intoCHAT LogointoCHAT
Torna al blog
Compliance · Svizzera 2026-05-23 9 min di lettura

nLPD e chatbot: la checklist di compliance 2026

intoCHAT Team
intoCHAT Team
9 min di lettura
Compliance nLPD e chatbot — checklist protezione dati

Se la vostra azienda opera in Svizzera e gestisce un chatbot — sul sito, WhatsApp, Messenger — trattate dati personali sotto la Legge federale rivista sulla protezione dei dati (nLPD). In vigore dal 1° settembre 2023, allinea ampiamente la Svizzera al GDPR, con alcune specificità svizzere. Questo articolo è una checklist pratica — non consulenza legale, ma il framework di due diligence usato dai team acquisti e legali svizzeri.

Cosa è cambiato con la nLPD

  • Definizione più ampia di dati personali — incluse trascrizioni chat con identificatori, IP, pattern comportamentali.
  • Privacy by design e by default — impostazioni protettive di default dai fornitori.
  • Registro obbligatorio dei trattamenti — ogni attività, comprese le conversazioni chatbot, documentata.
  • Regole più strette per i trasferimenti transfrontalieri — garanzie aggiuntive per Paesi senza livello "adeguato".
  • Sanzioni più elevate — multe fino a CHF 250'000 per persone fisiche.

Dati personali nelle conversazioni chatbot

Una conversazione chatbot contiene quasi sempre dati personali — anche senza nome o e-mail. Gli IP sono dati personali. Le impronte browser sono dati personali. I messaggi in testo libero che rivelano informazioni mediche, finanziarie o legali ricadono spesso nella categoria "sensibile".

Ogni deployment chatbot richiede: base giuridica documentata, politica di conservazione con calendario di cancellazione, modo per gli utenti di esercitare i diritti, e menzione del chatbot nell'informativa.

Residenza dei dati — dove possono vivere le conversazioni?

La nLPD non richiede archiviazione in Svizzera. Richiede che i trasferimenti verso Paesi senza protezione "adeguata" (per il Consiglio federale) includano garanzie aggiuntive — clausole contrattuali standard, misure supplementari, regole d'impresa vincolanti.

In pratica, le aziende svizzere scelgono hosting UE (riconosciuto adeguato) o Svizzera per Enterprise. Chiedete ai fornitori dove i dati sono archiviati a riposo.

Accordo di trattamento dei dati (DPA)

Se un fornitore tratta dati personali per voi — e un fornitore di chatbot lo fa quasi sempre — vi serve un DPA. Deve specificare: categorie di dati, finalità, durata, sub-fornitori, misure di sicurezza, processo di notifica violazioni, diritti degli interessati.

Audit log e finestre di conservazione

Per industrie regolate (banche, assicurazioni, sanità, legale, pharma — comuni in Svizzera), l'audit log di ogni conversazione diventa aspettativa standard. Domande da porre: i log sono esportabili, manomissione-evidenti, e qual è la conservazione?

Trasferimenti transfrontalieri e fornitori di modelli IA

I chatbot IA usano tipicamente grandi modelli ospitati da fornitori globali (OpenAI, Anthropic, Google, Mistral). Domanda di compliance: i dati sono inviati in forma identificabile, quali controlli esistono (cifratura, minimizzazione, opt-out dal training), e la catena contrattuale è documentata? Per deployment sensibili — banca privata, sanità, legale — molte aziende svizzere richiedono endpoint del modello ospitati in UE.

La checklist pratica

  • DPA firmato in archivio.
  • Dati di conversazione in regione UE o Svizzera — documentato contrattualmente.
  • Politica di conservazione per categoria, con cancellazione automatica.
  • Informativa aggiornata — chatbot, dati raccolti, base giuridica.
  • Diritti degli interessati (accesso, cancellazione, rettifica) operativi.
  • Audit log attivato, esportabile, conservato secondo i requisiti.
  • Uso transfrontaliero di modelli IA compreso e documentato; deployment sensibili con endpoint UE.
  • Postura sicurezza del fornitore revisionata — cifratura at-rest e in-transit, SSO admin, RBAC.
  • Processo di risposta agli incidenti e notifica violazioni concordato.

Per aziende svizzere pronte a iniziare

intoCHAT è progettato per l'ambiente di compliance svizzero — trattamento allineato nLPD, hosting UE di default con svizzero in Enterprise, DPA firmato al contratto, audit log in ogni piano. Vedi chatbot IA per la Svizzera per la panoramica, o agente IA per la Svizzera per controlli Enterprise.

Questo articolo è informativo e non costituisce consulenza legale. Per un'interpretazione vincolante della nLPD consultate un avvocato svizzero.