si applica a quei trattamenti. Gli scenari puro cliente-da-Germania-a-fornitore-svizzero senza targeting attivo sono meno chiari.
Basta menzionare entrambe le leggi in un'unica informativa privacy?
Se applicate effettivamente entrambi i regimi, sì. La maggior parte delle PMI svizzere con attività DACH fa esattamente così: una sola informativa che cita entrambe le leggi come base e soddisfa i requisiti più severi (GDPR). Questo copre automaticamente la LPD.
Le multe sono altrettanto alte sotto entrambe le leggi?
No. Il GDPR prevede multe fino a 20 mln EUR o 4 % del fatturato mondiale del gruppo — contro l'azienda. La LPD rivista prevede multe fino a CHF 250'000 — contro la persona fisica responsabile della violazione. Svizzera più pragmatica, UE più drastica.
Ho bisogno di un rappresentante UE per trattare dati UE?
Secondo l'art. 27 GDPR, le aziende fuori dall'UE hanno bisogno di un rappresentante nell'UE se trattano regolarmente dati di cittadini UE. Esistono eccezioni per il trattamento occasionale — ma la maggior parte delle PMI svizzere con attività UE attiva ricade sotto l'obbligo di rappresentanza.
Come vengono gestiti diversamente i diritti d'accesso?
Entrambe le leggi concedono diritti d'accesso. GDPR: 30 giorni, gratuito la prima volta, con perimetro minimo chiaramente definito. LPD: anche 30 giorni, perimetro simile, ma formulato un po' più pragmaticamente. In pratica, lo stesso processo deve servire entrambi — chi soddisfa il GDPR soddisfa automaticamente la LPD.
Pronti per un consenso cookie pulito?
Aiara gestisce banner cookie, informativa privacy e impressum del tuo sito — conforme a LPD e GDPR.
Scopri AiaraAltri articoli
22 aprile 2026 · 4 min di lettura
Categorie di cookie spiegate: necessari, funzionali, statistici, marketing
15 aprile 2026 · 4 min di lettura
Radar dei rischi secondo l'allegato A IFPDT: valutare sistematicamente i rischi privacy
3 aprile 2026 · 5 min di lettura