nLPD spiegata in parole semplici: la nuova legge svizzera sulla protezione dei dati per le PMI
Dal 1° settembre 2023 si applica la nLPD — senza periodo transitorio e a praticamente ogni azienda. Cosa significa concretamente la nuova legge sulla protezione dei dati per le PMI svizzere: i cinque obblighi principali, le sanzioni e una checklist per iniziare senza linguaggio giuridico.

«Adesso vale anche per noi il GDPR — o qualcosa di nostro?» Questa domanda la sentiamo regolarmente dai dirigenti di PMI svizzere non appena si parla di protezione dei dati. La risposta: la Svizzera ha la propria legge modernizzata sulla protezione dei dati — la nLPD. Si applica da settembre 2023 a praticamente ogni azienda del Paese, dalla ditta individuale con un sito web all'impresa industriale. La buona notizia: gli obblighi di base sono gestibili e possono essere attuati senza un ufficio legale. Questo articolo spiega la nLPD dalle fondamenta — in modo comprensibile, senza linguaggio giuridico e con una checklist concreta alla fine.
Per un quadro completo della legge — dagli obblighi alle sanzioni — consultate la nostra guida LPD.
Cosa significa «nLPD»?
nLPD sta per «nuova legge sulla protezione dei dati» ed è l'abbreviazione corrente della legge federale sulla protezione dei dati completamente riveduta (LPD, RS 235.1). Ufficialmente la legge si chiama ancora semplicemente LPD — la «n» anteposta si è affermata nell'uso quotidiano per distinguere la versione riveduta dalla legge precedente del 1992. Che si parli di nLPD, di LPD riveduta o di «nuova legge svizzera sulla protezione dei dati»: si intende sempre la stessa legge.
Perché la revisione totale? La vecchia legge risaliva a un'epoca senza smartphone, servizi cloud e tracciamento online. Allo stesso tempo la Svizzera doveva adeguarsi per continuare a essere riconosciuta dall'UE come Paese con un livello adeguato di protezione dei dati — la condizione affinché i dati personali possano circolare tra Svizzera e UE senza ostacoli aggiuntivi.
Importante per la pianificazione: la nLPD è entrata in vigore il 1° settembre 2023 senza periodo transitorio. Non esiste quindi alcun periodo di tolleranza a cui appellarsi — gli obblighi valgono integralmente dal primo giorno.
Chi vuole approfondire le singole modifiche rispetto al vecchio diritto le trova nell'articolo «LPD rivista: cosa cambia davvero per le aziende svizzere». Qui ci concentriamo sul quadro generale: cosa deve sapere e fare una PMI?
A chi si applica la nLPD?
In breve: a tutti. La nLPD non conosce soglie di fatturato, numero di dipendenti o settore. Non appena un'azienda tratta dati personali — cioè dati riconducibili a una persona determinata — rientra nel campo di applicazione. E praticamente ogni azienda tratta dati personali:
- la panetteria con un modulo di contatto sul sito web
- la fiduciaria con i dossier dei clienti
- il negozio online con i dati di ordini e pagamenti
- la falegnameria con i dati del personale dei suoi cinque dipendenti
Anche le aziende estere rientrano nella nLPD se il loro trattamento di dati produce effetti in Svizzera. Per le PMI svizzere con clientela nell'UE si pone inoltre la domanda se in parallelo si applichi il regolamento generale europeo sulla protezione dei dati (GDPR) — ne parliamo più avanti.
I cinque obblighi più importanti per le PMI
1. Informativa sulla privacy — l'obbligo di informazione secondo l'art. 19
Il cuore della nLPD dal punto di vista di chi gestisce un sito web: chi raccoglie dati personali deve informarne le persone interessate. L'articolo 19 richiede come minimo l'identità e i dati di contatto del titolare, lo scopo del trattamento, i destinatari o le categorie di destinatari e — se i dati vanno all'estero — lo Stato di destinazione e le garanzie di protezione.
In pratica questo obbligo si adempie con un'informativa sulla privacy sul sito web. Il punto decisivo: deve corrispondere alla vostra configurazione reale. Un modello copiato che non menziona Google Analytics benché sia attivo non adempie l'obbligo — semmai documenta la violazione.
2. Registro delle attività di trattamento — con eccezione per le PMI
Il registro delle attività di trattamento è un catalogo interno: quali dati trattiamo, per quale scopo, chi vi ha accesso, per quanto tempo li conserviamo? La buona notizia per le piccole realtà: le aziende con meno di 250 collaboratori ne sono esonerate — purché non trattino su larga scala dati degni di particolare protezione e non pratichino una profilazione ad alto rischio. Sono degni di particolare protezione, per esempio, i dati sulla salute, le opinioni religiose o politiche e i dati biometrici.
La maggior parte delle PMI è quindi formalmente fuori pericolo. Un registro snello è comunque consigliabile anche per le piccole aziende: una semplice tabella con le principali categorie di dati costringe a fare l'inventario e semplifica enormemente ogni successiva richiesta d'accesso.
3. Obbligo di notifica delle violazioni della sicurezza dei dati
Novità del diritto svizzero: se la sicurezza dei dati viene violata — per esempio con un attacco informatico, un notebook smarrito o un invio di massa indirizzato male — e ne deriva verosimilmente un rischio elevato per le persone interessate, l'azienda deve notificare il caso all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) il più rapidamente possibile.
Per le PMI questo significa concretamente: serve un piano d'emergenza minimo. Se internamente è chiaro chi decide e chi notifica in caso di crisi, sotto stress non si perde tempo. Un foglio A4 con le responsabilità e il canale di notifica all'IFPDT è più che sufficiente come punto di partenza.
4. Protezione dei dati fin dalla progettazione e per impostazione predefinita
Due termini tecnici, un'idea semplice: la protezione dei dati va considerata fin dall'inizio («privacy by design») e l'impostazione più rispettosa della privacy deve essere quella predefinita («privacy by default»).
In pratica significa: chi introduce un nuovo strumento di gestione clienti chiede già in fase di selezione dove vengono salvati i dati e come vengono cancellati — non dopo tre anni. Chi costruisce un modulo di registrazione non preseleziona la casella della newsletter. Anche il cookie banner è un caso d'applicazione: un tracciamento che parte solo dopo il consenso è privacy by default messa in pratica.
5. Diritto d'accesso delle persone interessate
Ogni persona può chiedervi quali dati trattate su di lei, da dove provengono e a chi vengono comunicati. Il termine è di 30 giorni, l'informazione è di regola gratuita. Sembra banale, ma nella quotidianità delle PMI è il punto debole più frequente: le richieste finiscono nella casella generale, nessuno si sente responsabile, il termine scade. Definite una persona responsabile e un semplice modello di risposta — di più, di solito, non serve.
Sanzioni: le multe colpiscono le persone, non le aziende
In tema di multe la nLPD si distingue nettamente dal GDPR. Le violazioni intenzionali degli obblighi centrali — come l'obbligo di informazione o il diritto d'accesso — possono essere punite, su querela, con multe fino a CHF 250'000. Il destinatario non è l'azienda, ma la persona fisica responsabile della violazione. In una PMI è tipicamente la direzione.
Questo rende la protezione dei dati una questione da capo azienda. Due precisazioni per evitare il panico: primo, sono punibili solo le violazioni intenzionali, non quelle per negligenza. Secondo, serve una querela — l'IFPDT non distribuisce multe a tappeto di propria iniziativa. Chi adempie i propri obblighi di base in modo documentato ha poco da temere. Chi li ignora consapevolmente porta il rischio in prima persona.
Tre malintesi frequenti
«Siamo troppo piccoli, non ci riguarda.» La nLPD non conosce limiti inferiori. L'eccezione PMI per il registro è l'unica agevolazione degna di nota — tutti gli altri obblighi valgono per la ditta individuale come per il grande gruppo.
«Abbiamo un'informativa privacy del 2019, basta quella.» Purtroppo no. L'obbligo di informazione secondo l'art. 19 richiede indicazioni che i testi più vecchi di regola non contengono — in particolare su destinatari e trasferimenti all'estero. Un testo precedente a settembre 2023 è con alta probabilità lacunoso.
«Senza clienti UE non dobbiamo occuparci dei cookie.» La nLPD esige trasparenza sui servizi di tracciamento utilizzati, e le raccomandazioni dell'IFPDT vanno chiaramente nella direzione di una vera libertà di scelta. Non appena entrano in gioco servizi a rischio o visitatori dall'UE, difficilmente si può evitare una soluzione di consenso pulita.
nLPD e GDPR: cosa vale per chi?
Molte PMI svizzere non sanno se per loro valga in aggiunta anche il GDPR. La regola pratica: chi si rivolge attivamente a clienti nell'UE — per esempio con un negozio online che consegna in Germania — deve rispettare entrambi i quadri normativi. Chi lavora solo sul mercato interno è soggetto unicamente alla nLPD.
Dove le due leggi divergono nel dettaglio — consenso, logica delle sanzioni, rappresentanza nell'UE — lo abbiamo analizzato nell'articolo «LPD vs GDPR: le differenze principali». Per iniziare basta questo: chi rispetta il più severo GDPR rispetta automaticamente anche la nLPD.
Checklist degli obblighi: la nLPD per le PMI
L'autoverifica compatta — ogni riga dovrebbe ricevere un sì:
- Informativa sulla privacy online, aggiornata e adattata alla propria configurazione reale (art. 19)
- Tutti gli strumenti e i fornitori terzi vi sono menzionati, trasferimenti all'estero compresi
- Cookie banner che avvia il tracciamento solo dopo il consenso
- Responsabilità definita per le richieste d'accesso (termine di 30 giorni)
- Piano d'emergenza per le violazioni della sicurezza dei dati con canale di notifica all'IFPDT
- Registro delle attività di trattamento tenuto — obbligatorio da 250 collaboratori, consigliato al di sotto
- Nuovi strumenti e processi impostati secondo privacy by design e by default
Come iniziare? Tre passi pragmatici
Passo 1: fare l'inventario. Un'ora, un documento: quali dati personali abbiamo, dove sono salvati, quali strumenti girano sul sito web? Una scansione dei cookie del proprio sito riserva quasi sempre sorprese — i siti moderni impostano più cookie di quanto i loro gestori pensino.
Passo 2: aggiornare informativa sulla privacy e cookie banner. Sono i due obblighi più visibili — e quelli che vengono controllati per primi in caso di reclamo.
Passo 3: definire i processi. Responsabilità per le richieste d'accesso, canale di notifica per le violazioni dei dati, controllo privacy per ogni nuovo strumento. Una volta definiti bene, nella quotidianità non costano quasi più tempo.
Conclusione
La nLPD non è un mostro burocratico, ma una legge pragmatica con obblighi di base chiari: informare, documentare, notificare in caso d'incidente — e considerare la protezione dei dati fin dall'inizio per ogni novità. Chi lavora la checklist qui sopra ha coperto la maggior parte degli obblighi per le PMI e tiene sotto controllo il rischio di multa personale della direzione.
E la parte più visibile non dovete costruirla a mano: con Aiara l'informativa sulla privacy e il cookie banner vengono generati automaticamente in conformità alla nLPD — incluso uno scanner di cookie che mantiene il vostro sito web e la vostra informativa costantemente sincronizzati. Così la parte web della conformità si sbriga in un'ora invece che in una settimana.
Domande frequenti
Cosa significa l'abbreviazione nLPD?
nLPD sta per «nuova legge sulla protezione dei dati» e indica la legge federale sulla protezione dei dati completamente riveduta, entrata in vigore il 1° settembre 2023. Ufficialmente la legge si chiama ancora semplicemente LPD — la «n» anteposta si è affermata nell'uso comune per distinguere la versione riveduta dalla legge precedente del 1992.
A chi si applica la nLPD?
A tutte le aziende private e agli organi federali che trattano dati personali — indipendentemente da dimensioni, fatturato o settore. Anche una ditta individuale con un sito web e un modulo di contatto rientra nel campo di applicazione. Agevolazioni esistono solo in punti specifici, per esempio per il registro delle attività di trattamento delle aziende con meno di 250 collaboratori.
Da quando è in vigore la nuova legge sulla protezione dei dati in Svizzera?
Dal 1° settembre 2023 — e senza periodo transitorio. A differenza del GDPR, che concedeva due anni di preparazione, gli obblighi della nLPD si sono applicati integralmente dal primo giorno. Chi oggi non è ancora conforme non può appellarsi ad alcun periodo di tolleranza.
Cosa si rischia in caso di violazione della nLPD?
Le violazioni intenzionali degli obblighi centrali — obbligo di informazione, diritto d'accesso o obbligo di collaborazione — possono essere punite, su querela, con multe fino a CHF 250'000. La multa non colpisce l'azienda, ma la persona fisica responsabile della violazione: in una PMI, tipicamente la direzione.
Come PMI devo tenere un registro delle attività di trattamento?
Il registro è obbligatorio solo a partire da 250 collaboratori. Le aziende più piccole ne sono esonerate finché non trattano su larga scala dati degni di particolare protezione e non praticano una profilazione ad alto rischio. Una panoramica snella è comunque consigliata — semplifica notevolmente ogni successiva richiesta d'accesso.
Pronti per un consenso cookie pulito?
Aiara gestisce banner cookie, informativa privacy e impressum del tuo sito — conforme a LPD e GDPR.
Scopri AiaraAltri articoli

8 gennaio 2026 · 6 min di lettura
LPD rivista 2025: cosa cambia davvero per le aziende svizzere

3 luglio 2026 · 8 min di lettura
Contratto di trattamento dei dati su commissione in Svizzera: quando serve — con checklist

16 giugno 2026 · 8 min di lettura