GDPR per le aziende svizzere: quando si applica e cosa fare
Il regolamento generale sulla protezione dei dati dell'UE non si applica automaticamente a ogni sito web svizzero — ma più spesso di quanto molti pensino. Questa guida mostra quando le aziende svizzere devono rispettare il GDPR e come coprire LPD e GDPR con un unico impianto.
Che cos'è il GDPR?
Il regolamento generale sulla protezione dei dati (GDPR) è la legge sulla protezione dei dati dell'Unione europea: il regolamento (UE) 2016/679, applicabile dal 25 maggio 2018. Disciplina il modo in cui aziende e autorità devono raccogliere, utilizzare e proteggere i dati personali delle persone che si trovano nell'UE — in modo uniforme e diretto in tutti gli Stati dell'UE e dello SEE, senza che i parlamenti nazionali debbano prima recepirlo.
Nella sostanza, il regolamento si fonda su poche idee centrali: ogni trattamento di dati personali richiede una base giuridica. Le persone interessate dispongono di diritti azionabili — accesso, rettifica, cancellazione, portabilità dei dati. Le aziende devono documentare i propri trattamenti e notificare le violazioni. E l'inosservanza comporta sanzioni pesanti a carico dell'azienda stessa.
Per le aziende svizzere il GDPR è rilevante per una ragione semplice: non si ferma al confine esterno dell'UE. Il regolamento rivendica espressamente la propria applicazione alle imprese fuori dall'UE non appena queste si rivolgono a persone nell'UE. È proprio questa domanda — quando ciò avviene — a decidere se un'azienda di Zurigo, Losanna o Lugano debba rispettare il GDPR.
Il GDPR si applica alle aziende svizzere?
Sì — ma non automaticamente: solo quando scatta il cosiddetto criterio del targeting. La disposizione determinante è l'articolo 3, paragrafo 2 del GDPR: il regolamento si applica alle aziende senza stabilimento nell'UE se offrono beni o servizi a persone nell'UE (indipendentemente dal fatto che sia richiesto un pagamento) oppure se osservano il comportamento di persone nell'UE, per esempio tramite tracking e profilazione.
È essenziale una distinzione che molte guide sorvolano: la semplice raggiungibilità di un sito svizzero dalla Germania o dalla Francia non fa scattare il GDPR. Serve un orientamento riconoscibile verso il mercato dell'UE. I considerando del regolamento citano come indizi, tra l'altro: prezzi in euro, opzioni di consegna verso Paesi dell'UE, pubblicità rivolta alla clientela UE o la menzione esplicita di clienti in Stati membri. Il fatto che un sito sia disponibile in italiano non basta da solo — l'italiano è, del resto, una lingua nazionale svizzera.
Esiste anche il caso più semplice dell'articolo 3, paragrafo 1: chi gestisce uno stabilimento, una filiale o una succursale nell'UE rientra comunque nel GDPR per i trattamenti di quella entità — senza alcuna discussione sul targeting.
Un altro malinteso frequente: il GDPR protegge le persone che si trovano **nell'**UE — la cittadinanza non conta. I dati di una cittadina tedesca domiciliata a Zurigo non rientrano nel GDPR; quelli di uno svizzero domiciliato a Berlino, invece, sì. Nella pratica conta il luogo in cui si trova il vostro pubblico di riferimento, non il passaporto.
Esempi: queste aziende svizzere rientrano nel GDPR
- Negozio online con consegna nell'UE: un negozio di Winterthur mostra prezzi in euro e spedisce in Germania e Austria. È un caso da manuale di offerta di beni a persone nell'UE — il GDPR si applica a questi trattamenti.
- Hotel che punta agli ospiti UE: un hotel dell'Oberland bernese promuove le proprie camere su piattaforme di prenotazione tedesche e pubblica annunci Google per chi cerca dalla Germania. I dati di prenotazione di questi ospiti sono soggetti al GDPR.
- Sito web con tracking UE: un fornitore svizzero di software utilizza strumenti di analisi e remarketing che registrano e valutano a fini pubblicitari il comportamento dei visitatori dall'UE. È un'osservazione del comportamento ai sensi dell'articolo 3, paragrafo 2 — il GDPR si applica.
- Agenzia con clienti UE: un'agenzia web di Basilea segue attivamente clienti nel sud della Germania e tratta i loro dati. Anche qui il GDPR fa parte del capitolato.
Controesempi: qui si applica solo la LPD svizzera
- Attività locale: una falegnameria di Aarau con clientela puramente regionale, prezzi in franchi e nessuna pubblicità all'estero non rientra nel GDPR — anche se il suo sito è consultabile da Monaco di Baviera.
- Ordine isolato dall'UE: se in via eccezionale una persona dalla Germania ordina presso un fornitore svizzero che non si rivolge attivamente al mercato UE, ciò non genera ancora obblighi GDPR. Manca l'elemento del targeting.
- Fornitori orientati al mercato interno: una fiduciaria che segue esclusivamente mandati svizzeri e non traccia persone nell'UE resta nell'ambito della legge federale sulla protezione dei dati (LPD).
La vera domanda pratica non è quindi «il mio sito è raggiungibile dall'UE?», bensì: «mi rivolgo deliberatamente a persone nell'UE — o ne osservo il comportamento?» Chi risponde sì a una delle due domande dovrebbe prendere sul serio il GDPR.
Come rispetto GDPR e LPD allo stesso tempo?
La risposta breve: chi attua correttamente il GDPR, più severo, copre quasi interamente anche la legge svizzera sulla protezione dei dati. Per le aziende svizzere con attività nell'UE conviene quindi un unico impianto — lo standard GDPR.
La differenza concettuale più importante sta nel principio della base giuridica. Il GDPR segue una logica di divieto salvo autorizzazione: ogni trattamento di dati personali è vietato, a meno che una base giuridica dell'articolo 6 non lo consenta — consenso, esecuzione di un contratto o interesse legittimo, tra le altre. La LPD ragiona al contrario: il trattamento è in linea di principio lecito, finché non lede illecitamente la personalità delle persone interessate. In pratica significa: sotto il GDPR dovete poter giustificare e documentare perché ogni trattamento è consentito.
Anche il consenso è più formale sotto il GDPR. Richiede un'adesione libera, informata, inequivocabile e documentata, revocabile in qualsiasi momento. La LPD esige un consenso esplicito solo in determinati casi, come i dati personali degni di particolare protezione o la profilazione ad alto rischio.
È sulle sanzioni che la distanza è massima. Il GDPR minaccia sanzioni fino a 20 milioni di euro o al 4 per cento del fatturato mondiale del gruppo — dirette contro l'azienda. La LPD prevede multe fino a CHF 250'000 — dirette contro la persona fisica responsabile, tipicamente la direzione. Due logiche completamente diverse, entrambe potenzialmente spiacevoli.
I dettagli del diritto svizzero si trovano nella guida sulla legge federale sulla protezione dei dati (LPD); il confronto diretto tra i due regimi nell'articolo LPD vs. GDPR: le differenze chiave.
Ho bisogno di un rappresentante UE?
Se il GDPR si applica a voi tramite il criterio del targeting e non avete uno stabilimento nell'UE: in linea di principio, sì. L'articolo 27 del GDPR obbliga le aziende fuori dall'UE a designare per iscritto un rappresentante in uno Stato membro — preferibilmente dove si trovano le persone interessate.
Esiste un'eccezione, rilevante per le piccole imprese: l'obbligo di rappresentanza decade se il trattamento è solo occasionale, non comprende un trattamento su larga scala di dati sensibili e verosimilmente non comporta alcun rischio per i diritti delle persone interessate. Un fornitore svizzero di servizi tra imprese che corrisponde sporadicamente con pochi contatti UE non ha bisogno di un rappresentante. Un negozio online che gestisce di continuo ordini dalla Germania, invece, tratta regolarmente dati di clienti UE — di norma rientra nell'obbligo.
Cosa fa concretamente il rappresentante UE: funge da punto di contatto per le autorità di controllo europee e per le persone interessate, conserva una copia del registro delle attività di trattamento e deve essere indicato con i suoi recapiti nell'informativa sulla privacy. Non risponde al posto dell'azienda; funziona come una casella postale con obblighi. In pratica, fornitori specializzati assumono questo ruolo per poche centinaia di euro all'anno — molto più conveniente che fondare una società nell'UE.
Ho bisogno di un responsabile della protezione dei dati?
Per la maggior parte delle PMI svizzere la risposta è: no. L'articolo 37 del GDPR richiede un responsabile della protezione dei dati solo in tre casi: per autorità e organismi pubblici, quando l'attività principale dell'azienda consiste in un monitoraggio regolare, sistematico e su larga scala delle persone, oppure quando l'attività principale comprende il trattamento su larga scala di dati sensibili — per esempio dati sanitari.
La parola decisiva è attività principale. Il fatto che un'azienda gestisca una banca dati clienti, invii newsletter o analizzi le statistiche web non rende il trattamento dei dati la sua attività principale. Una rete pubblicitaria che vive di tracking, o un gruppo ospedaliero che tratta dati di pazienti su larga scala, soddisfa i criteri — uno studio di architettura o un negozio online con una clientela normale, no.
Nominare volontariamente un referente per la protezione dei dati è comunque spesso sensato: una persona definita presso cui convergono richieste di accesso, richieste di cancellazione e incidenti di sicurezza. Il diritto svizzero conosce a questo scopo il consulente per la protezione dei dati facoltativo — lo stesso ruolo può essere ricoperto dalla stessa persona.
Cosa vale per i cookie e il consenso sotto il GDPR?
Sotto il GDPR, per i cookie non necessari vale un chiaro opt-in: il consenso deve essere prestato attivamente prima che i cookie vengano impostati. La base è l'interazione tra la direttiva europea ePrivacy (la direttiva UE sulla protezione della vita privata nelle comunicazioni elettroniche) e lo standard di consenso del GDPR. Caselle preselezionate, avvisi del tipo «proseguendo la navigazione» o banner senza una vera opzione di rifiuto non bastano — la Corte di giustizia dell'UE lo ha confermato più volte.
L'UE è così più severa della prassi svizzera. Il diritto svizzero delle telecomunicazioni consente in linea di principio i cookie, purché gli utenti siano informati e possano opporsi — un modello opt-out. Un banner sufficiente per il mercato svizzero può quindi essere insufficiente per i visitatori dall'UE. Quali regole valgono quando, e come si presenta un banner corretto: lo spiega la guida sull'obbligo del banner dei cookie in Svizzera.
A ciò si aggiunge un inasprimento pratico al di fuori della legge: chi utilizza i prodotti pubblicitari di Google per un pubblico dello Spazio economico europeo deve, da marzo 2024, implementare il Google Consent Mode V2 — un meccanismo che trasmette a Google lo stato del consenso dei visitatori. Senza di esso si perdono dati di misurazione e funzioni di remarketing. Cosa significa in concreto lo spiega l'articolo Google Consent Mode V2 per i siti svizzeri.
La linea pragmatica per le aziende svizzere con attività nell'UE: un unico banner di consenso secondo lo standard GDPR per tutti i visitatori. Soddisfa automaticamente anche i requisiti svizzeri ed evita la distinzione per Paese di provenienza, fonte di errori.
Come funziona il trasferimento di dati tra Svizzera e UE?
Prima la buona notizia: i dati personali possono circolare liberamente tra Svizzera e UE in entrambe le direzioni. La Commissione europea riconosce la Svizzera dal 2000, con una decisione di adeguatezza, come Paese terzo con un livello adeguato di protezione dei dati; ha confermato questa qualifica nel riesame del gennaio 2024. Le aziende dell'UE possono quindi trasferire dati personali a destinatari svizzeri senza garanzie supplementari come le clausole contrattuali tipo.
Lo stesso vale in senso inverso: il Consiglio federale inserisce gli Stati dell'UE e dello SEE nella lista di adeguatezza svizzera (allegato 1 dell'ordinanza sulla protezione dei dati). Le aziende svizzere possono così trasmettere dati personali a destinatari nell'UE senza formalità aggiuntive.
Un punto resta comunque obbligatorio: chi affida il trattamento dei dati a fornitori di servizi — hosting, strumento per newsletter, software di contabilità — ha bisogno di un contratto di trattamento dei dati su commissione con ciascuno di questi responsabili del trattamento. Lo esigono sia il GDPR sia la LPD, ovunque abbia sede il fornitore. Come si presenta un simile contratto lo mostra l'articolo sul contratto di trattamento dei dati per le aziende svizzere.
Cosa contiene la checklist GDPR per le aziende svizzere?
Se il GDPR si applica alla vostra azienda, questi dieci punti portano alla conformità in un ordine sensato:
- Chiarire l'applicabilità: vi rivolgete in modo riconoscibile a persone nell'UE con beni o servizi — o ne osservate il comportamento? Mettete per iscritto la vostra valutazione.
- Creare il registro delle attività di trattamento: documentate quali dati personali trattate, per quale scopo, chi vi ha accesso e per quanto tempo vengono conservati.
- Assegnare le basi giuridiche: determinate per ogni trattamento la base appropriata secondo l'articolo 6 — consenso, contratto, obbligo legale o interesse legittimo.
- Aggiornare l'informativa sulla privacy: integrate le indicazioni obbligatorie degli articoli 13 e 14 — comprese basi giuridiche, durate di conservazione, diritto di reclamo e, se del caso, rappresentante UE.
- Passare il banner dei cookie all'opt-in: consenso attivo prima dell'impostazione di cookie non necessari, con opzione di rifiuto equivalente e decisioni documentate.
- Verificare e designare un rappresentante UE: se non si applica alcuna eccezione dell'articolo 27, designate per iscritto un rappresentante nell'UE e indicatelo nell'informativa sulla privacy.
- Concludere contratti di trattamento dei dati: con ogni fornitore che tratta dati personali per vostro conto — dall'hosting allo strumento per newsletter.
- Predisporre un processo per i diritti degli interessati: le richieste di accesso, rettifica e cancellazione devono ricevere risposta entro un mese. Definite una persona responsabile e un modello.
- Definire un processo di notifica delle violazioni: le violazioni della sicurezza dei dati devono essere notificate all'autorità di controllo competente entro 72 ore — funziona solo con una procedura preparata.
- Sensibilizzare il team: stabilite chi è responsabile della protezione dei dati e formate i collaboratori che lavorano quotidianamente con dati personali.
Chi completa questa lista adempie nel contempo anche agli obblighi essenziali della legge svizzera sulla protezione dei dati — lo sforzo aggiuntivo per la pura conformità LPD è poi minimo.
Come aiuta Aiara nell'attuazione del GDPR?
Aiara è costruita esattamente per questo doppio mondo svizzero. L'informativa sulla privacy generata copre LPD e GDPR in un unico documento — in italiano, tedesco, francese e inglese. Il banner dei cookie lavora secondo lo standard GDPR, più severo, con consenso documentato e supporta il Google Consent Mode V2. Configurate una volta sola e rispettate entrambi i regimi, senza mantenere due sistemi.
Domande frequenti
Il GDPR si applica automaticamente a ogni sito web svizzero?
No. Il semplice fatto che un sito sia raggiungibile dall'UE non basta. Il GDPR si applica solo quando un'azienda svizzera si rivolge in modo riconoscibile a persone nell'UE con beni o servizi — per esempio con prezzi in euro, consegna in Germania o pubblicità mirata all'UE — oppure osserva il comportamento di persone nell'UE, ad esempio tramite tracking e profilazione.
Cosa succede se ignoro il GDPR?
Il GDPR prevede sanzioni fino a 20 milioni di euro o al 4 per cento del fatturato mondiale del gruppo — contro l'azienda. L'applicazione nei confronti di imprese senza stabilimento nell'UE è più complessa, ma possibile, per esempio tramite il rappresentante UE o i partner commerciali europei. Nella pratica pesa spesso di più un altro fattore: clienti e committenti dell'UE chiedono prove di conformità al GDPR prima di firmare contratti.
Un'informativa sulla privacy conforme alla LPD basta anche per il GDPR?
Non necessariamente. Gli articoli 13 e 14 del GDPR richiedono più indicazioni obbligatorie rispetto alla legge svizzera sulla protezione dei dati — tra cui la base giuridica di ogni trattamento, il diritto di reclamo presso un'autorità di controllo dell'UE e, se del caso, il rappresentante UE. Vale però il contrario: un'informativa conforme al GDPR copre praticamente sempre anche la LPD.
Come azienda svizzera ho bisogno di un rappresentante UE?
Se il GDPR si applica a voi tramite il criterio del targeting e non avete uno stabilimento nell'UE, in linea di principio sì (articolo 27 GDPR). Sono esclusi solo i trattamenti occasionali e a basso rischio, senza dati sensibili su larga scala. Chi gestisce regolarmente un negozio online per clienti UE o tratta dati di clienti UE rientra di norma nell'obbligo di rappresentanza.
La Svizzera è considerata un Paese terzo sicuro dall'UE?
Sì. La Commissione europea riconosce dal 2000 che la Svizzera offre un livello adeguato di protezione dei dati; questa decisione di adeguatezza è stata confermata nel riesame del gennaio 2024. I dati personali possono quindi fluire dall'UE verso la Svizzera senza garanzie supplementari — e, grazie alla lista di adeguatezza svizzera, anche in senso inverso.
Il mio banner dei cookie deve funzionare diversamente per i visitatori dall'UE?
Sì, se il GDPR si applica a voi. Per le persone nell'UE serve un consenso attivo prima che vengano impostati cookie non necessari — caselle preselezionate o la logica del semplice proseguire la navigazione non bastano. La maggior parte delle aziende svizzere con attività nell'UE utilizza perciò un unico banner opt-in per tutti i visitatori, che soddisfa automaticamente anche i requisiti svizzeri.
Serve un responsabile della protezione dei dati secondo il GDPR?
Per la maggior parte delle PMI svizzere no. L'obbligo dell'articolo 37 GDPR riguarda le autorità pubbliche e le aziende la cui attività principale consiste in un monitoraggio sistematico su larga scala o nel trattamento su larga scala di dati sensibili. Una fiduciaria o un negozio online con una clientela normale di regola non soddisfa questi criteri.
Pronti per un consenso cookie pulito?
Aiara gestisce banner cookie, informativa privacy e impressum del tuo sito — conforme a LPD e GDPR.
Scopri AiaraAltri articoli

5 min di lettura
LPD vs. GDPR: le differenze chiave per le aziende svizzere nel 2026

5 min di lettura
Obbligo del banner cookie in Svizzera: cosa vale davvero nel 2026

5 min di lettura
Google Consent Mode V2 in Svizzera: guida completa per le PMI

8 min di lettura