intoCHAT LogointoCHAT
Volver al blog
Cumplimiento · Suiza 2026-05-23 9 min de lectura

nLPD y chatbots: la checklist de cumplimiento 2026

intoCHAT Team
intoCHAT Team
9 min de lectura
Cumplimiento nLPD y chatbots — checklist de protección de datos

Si vuestra empresa opera en Suiza y ejecuta un chatbot — en vuestro sitio, WhatsApp, Messenger — estáis tratando datos personales bajo la Ley Federal revisada de Protección de Datos (nLPD). En vigor desde el 1 de septiembre de 2023, alinea ampliamente Suiza con el RGPD, con algunas especificidades suizas. Este artículo es una checklist práctica — no consejo legal, sino el marco de due diligence que usan los equipos de compras y legales suizos.

Qué cambió con la nLPD

  • Definición más amplia de datos personales — incluyendo transcripciones de chat con identificadores, IPs, patrones de comportamiento.
  • Privacy by design y by default — configuraciones protectoras por defecto de los proveedores.
  • Registro obligatorio de tratamientos — cada actividad, incluyendo conversaciones chatbot, documentada.
  • Reglas más estrictas para transferencias transfronterizas — garantías adicionales para países sin nivel "adecuado".
  • Sanciones más elevadas — multas hasta CHF 250 000 para personas físicas.

Datos personales en conversaciones chatbot

Una conversación chatbot casi siempre contiene datos personales — incluso sin nombre ni e-mail. Las IPs son datos personales. Las huellas de navegador también. Los mensajes en texto libre que revelan información médica, financiera o legal a menudo caen en la categoría "sensible".

Cada despliegue chatbot necesita: base legal documentada, política de retención con calendario de borrado, un medio para que los usuarios ejerzan sus derechos, y mención del chatbot en la política de privacidad.

Residencia de datos — ¿dónde pueden vivir las conversaciones?

La nLPD no exige almacenamiento en Suiza. Exige que las transferencias a países sin protección "adecuada" (según el Consejo Federal) incluyan garantías adicionales — cláusulas contractuales estándar, medidas complementarias, o reglas corporativas vinculantes.

En la práctica, la mayoría de las empresas suizas eligen alojamiento UE (reconocido como adecuado) o Suiza para Enterprise. Pregunten a los proveedores dónde se almacenan los datos en reposo.

Acuerdo de Tratamiento de Datos (DPA)

Si un proveedor trata datos personales por vosotros — y un proveedor de chatbot casi siempre lo hace — necesitáis un DPA. Debe especificar: categorías de datos, finalidades, duración, sub-procesadores, medidas de seguridad, proceso de notificación de violaciones, derechos de los interesados.

Logs de auditoría y ventanas de retención

Para industrias reguladas (banca, seguros, salud, legal, farma — comunes en Suiza), el log de auditoría de cada conversación se vuelve una expectativa estándar. Preguntas a hacer: ¿son los logs exportables, a prueba de manipulación, y cuál es la retención?

Transferencias transfronterizas y proveedores de modelos IA

Los chatbots IA usan típicamente grandes modelos alojados por proveedores globales (OpenAI, Anthropic, Google, Mistral). Pregunta de cumplimiento: ¿se envían los datos de forma identificable, qué controles existen (cifrado, minimización, opt-out del entrenamiento), y la cadena contractual está documentada? Para despliegues sensibles — banca privada, salud, legal — muchas firmas suizas requieren endpoints de modelo alojados en UE.

La checklist práctica

  • DPA firmado en archivo.
  • Datos de conversación en región UE o Suiza — documentado contractualmente.
  • Política de retención por categoría, con borrado automático.
  • Política de privacidad actualizada — chatbot, datos recogidos, base legal.
  • Derechos de los interesados (acceso, borrado, rectificación) operativos.
  • Log de auditoría activado, exportable, conservado según requisitos.
  • Uso transfronterizo de modelos IA comprendido y documentado; despliegues sensibles con endpoints UE.
  • Postura de seguridad del proveedor revisada — cifrado at-rest y in-transit, SSO admin, RBAC.
  • Proceso de respuesta a incidentes y notificación de violaciones acordado.

Para empresas suizas listas para empezar

intoCHAT está diseñado para el entorno de cumplimiento suizo — tratamiento alineado con nLPD, alojamiento UE por defecto con suizo en Enterprise, DPA firmado al contrato, log de auditoría en cada plan. Ver la página chatbot IA para Suiza para el resumen, o agente IA para Suiza para controles Enterprise.

Este artículo es informativo y no constituye asesoramiento legal. Para una interpretación vinculante de la nLPD, consulten a un abogado suizo de protección de datos.