LPD rivista 2025: cosa cambia davvero per le aziende svizzere
La LPD rivista è in vigore da settembre 2023. Eppure molte PMI hanno implementato gli adeguamenti solo a metà. Una guida pratica con i cinque cambiamenti più importanti — e cosa fare concretamente nel 2026.
La LPD rivista è in vigore in Svizzera dal 1° settembre 2023. Più di due anni dopo, le conversazioni con agenzie web e dirigenti di PMI rivelano sempre lo stesso schema: molti hanno affrontato gli adeguamenti coscienziosamente ma non li hanno mai del tutto completati. Il caso classico — un'informativa privacy pubblicata poco prima di settembre 2023, un cookie banner mai più toccato da allora, e la sensazione latente che qualcosa sia ancora in sospeso.
Questo articolo riassume cosa la LPD rivista ha effettivamente cambiato e dove sono ancora necessari interventi nel 2026.
Perché la LPD è stata rivista
La Svizzera ha modernizzato la sua legge sulla protezione dei dati per due ragioni. Primo, la legge del 1992 era semplicemente superata. Secondo, senza adeguamento lo status della Svizzera come « paese terzo adeguato » ai sensi del diritto UE sarebbe stato a rischio — e con esso, la libera circolazione dei dati tra Svizzera e UE.
La LPD rivista si è avvicinata al GDPR senza esserne una copia identica. La logica resta pragmaticamente svizzera: la responsabilità spetta a chi tratta i dati, senza affogare ogni operazione nella burocrazia.
I cinque cambiamenti principali in sintesi
1. Obbligo informativo esteso
Chi raccoglie dati personali deve informare la persona interessata — non solo sul chi, ma anche sul perché. Concretamente: identità e contatti del titolare, finalità del trattamento, eventuali destinatari dei dati e un'indicazione in caso di esportazione all'estero.
Queste informazioni rientrano nell'informativa privacy. Un modello generico da internet non basta — destinatari e finalità devono corrispondere alla vostra configurazione concreta.
2. Registro delle attività di trattamento
Le aziende con 250 o più dipendenti devono tenere un registro di tutte le attività di trattamento. Quello che sembra innocuo è in pratica un sobrio catalogo Excel o tool-based: quali dati vengono trattati per quale scopo, da chi, dove conservati, quanto a lungo.
Per le PMI sotto i 250 dipendenti, questo si applica solo se il trattamento è esteso o riguarda dati sensibili. In pratica, raccomando comunque un semplice registro a tutte le agenzie web con database clienti — anche solo per poter rispondere in modo strutturato a una richiesta d'accesso.
3. Valutazione d'impatto sulla protezione dei dati (DPIA)
Per trattamenti ad alto rischio per i diritti della personalità, una DPIA è obbligatoria. Suona macchinoso ma è preciso: chi introduce un nuovo strumento di tracking che aggrega profili comportamentali, o implementa una sorveglianza dei dipendenti, deve valutare e documentare i rischi in anticipo.
Se la DPIA mostra che il rischio non può essere sufficientemente ridotto, va consultato l'IFPDT. In pratica questa via è raramente intrapresa — di solito si trovano misure di mitigazione che attutiscono adeguatamente il rischio.
4. Sanzioni più severe
Multe fino a CHF 250'000 — per violazione. Importante: la multa non colpisce l'azienda ma la persona fisica responsabile. In pratica è spesso la direzione. Questo rende il tema una questione da consiglio di amministrazione, non un problema IT delegabile.
Sono sanzionate in particolare le violazioni intenzionali degli obblighi di informazione, comunicazione e collaborazione. Le violazioni colpose non sono direttamente punibili — il che non significa che si possano ignorare.
5. Diritti rafforzati delle persone interessate
Il diritto d'accesso non è nuovo ma è stato precisato. Gli interessati possono chiedere di sapere quali dati su di loro vengono trattati, da dove provengono e a chi sono comunicati. Il termine è di 30 giorni. Un'estensione rispetto alla vecchia legge: anche le decisioni individuali automatizzate devono essere spiegate — ad esempio verifiche di solvibilità, determinazioni tariffarie automatiche o screening di candidati.
Cosa devono fare concretamente i gestori di siti
Quando esamino un sito PMI svizzero per la conformità LPD, guardo cinque punti:
- L'informativa privacy è aggiornata? Verificare la data. Se prima di settembre 2023, sicuramente obsoleta. Se del 2024 o 2025, leggere con spirito critico — molti modelli sono stati formalmente adattati ma non sostanzialmente personalizzati all'azienda concreta.
- Il cookie banner è implementato correttamente? I cookie di marketing vengono impostati solo dopo il consenso? « Rifiuta » è equivalente a « Accetta »? Il consenso viene documentato?
- Gli strumenti di terzi sono dichiarati? Google Analytics, Meta Pixel, HubSpot, Mailchimp — tutto deve essere nominato nell'informativa, con finalità e paese destinatario.
- Esiste un processo per le richieste d'accesso? Chi risponde quando qualcuno richiede i propri dati? Un'e-mail a info@ è spesso il punto debole nel quotidiano PMI.
- Le esportazioni all'estero sono trasparenti? Cloud USA, hosting UE — tutto ciò che lascia la Svizzera rientra nell'informativa. Idealmente con riferimento al meccanismo (clausole contrattuali tipo, decisione di adeguatezza).
Insidie ricorrenti dalla pratica
Tre punti che vedo in quasi ogni sessione di audit:
Insidia 1 — Liste cookie obsolete. L'informativa menziona tre cookie, ma il sito ne imposta dodici perché il team marketing ha integrato un nuovo strumento. Soluzione: scansioni automatiche regolari che rivelano le discrepanze.
Insidia 2 — Formulazioni vincolanti mancanti. « Ci preoccupiamo dei vostri dati » non è un'informativa privacy. La LPD richiede informazioni concrete — quali dati, quali finalità, quali destinatari.
Insidia 3 — Richieste d'accesso dimenticate. Senza responsabilità chiara, le richieste finiscono nella casella generale e vengono dimenticate. In caso di silenzio totale, il termine di 30 giorni è rapidamente superato — e questa è una violazione documentata.
Checklist pratica LPD 2026
Un elenco compatto per l'auto-valutazione:
- Informativa privacy include finalità, destinatari, esportazioni all'estero
- Cookie banner con « Rifiuta » equivalente e log del consenso
- Tutti gli strumenti di terzi nominati nell'informativa
- Processo di richiesta d'accesso documentato (destinatario, termine, flusso)
- Esportazioni all'estero dichiarate con meccanismo
- Registro delle attività di trattamento tenuto (dove richiesto)
- DPIA realizzata per trattamenti ad alto rischio
- Inventario cookie attuale verificato con scanner
Prospettive
L'IFPDT ha iniziato nel 2025 a indagare in modo più proattivo — inizialmente principalmente su segnalazione della popolazione, ma sempre più tramite controlli a campione propri. Chi ha iniziato nel 2023 e da allora non ha più adattato nulla dovrebbe pianificare una revisione primaverile nel 2026. Una scansione cookie sistematica, un aggiornamento dell'informativa e un rinfresco del processo di richiesta d'accesso sono fattibili in una mezza giornata.
Per chi non dispone di un proprio generatore di privacy, Aiara aiuta: cookie banner, informativa privacy e impressum funzionano automaticamente in sincronia con il vostro sito — conforme a LPD e GDPR, con hosting svizzero e gestione delle versioni. Il primo dominio è gratuito, scansione cookie d'audit inclusa.
Domande frequenti
La LPD rivista si applica anche a ditte individuali e microimprese?
Sì. La LPD rivista non conosce soglie basate sul numero di dipendenti o sul fatturato. Chi tratta dati personali — e questo riguarda praticamente ogni azienda con un sito web o un database clienti — rientra nell'obbligo legale. Agevolazioni esistono solo per aziende con meno di 250 dipendenti, ad esempio per il registro delle attività di trattamento.
Devo nominare un responsabile della protezione dei dati?
In Svizzera la nomina è volontaria — diversamente dall'UE secondo il GDPR. Tuttavia, chi notifica un consulente interno per la protezione dei dati è esonerato dall'obbligo di consultare preventivamente l'IFPDT. Per PMI con grandi volumi di dati o trattamenti ad alto rischio, la nomina è consigliata.
Cosa succede in caso di violazione?
Le violazioni intenzionali degli obblighi di informazione, comunicazione o collaborazione possono essere sanzionate con multe fino a CHF 250'000 — rivolte alla persona fisica responsabile della violazione. A differenza del GDPR, la multa colpisce quindi l'amministratore, non l'azienda direttamente.
La mia vecchia informativa privacy del 2018 è ancora sufficiente?
No. Un'informativa creata prima del 2023 generalmente non soddisfa i nuovi obblighi informativi. In particolare, oggi è necessario indicare in modo trasparente la finalità del trattamento, i destinatari e gli esportazioni all'estero. Un aggiornamento è obbligatorio.
In cosa differisce la LPD rivista dal GDPR?
I principi base sono simili, ma la LPD svizzera è più pragmatica. Differenze chiave: il consenso esplicito è obbligatorio solo per dati sensibili o profilazione ad alto rischio (non in generale), le multe colpiscono persone fisiche piuttosto che aziende, e l'ambito territoriale è legato all'azienda che tratta — non alla residenza dell'interessato.
Pronti per un consenso cookie pulito?
Aiara gestisce banner cookie, informativa privacy e impressum del tuo sito — conforme a LPD e GDPR.
Scopri AiaraAltri articoli
22 aprile 2026 · 4 min di lettura
Categorie di cookie spiegate: necessari, funzionali, statistici, marketing
15 aprile 2026 · 4 min di lettura
Radar dei rischi secondo l'allegato A IFPDT: valutare sistematicamente i rischi privacy
3 aprile 2026 · 5 min di lettura