Guida

La LPD spiegata in modo semplice: la legge svizzera sulla protezione dei dati

La LPD è la legge federale svizzera sulla protezione dei dati — completamente riveduta e in vigore dal 1° settembre 2023, senza periodo transitorio. Questa guida spiega a chi si applica, quali obblighi comporta e come le aziende possono attuarli in modo pragmatico.

Aggiornato il

La LPD riguarda praticamente ogni azienda in Svizzera — dalla ditta individuale con un sito web al grande gruppo. Eppure nel quotidiano regna molta incertezza: che cosa richiede concretamente la legge, che cosa si rischia in caso di violazione e dove basta il buon senso? Questa guida risponde alle domande essenziali sulla legge svizzera sulla protezione dei dati — in modo comprensibile, senza linguaggio giuridico e con una checklist per l'attuazione.

Che cos'è la LPD?

La LPD è la legge federale sulla protezione dei dati (RS 235.1) — la legge svizzera centrale che disciplina il trattamento dei dati personali. Protegge la personalità e i diritti fondamentali delle persone i cui dati vengono trattati e si applica nella versione completamente riveduta dal 1° settembre 2023 — senza periodo transitorio. Il testo ufficiale e facente fede è pubblicato su Fedlex, la piattaforma di pubblicazione del diritto federale della Confederazione.

Per la stessa legge circolano più nomi: nLPD («nuova legge sulla protezione dei dati»), «LPD riveduta» o semplicemente «nuova legge svizzera sulla protezione dei dati». Ufficialmente la legge continua a chiamarsi semplicemente LPD. Chi parla di nLPD non indica quindi un atto normativo separato, ma la versione della LPD in vigore dal 2023.

La revisione totale aveva due motori. Primo: la legge precedente risaliva al 1992 — un'epoca senza smartphone, servizi cloud e tracciamento online. Secondo: la Svizzera doveva allineare il proprio livello di protezione dei dati agli standard europei, affinché l'UE continuasse a riconoscerla come Paese con una protezione adeguata e i dati personali potessero attraversare il confine senza ostacoli supplementari.

Nella sostanza la LPD poggia su pochi principi (art. 6): i dati personali devono essere trattati in modo lecito, secondo buona fede e in modo proporzionato, il trattamento deve essere vincolato a uno scopo e riconoscibile per le persone interessate, i dati devono essere esatti — e la loro sicurezza deve essere garantita con misure tecniche e organizzative adeguate. Chi rispetta questi principi ha già posto le fondamenta della conformità.

Una differenza rispetto all'UE spesso trascurata: la LPD segue il principio del permesso. Il trattamento di dati personali è di principio lecito, senza che occorra un consenso o un'altra base legale — finché i principi sono rispettati e non vi è lesione della personalità. Il RGPD funziona al contrario: lì ogni trattamento è vietato finché una base legale non lo autorizza. La LPD richiede un consenso solo in determinate costellazioni — per esempio quando dati degni di particolare protezione vengono trattati in deroga ai principi, o per la profilazione ad alto rischio.

La legge è vigilata dall'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) — l'autorità svizzera di vigilanza in materia di protezione dei dati. Conduce inchieste, consiglia aziende e privati e pubblica guide, per esempio su cookie e tracciamento.

Che cosa è cambiato in dettaglio con la revisione — nuove nozioni, obblighi di informazione ampliati, sanzioni inasprite — è trattato nel nostro articolo «LPD riveduta: che cosa cambia davvero per le aziende svizzere». Questa guida si concentra sul diritto vigente: che cosa richiede oggi la LPD a un'azienda?

A chi si applica la legge sulla protezione dei dati?

La LPD si applica a tutte le persone private e aziende nonché agli organi federali che trattano dati personali — senza soglie di dimensione, fatturato o settore. I dati personali sono tutte le informazioni riferibili a una persona identificata o identificabile: nome, indirizzo e-mail, numero cliente, ma anche indirizzi IP o dati di localizzazione.

Il campo di applicazione è quindi presto raggiunto nella pratica quotidiana:

  • la panetteria con un modulo di contatto sul sito web
  • la fiduciaria con i dossier dei clienti e i dati salariali
  • lo shop online con dati di ordini, pagamenti e tracciamento
  • la startup che invia una newsletter

Due distinzioni sono importanti. Primo: le autorità cantonali e comunali non sono soggette alla LPD, bensì alle rispettive leggi cantonali sulla protezione dei dati. Secondo: la LPD ha effetto extraterritoriale. Secondo l'articolo 3 si applica alle fattispecie che producono effetti in Svizzera — anche se hanno origine all'estero. Uno shop online tedesco che serve attivamente clientela svizzera rientra quindi nel campo di applicazione, così come un fornitore di software statunitense che tratta dati di utenti svizzeri.

Una categoria particolare sono i dati personali degni di particolare protezione: dati sulla salute, opinioni religiose, filosofiche o politiche, dati genetici e biometrici, informazioni su procedimenti penali e su misure d'assistenza sociale. Per essi valgono regole più severe — dove è necessario un consenso, deve essere esplicito. Chi tratta simili dati dovrebbe attuare ogni obbligo di questa guida con cura accresciuta.

I principali obblighi per le aziende

In sostanza la LPD richiede alle aziende sei cose: informare, dare accesso, documentare, notificare le violazioni della sicurezza dei dati, integrare la protezione dei dati fin dalla progettazione e vincolare contrattualmente i fornitori di servizi. Le sezioni seguenti spiegano ogni obbligo con il relativo articolo di legge.

Un sollievo in partenza: a differenza del RGPD, la LPD non impone di nominare un responsabile della protezione dei dati. Le aziende possono designare volontariamente un consulente o una consulente per la protezione dei dati — per la maggior parte delle PMI basta attribuire chiaramente la responsabilità all'interno.

Obbligo di informare e dichiarazione sulla protezione dei dati (art. 19)

Chi raccoglie dati personali deve informarne le persone interessate — in anticipo e in forma comprensibile. L'articolo 19 richiede come minimo l'identità e i dati di contatto del titolare del trattamento, lo scopo del trattamento, i destinatari o le categorie di destinatari e, in caso di comunicazione all'estero, lo Stato di destinazione con le relative garanzie.

L'informazione va fornita al momento della raccolta; se i dati non sono raccolti direttamente presso la persona interessata, al più tardi un mese dopo la loro ricezione. Per i gestori di siti web ciò significa: serve una dichiarazione sulla protezione dei dati che corrisponda al setup reale. Un modello copiato che tace su Google Analytics mentre è in funzione non adempie l'obbligo — semmai documenta la violazione. Come nasce una dichiarazione conforme è mostrato nell'articolo «Creare una dichiarazione sulla protezione dei dati per la Svizzera».

Diritto d'accesso delle persone interessate (art. 25)

Ogni persona può chiedere a un'azienda quali dati tratta su di lei, da dove provengono e a chi vengono comunicati. L'informazione è di principio gratuita e va fornita entro 30 giorni.

Rifiutare, limitare o differire l'informazione è ammesso solo entro limiti ristretti — per esempio quando una legge lo prevede o sono toccati interessi preponderanti di terzi — e la decisione va motivata. Nel quotidiano delle PMI il diritto d'accesso è il punto debole più frequente: le richieste finiscono nella casella generale, nessuno si sente responsabile, il termine scade. Una responsabilità definita e un semplice modello di risposta risolvono il problema con uno sforzo minimo.

Registro delle attività di trattamento (art. 12)

Il registro è un catalogo interno di tutti i trattamenti di dati: quali dati, per quale scopo, chi vi ha accesso, per quanto tempo vengono conservati? Per le piccole imprese esiste un'agevolazione importante: le aziende con meno di 250 collaboratori sono esonerate dall'obbligo — purché non trattino su larga scala dati personali degni di particolare protezione e non effettuino profilazioni ad alto rischio.

Una panoramica snella resta comunque raccomandata. Obbliga a fare l'inventario e rende molto più semplice ogni successiva richiesta d'accesso.

Notifica delle violazioni della sicurezza dei dati (art. 24)

Se la sicurezza dei dati viene violata — per un attacco informatico, un notebook smarrito o un invio di massa indirizzato male — e ne deriva verosimilmente un rischio elevato per le persone interessate, l'azienda deve notificarlo quanto prima all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

Inoltre può rendersi necessaria un'informazione delle persone interessate — quando è richiesta per la loro protezione o l'IFPDT lo esige. In pratica serve un piano d'emergenza minimo: chi decide in caso di incidente, chi notifica, attraverso quale canale? Un foglio A4 con le responsabilità e il percorso di notifica all'IFPDT basta come punto di partenza.

Protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 7)

La protezione dei dati va considerata fin dalla pianificazione («privacy by design») e l'impostazione più rispettosa della privacy deve essere quella predefinita («privacy by default»). Concretamente: chi introduce un nuovo CRM chiarisce luogo di archiviazione e concetto di cancellazione prima dell'acquisto. Chi costruisce un modulo non preseleziona la casella della newsletter. E un banner dei cookie che avvia il tracciamento solo dopo il consenso è privacy by default vissuto.

Trattamento su mandato e contratto con il responsabile (art. 9)

Chi esternalizza il trattamento dei dati a terzi — hosting provider, servizio newsletter, contabilità esterna — resta responsabile e deve disciplinare il trattamento per contratto. Ciò avviene con un contratto sul trattamento dei dati su mandato. Il responsabile del trattamento può trattare i dati solo nel modo in cui il titolare stesso sarebbe autorizzato a farlo e deve garantire una sicurezza dei dati adeguata. Se a sua volta ricorre a terzi — per esempio quando il servizio newsletter ospita esso stesso in un cloud altrui — serve l'approvazione preventiva del titolare. Che cosa deve figurare in un simile contratto è spiegato nell'articolo «Il contratto sul trattamento dei dati in Svizzera».

Strettamente connessa è la comunicazione all'estero: i dati personali possono fluire solo verso Stati la cui protezione dei dati è ritenuta adeguata dal Consiglio federale — per gli altri Paesi servono garanzie contrattuali come le clausole tipo di protezione dei dati. Poiché molti strumenti cloud e di marketing trattano dati fuori dalla Svizzera e dall'UE, questa verifica va inclusa in ogni valutazione di uno strumento.

Per cookie e tracciamento in Svizzera vale l'interazione di due leggi: la LPD esige trasparenza sul trattamento dei dati e l'articolo 45c della legge sulle telecomunicazioni richiede che gli utenti siano informati sui cookie e possano rifiutarli.

Questa interazione è concretizzata dalla guida dell'IFPDT sui cookie. La sua linea è chiara: i cookie tecnicamente necessari non pongono problemi — ma i servizi di tracciamento, analisi e marketing richiedono una vera libertà di scelta. Non appena sono attivi servizi a rischio, sono in gioco dati degni di particolare protezione o i dati fluiscono verso Stati senza protezione adeguata, difficilmente si può evitare il consenso.

La guida si esprime anche sulla configurazione: la libertà di scelta deve essere reale. Chi rifiuta non deve essere spinto verso il consenso con pulsanti nascosti o categorie preselezionate, e un consenso dato deve poter essere revocato con la stessa facilità con cui è stato accordato. Per i visitatori dall'UE vale in parallelo il loro diritto del consenso più severo.

Per la pratica ciò significa: chi utilizza Google Analytics, il pixel di Meta, video YouTube incorporati o servizi simili ha bisogno di un banner dei cookie che avvii il tracciamento solo dopo il consenso — e di una dichiarazione sulla protezione dei dati che elenchi integralmente questi servizi. Quando esattamente un banner è obbligatorio e come implementarlo correttamente è trattato nella nostra guida sull'obbligo del banner dei cookie in Svizzera.

Sanzioni: che cosa si rischia in caso di violazione?

Le violazioni intenzionali degli obblighi centrali della LPD possono essere punite con multe fino a CHF 250'000 (art. 60 segg.). Ciò riguarda in particolare la violazione degli obblighi di informazione, accesso e collaborazione nonché degli obblighi di diligenza — per esempio nella comunicazione all'estero o nel trattamento su mandato.

Tre peculiarità distinguono nettamente il regime sanzionatorio svizzero dal RGPD. Primo: la multa non colpisce l'azienda, bensì la persona fisica responsabile della violazione — in una PMI tipicamente la direzione. Secondo: sono punibili solo le violazioni intenzionali, non quelle per negligenza. Terzo: si tratta di reati perseguibili a querela di parte: serve una querela penale e il perseguimento spetta alle autorità cantonali — l'IFPDT stesso non pronuncia multe, ma può aprire inchieste ed emanare decisioni vincolanti.

Al rischio penale si aggiunge un rischio di vigilanza: l'IFPDT può aprire un'inchiesta d'ufficio o su segnalazione e disporre in modo vincolante che un trattamento venga adeguato, sospeso o cessato — fino alla cancellazione dei dati. Per un'azienda una simile decisione può incidere più di una multa, per esempio quando uno strumento di marketing centrale non può più essere utilizzato. A ciò si aggiunge il danno reputazionale — le violazioni della protezione dei dati sono da tempo un tema mediatico.

Per confronto: il RGPD prevede multe aziendali fino a 20 milioni di euro o al 4 per cento del fatturato annuo mondiale. Le multe svizzere appaiono moderate al confronto — ma i decisori rispondono personalmente. Questo rende la protezione dei dati una questione da direzione.

LPD e RGPD: quale si applica a chi?

La regola generale: per le aziende svizzere si applica sempre la LPD — il RGPD europeo entra in gioco in aggiunta quando un'azienda si rivolge attivamente a clientela nell'UE o ne osserva il comportamento. Uno shop online che consegna in Germania deve rispettare entrambi i regimi; un'azienda artigianale puramente orientata al mercato interno solo la LPD.

La buona notizia: le due leggi sono strettamente imparentate. Chi rispetta il più severo RGPD copre in larga parte anche gli obblighi della LPD. Viceversa, l'intera economia svizzera beneficia di questo allineamento: l'UE riconosce il livello svizzero di protezione dei dati come adeguato, motivo per cui i dati personali possono fluire dall'UE verso la Svizzera senza contratti supplementari — un vantaggio concreto, per esempio per agenzie e fornitori di servizi informatici con clientela europea.

Le differenze di dettaglio — logica del consenso, sanzioni, rappresentante nell'UE — sono spiegate nella nostra guida al RGPD e nell'articolo «LPD vs RGPD: le differenze principali».

L'ordinanza sulla protezione dei dati (OPDa)

L'OPDa è l'ordinanza sulla protezione dei dati (RS 235.11) — concretizza la LPD ed è entrata in vigore insieme a essa il 1° settembre 2023. L'ordinanza disciplina tra l'altro i requisiti minimi per la sicurezza dei dati, le modalità del diritto d'accesso, i dettagli della notifica delle violazioni della sicurezza dei dati e l'esonero dal registro delle attività di trattamento per le aziende con meno di 250 collaboratori.

Per il quotidiano basta sapere: chi attua un obbligo della LPD e vuole sapere esattamente come, di regola trova la risposta nell'OPDa. Esiste inoltre un secondo atto di esecuzione, l'ordinanza sulle certificazioni in materia di protezione dei dati — nel quotidiano delle PMI non gioca praticamente alcun ruolo.

Checklist LPD per PMI

L'autovalutazione compatta — ogni riga dovrebbe poter essere spuntata con un sì. Percorrete la lista dall'alto verso il basso: i primi cinque punti coprono gli obblighi che, per esperienza, vengono verificati per primi in caso di reclamo.

  • Dichiarazione sulla protezione dei dati online, aggiornata e adattata al proprio setup (art. 19)
  • Tutti gli strumenti e i fornitori terzi vi sono nominati, comprese le comunicazioni all'estero
  • Banner dei cookie attivo che avvia il tracciamento solo dopo il consenso
  • Responsabilità definita per le richieste d'accesso, modello di risposta pronto (termine di 30 giorni)
  • Piano d'emergenza per le violazioni della sicurezza dei dati con percorso di notifica all'IFPDT
  • Contratto sul trattamento dei dati concluso con ogni fornitore che tratta dati personali (art. 9)
  • Registro delle attività di trattamento tenuto — obbligatorio da 250 collaboratori, raccomandato al di sotto
  • Comunicazioni all'estero verificate: Stati di destinazione con protezione adeguata o garanzie contrattuali
  • Nuovi strumenti e processi impostati secondo privacy by design e by default
  • La protezione dei dati è ancorata come responsabilità della direzione (rischio di multa personale)

I due punti più visibili di questa lista — dichiarazione sulla protezione dei dati e banner dei cookie — non devono essere curati a mano: con Aiara generate entrambi automaticamente in conformità alla LPD, incluso uno scanner dei cookie che mantiene il vostro sito web costantemente sincronizzato con la dichiarazione. La parte web della vostra conformità resta così aggiornata, senza che dobbiate seguire personalmente ogni modifica della legge o dei vostri strumenti.

Domande frequenti

Qual è la differenza tra LPD e nLPD?

Nella sostanza nessuna: nLPD significa «nuova legge sulla protezione dei dati» e designa la LPD completamente riveduta, in vigore dal 1° settembre 2023. Ufficialmente la legge si chiama semplicemente LPD — la «n» si è affermata solo nell'uso corrente per distinguere la versione riveduta dalla legge precedente del 1992. Anche «LPD riveduta» indica la stessa legge.

Dove trovo il testo ufficiale della LPD?

Il testo ufficiale e vigente della LPD è pubblicato dalla Confederazione su Fedlex, la piattaforma di pubblicazione del diritto federale, con il numero RS 235.1. È l'unica fonte facente fede — riassunti e versioni PDF che circolano altrove possono essere superati. L'ordinanza di esecuzione (OPDa) porta il numero RS 235.11.

La LPD si applica anche ai piccoli siti web?

Sì. La LPD non conosce soglie di fatturato, organico o traffico. Non appena un sito web tratta dati personali — tramite un modulo di contatto, una newsletter o cookie di analisi — il suo gestore rientra nel campo di applicazione e deve in particolare adempiere l'obbligo di informare con una dichiarazione sulla protezione dei dati.

Mi serve una dichiarazione sulla protezione dei dati secondo la LPD?

In pratica sì. L'articolo 19 LPD obbliga chiunque raccolga dati personali a informare le persone interessate sull'identità del titolare del trattamento, sullo scopo, sui destinatari e su eventuali comunicazioni all'estero. Per un sito web questo obbligo si adempie con una dichiarazione sulla protezione dei dati che corrisponda al setup effettivamente in uso — inclusi tutti i servizi di tracciamento e di terzi.

A quanto ammontano le multe in caso di violazione della LPD?

Le violazioni intenzionali degli obblighi centrali — per esempio l'obbligo di informare o il diritto d'accesso — possono essere punite, su querela, con multe fino a CHF 250'000. A differenza del RGPD, la multa non colpisce l'azienda, bensì la persona fisica responsabile, in una PMI tipicamente la direzione. Le violazioni per negligenza non sono punibili.

Che cos'è l'IFPDT?

L'IFPDT è l'Incaricato federale della protezione dei dati e della trasparenza — l'autorità svizzera di vigilanza in materia di protezione dei dati. Apre inchieste, emana decisioni vincolanti e riceve le notifiche di violazioni della sicurezza dei dati. Non pronuncia multe direttamente; questo compito spetta alle autorità penali cantonali.

Mi serve un banner dei cookie secondo la LPD?

La LPD di per sé non impone alcun banner — esige trasparenza. In combinazione con l'articolo 45c della legge sulle telecomunicazioni, che richiede che gli utenti siano informati sui cookie e possano rifiutarli, e con la guida dell'IFPDT sui cookie, non c'è praticamente modo di evitare una soluzione di consenso corretta quando si utilizzano servizi di tracciamento come Google Analytics o pixel di marketing.

Pronti per un consenso cookie pulito?

Aiara gestisce banner cookie, informativa privacy e impressum del tuo sito — conforme a LPD e GDPR.

Scopri Aiara