nLPD per le PMI: la guida pratica alla protezione dei dati
Dal 1° settembre 2023 la nuova legge svizzera sulla protezione dei dati (nLPD) vale per ogni azienda, anche la più piccola. Niente panico e niente legalese: cosa chiede davvero a una PMI e come metterti in regola senza farne un progetto infinito.
"Tanto sono piccolo, a me la privacy non si applica." È la frase che sentiamo più spesso, ed è anche la più sbagliata. Dal 1° settembre 2023 la nuova legge svizzera sulla protezione dei dati (nLPD) vale per chiunque tratti dati personali: clienti, dipendenti, fornitori. La dimensione non c'entra. La buona notizia è che, per una PMI, mettersi in regola è molto più semplice di quanto la parola "legge" faccia temere.
Vediamo, in modo pratico e senza legalese, cosa chiede davvero la nLPD a una piccola impresa e da dove iniziare.
Cos'è la nLPD, in due righe
La nLPD è la revisione totale della legge federale sulla protezione dei dati, entrata in vigore il 1° settembre 2023. Rafforza i diritti delle persone sui propri dati e avvicina la Svizzera agli standard europei del GDPR, in modo che le aziende svizzere possano continuare a scambiare dati con l'Unione europea senza ostacoli. In sostanza chiede una cosa semplice da dire e impegnativa da fare: sapere quali dati tratti, perché, e proteggerli con criterio.
A chi si applica (anche alla tua piccola impresa)
Si applica a chiunque, azienda o persona, tratti dati personali in Svizzera. E "trattare dati" è qualcosa che fai ogni giorno senza pensarci: tieni l'elenco clienti, gestisci le buste paga, raccogli email da un form, archivi contratti. Tutto questo è trattamento di dati personali. Non esiste una soglia di dipendenti o di fatturato sotto la quale la legge "non vale": cambiano alcuni obblighi formali, non il principio.
Cosa ti chiede davvero (gli obblighi pratici)
- Informare in modo trasparente. Le persone devono sapere quali dati raccogli e per quali finalità. Si fa con un'informativa privacy chiara, accessibile dal tuo sito.
- Trattare solo ciò che serve. Raccogli i dati necessari allo scopo, non "tutto per ogni evenienza". Meno dati tieni, meno rischi corri.
- Garantire la sicurezza. Misure adeguate contro accessi non autorizzati e perdite: accessi controllati, backup, attenzione a dove vivono i dati.
- Rispettare i diritti. Le persone possono chiederti accesso, rettifica o cancellazione dei propri dati: devi essere in grado di rispondere.
- Notificare le violazioni. In caso di violazione che comporta un rischio elevato, va informato il PFPDT (l'autorità svizzera) il prima possibile.
- Privacy by design e contratti. Pensa alla protezione dei dati fin dall'inizio dei processi, e regola con un contratto i fornitori che trattano dati per tuo conto (hosting, gestionali, strumenti cloud).
nLPD e GDPR: le differenze che contano
Nei principi, nLPD e GDPR si somigliano molto: chi è già in regola con uno è quasi in regola con l'altro. Ma per una PMI svizzera alcune differenze sono utili da conoscere:
- Le sanzioni colpiscono le persone fisiche responsabili, con multe penali fino a 250'000 franchi, non l'azienda con multe amministrative come nel GDPR.
- In genere non è obbligatorio nominare un responsabile della protezione dei dati (DPO).
- Le imprese con meno di 250 dipendenti e trattamenti a basso rischio sono esonerate dal registro dei trattamenti (ma tenerne uno semplice resta una buona idea).
- Le violazioni vanno notificate "il prima possibile", non entro le 72 ore previste dal GDPR.
Se hai poco tempo, parti da qui: (1) pubblica un'informativa privacy chiara sul sito, (2) sai dove sono i dati e chi vi accede, (3) metti in sicurezza l'essenziale (accessi, backup, strumenti scelti con criterio). Con questi tre punti copri la gran parte del rischio reale.
E se uso l'AI? ChatGPT, Copilot e i dati
Qui molte PMI inciampano. Usare uno strumento di intelligenza artificiale significa trattare dati: se incolli in ChatGPT l'elenco clienti o un contratto, quei dati escono dal tuo perimetro. La nLPD non vieta l'AI, ma ti chiede di sapere cosa inserisci e dove finisce. La regola pratica: niente dati personali o riservati nelle versioni consumer, usa piani o configurazioni con protezione adeguata, e dai al team regole chiare. Ne abbiamo parlato in Shadow AI: i dipendenti usano già ChatGPT con i dati dei clienti e, sulla scelta dello strumento, in Microsoft Copilot vs ChatGPT per le aziende.
Da dove iniziare: 3 passi concreti
Non serve un progetto da grande azienda. Bastano tre passi, in ordine.
- Mappa i dati. Fai una lista semplice: quali dati raccogli, dove sono (gestionale, email, fogli, cloud) e chi vi accede. È la base di tutto.
- Pubblica un'informativa. Una privacy policy chiara sul sito, scritta in modo comprensibile, che dica cosa tratti e quali diritti hanno le persone.
- Metti in sicurezza e definisci le regole. Accessi giusti, backup, strumenti scelti con criterio e regole d'uso per il team (incluso l'uso dell'AI).
Fatti questi tre passi, sei davanti alla maggior parte delle piccole imprese, e in regola con la sostanza della nLPD.
In sintesi
La nLPD non è una minaccia da temere né un cavillo da ignorare: è una richiesta di buon senso digitale che vale per ogni impresa, anche la tua. Sapere quali dati tratti, dirlo con trasparenza e proteggerli con criterio è ciò che la legge chiede ed è anche, semplicemente, un modo serio di lavorare. E spesso digitalizzare bene, mettendo ordine nei dati, è proprio ciò che ti porta in regola quasi senza accorgertene.
Questo articolo ha scopo informativo e non costituisce consulenza legale. Per casi specifici rivolgiti a un consulente legale o all'autorità competente (PFPDT).
Mettere ordine nei dati è il primo passo per essere in regola. AFianco aiuta le PMI in Svizzera a digitalizzare e automatizzare i processi tenendo i dati sotto controllo, e adotta lo stesso criterio sul proprio sito (vedi la nostra Privacy Policy). Senza hype, partendo dai tuoi processi reali.
Domande frequenti
Cos'è la nLPD?
La nLPD è la nuova legge federale svizzera sulla protezione dei dati, in vigore dal 1° settembre 2023. Rafforza i diritti delle persone sui propri dati e avvicina la Svizzera agli standard europei (GDPR), chiedendo a chi tratta dati personali più trasparenza, sicurezza e controllo.
La nLPD si applica alle piccole imprese?
Sì. La nLPD si applica a chiunque tratti dati personali, indipendentemente dalla dimensione: anche una piccola impresa gestisce dati di clienti, dipendenti e fornitori. La dimensione riduce alcuni obblighi formali, ma non esonera dal rispetto della legge.
Quali sono gli obblighi principali della nLPD per una PMI?
Informare in modo trasparente su quali dati raccogli e perché (informativa privacy), garantire la sicurezza dei dati, rispettare i diritti delle persone (accesso, rettifica, cancellazione), notificare al PFPDT le violazioni rilevanti il prima possibile, applicare privacy by design e regolare i rapporti con i fornitori che trattano dati per tuo conto.
Che differenza c'è tra nLPD e GDPR?
Sono molto simili nei principi. Le differenze principali: la nLPD prevede sanzioni penali fino a 250'000 franchi a carico delle persone fisiche responsabili (non multe amministrative all'azienda come il GDPR), in genere non impone un DPO, esonera dal registro dei trattamenti le imprese sotto i 250 dipendenti a basso rischio, e chiede di notificare le violazioni "il prima possibile" anziché entro 72 ore.
Posso usare ChatGPT in azienda rispettando la nLPD?
Sì, se sai quali dati inserisci e dove finiscono. Usare uno strumento AI significa trattare dati: scegli piani o configurazioni con un livello di protezione adeguato, evita di inserire dati personali o riservati nelle versioni consumer, e definisci regole chiare per il team. Così eviti la cosiddetta Shadow AI.