GDPR vs nLPD: guida sui dati dei moduli
Panoramica a doppio regime per le aziende svizzere che trattano dati personali UE e svizzeri tramite moduli online. Dove GDPR e nLPD convergono, dove divergono — e cosa significa per i moduli di accoglienza, i responsabili del trattamento e la gestione degli incidenti.
Una clinica svizzera riceve registrazioni online da pazienti tedeschi. Un'azienda SaaS con sede a Zurigo raccoglie moduli di feedback da clienti spagnoli. Uno studio legale ginevrino gestisce un questionario di accoglienza usato da clienti in tutta l'UE e nel resto del mondo. In ciascuno di questi scenari quotidiani si applicano contemporaneamente due regimi di protezione dei dati — il GDPR dell'Unione Europea e la Legge federale svizzera sulla protezione dei dati riveduta (nLPD), in vigore dal 1° settembre 2023.
I due testi sono strettamente allineati per disegno: la nLPD è stata redatta per preservare lo status di adeguatezza UE della Svizzera. Chi è conforme a una è ampiamente conforme all'altra. Ma «ampiamente» non è «interamente», e le differenze contano — soprattutto per i moduli online, punto di primo contatto tra l'azienda e i dati personali. Questo articolo è un confronto pratico, campo per campo, centrato su ciò che le aziende svizzere fanno davvero con i moduli.
A chi è rivolto
Aziende svizzere — PMI, servizi professionali, sanità, servizi finanziari, e-commerce — che raccolgono dati personali tramite moduli online e la cui clientela, pazienti o utenti include residenti UE. Utile anche per aziende UE che trattano dati di residenti svizzeri in misura significativa.
Perché le aziende svizzere spesso ricadono sotto entrambe le leggi
La nLPD si applica a qualsiasi trattamento di dati personali con effetto in Svizzera — in sintesi: se siete un'azienda svizzera o trattate dati di persone in Svizzera, rientrate nel perimetro. Il GDPR si applica extraterritorialmente ai sensi dell'art. 3(2) quando un'azienda non UE offre beni o servizi a persone nell'UE o ne monitora il comportamento. Per la maggior parte delle aziende svizzere con anche una modesta clientela UE, entrambe le condizioni sono soddisfatte contemporaneamente.
La domanda utile non è «quale scegliamo?», bensì: dove GDPR e nLPD concordano (e un unico controllo basta), e dove divergono (e occorre progettare per il più rigoroso)?
GDPR vs nLPD: confronto campo per campo per i moduli online
| Tema | GDPR UE | nLPD svizzera |
|---|---|---|
| In vigore dal | 25 maggio 2018 | 1° settembre 2023 (revisione; legge precedente dal 1992) |
| Portata extraterritoriale | Sì — art. 3(2) copre aziende non UE che mirano a residenti UE | Sì — si applica a trattamenti con effetto in Svizzera |
| Adeguatezza | Riconosce la Svizzera come adeguata (trasferimenti UE → CH liberi) | Riconosce l'UE come adeguata (trasferimenti CH → UE liberi) |
| Categorie particolari / dati sensibili | Art. 9: salute, biometrici, genetici, orientamento sessuale, religione, politica, sindacale, origine | Art. 5: stesse categorie più procedimenti amministrativi/penali e assistenza sociale |
| Base giuridica / giustificazione | Sei basi (consenso, contratto, obbligo, interessi vitali, interesse pubblico, interesse legittimo) | Trattamento generalmente giustificato; consenso richiesto soprattutto per sensibili, profilazione, trasferimenti verso paesi non adeguati |
| Consenso cookie / tracking moduli | Opt-in esplicito e granulare (ePrivacy + GDPR) | Più permissiva in linea di principio; i siti rivolti all'UE adottano spesso lo standard GDPR |
| Diritto di accesso | Art. 15 — inclusa copia dei dati | Art. 25 — portata simile; fonte, destinatari, conservazione |
| Diritto alla cancellazione | Art. 17 — «diritto all'oblio» con eccezioni | Art. 32 — rettifica o cancellazione; portata leggermente più stretta |
| Portabilità | Art. 20 — formato strutturato e leggibile | Art. 28 — introdotto dalla revisione; struttura simile |
| Notifica all'autorità | Entro 72 ore (art. 33) | Il più presto possibile (art. 24) — nessun termine fisso, ma tempestivo |
| Notifica agli interessati | Se rischio elevato (art. 34); eccezione se dati resi incomprensibili (crittografia forte) | Se necessaria alla loro protezione (art. 24) o su richiesta dell'autorità |
| Sanzioni | Fino a 20 M€ o 4% del fatturato globale | Fino a CHF 250.000 — irrogate contro la persona fisica responsabile; esposizione personale diretta per dirigenti e DPO |
| Obblighi del responsabile del trattamento | Art. 28 — accordo scritto | Art. 9 — contenuto simile; scritto, garanzie documentate |
| Registro dei trattamenti | Art. 30 — obbligatorio oltre 250 dipendenti o per dati sensibili | Art. 12 — obbligatorio; PMI a basso rischio possono essere esentate per ordinanza |
| DPO | Obbligatorio per enti pubblici e trattamenti sensibili su larga scala (art. 37) | Non obbligatorio; possibile nominare un «consulente per la protezione dei dati» (art. 10) |
| Trasferimenti fuori area adeguata | Adeguatezza, SCC, BCR, deroghe — Schrems II | Elenco del Consiglio federale; altrimenti SCC, garanzie, consenso esplicito |
| Responsabilità penale | Nessun reato nel GDPR stesso (gli Stati possono aggiungere) | Reati specifici per violazioni intenzionali della persona responsabile fino a CHF 250.000 |
Dove un singolo controllo copre entrambi i regimi
Per i moduli online, i due regimi si sovrappongono più di quanto divergano. Un'azienda svizzera che implementa controlli a livello GDPR soddisfa in genere automaticamente la nLPD. Concretamente:
- Un'informativa chiara sulla pagina del modulo (titolare, finalità, base giuridica, conservazione, destinatari) soddisfa entrambi i regimi
- Un accordo con il fornitore di moduli copre contemporaneamente l'art. 28 GDPR e l'art. 9 nLPD
- Controlli tecnici forti — crittografia in transito e a riposo, controllo degli accessi — valgono per l'art. 32 GDPR e l'art. 8 nLPD
- Un playbook incident tarato su 72 ore soddisfa il più stretto e quindi anche la nLPD
- Un registro dei trattamenti in stile GDPR copre ampiamente l'art. 12 nLPD
- Garanzie di trasferimento documentate (SCC verso paesi non adeguati) valgono per entrambi
Euristica pratica
Nella maggior parte degli scenari moduli: progettare al livello GDPR e documentare esplicitamente le specificità nLPD. Un modello operativo invece di due paralleli.
Dove GDPR e nLPD divergono — e perché conta per i moduli
Dati sensibili: la nLPD copre un elenco più ampio
Il catalogo nLPD art. 5 aggiunge «dati su procedimenti amministrativi o penali o sanzioni» e «dati su misure di assistenza sociale» — categorie che il GDPR copre tramite regole generali, non tramite l'art. 9. Per un modulo che chiede di casellario giudiziale (assunzioni, locazioni, verifiche finanziarie) o storico di assistenza sociale, la nLPD può richiedere una giustificazione esplicita che il GDPR nella sua art. 9 non formula allo stesso modo.
Responsabilità penale personale
La differenza più citata è la struttura penale. La nLPD collega responsabilità penale personale a specifiche violazioni intenzionali della persona fisica responsabile — in particolare informazioni false volontarie in un'informativa o violazione del dovere di riservatezza — fino a CHF 250.000. Ciò modifica gli incentivi per direzione e DPO: un insuccesso di compliance in Svizzera può ricadere su una persona, non solo sull'ente. Le sanzioni GDPR colpiscono invece il titolare o responsabile come organizzazione.
Trasferimenti fuori dall'area adeguata
Entrambi i regimi limitano i trasferimenti verso paesi non adeguati. Gli elenchi sono vicini ma non identici — il Consiglio federale mantiene il proprio. Per un'azienda svizzera con un fornitore di moduli negli USA si applicano Schrems II (GDPR) e le regole svizzere di trasferimento in parallelo; un unico set di SCC più garanzie tecniche (come crittografia end-to-end che il fornitore non può decrittare) copre di solito entrambi. L'architettura del fornitore — se può leggere l'invio — incide materialmente su quanta ginnastica sia necessaria.
Tempi e contenuti della notifica
GDPR: 72 ore. nLPD: appena possibile. In pratica un processo a 72 ore copre entrambi. Più significativa l'eccezione per dati crittografati: ex art. 34(3)(a) GDPR, se i dati esposti sono resi incomprensibili da crittografia robusta con chiavi non compromesse, la notifica individuale può non essere richiesta. La nLPD non codifica esplicitamente l'eccezione, ma la crittografia forte resta un fattore di riduzione del rischio nella valutazione «necessaria alla protezione» dell'art. 24.
Profilazione e profilazione ad alto rischio
La nLPD introduce la nozione di «profilazione ad alto rischio» e richiede un consenso esplicito. L'art. 22 GDPR limita decisioni puramente automatizzate con effetti giuridici. Se il modulo alimenta uno scoring o un modello decisionale (credito, assicurazione, frode, idoneità), entrambi i regimi esigono un'analisi attenta e un'informazione esplicita nell'informativa.
Checklist doppio regime per i moduli online
Mappare i dati
Elencare i campi per modulo, classificare i dati personali, contrassegnare le categorie sensibili secondo GDPR art. 9 o nLPD art. 5. Casellario giudiziale e assistenza sociale sono sensibili solo sotto la nLPD.
Identificare base giuridica / giustificazione
Per ogni modulo annotare la base GDPR (consenso, contratto, interesse legittimo, ecc.) e la giustificazione nLPD (spesso contratto o interesse legittimo; consenso esplicito per sensibili, profilazione ad alto rischio, trasferimenti verso paesi non adeguati).
Un'unica informativa per entrambi
Redigere l'informativa a standard GDPR — titolare, finalità, base, conservazione, destinatari, diritti, contatto — e coprire inoltre il dovere di informazione nLPD art. 19 (fonte, finalità, destinatari, trasferimenti, criteri di conservazione).
Firmare un accordo con il fornitore di moduli
Un accordo GDPR art. 28, verificato rispetto all'art. 9 nLPD, copre il lato formale. La domanda sostanziale: il fornitore può davvero leggere gli invii? Un fornitore a conoscenza zero riduce significativamente l'esposizione sotto entrambi i regimi.
Conservazione e cancellazione
Definire e implementare una durata per modulo, informata dalla necessità di business e dalle regole settoriali (fiscale, antiriciclaggio, cartella clinica). Entrambi i regimi impongono «non oltre il necessario»; l'art. 6 nLPD impone esplicitamente un dovere di liceità della conservazione.
Risposta agli incidenti allo standard più stretto
Playbook 72 ore: rilevamento, contenimento, valutazione preliminare, notifica all'autorità (IFPDT + autorità UE rilevanti), notifica individuale se necessaria, documentazione. Tenere a mente l'eccezione per dati crittografati.
Documentare la gestione dei diritti degli interessati
Entrambi i regimi garantiscono accesso, rettifica e cancellazione (entro limiti). Un unico processo di accoglienza richieste — idealmente tramite modulo — e un unico SLA interno. GDPR: un mese (prorogabile di due); nLPD: appena possibile, al massimo 30 giorni.
Cosa cambiano i moduli crittografati nell'equazione
Buona parte del doppio lavoro GDPR/nLPD si dissolve quando il fornitore non può davvero leggere gli invii. Gli accordi di trattamento diventano più stretti (il responsabile non ha dati leggibili da gestire male). L'analisi dei trasferimenti diventa più difendibile (ciò che lascia la Svizzera è testo cifrato, non contenuto). L'esposizione di notifica si riduce (eccezione per la crittografia più facile da invocare). E gli invii di categorie particolari ottengono un controllo tecnico proporzionato al peso giuridico che entrambi i regimi attribuiscono loro.
Schweizerform è progettato attorno a questa architettura: crittografia end-to-end a conoscenza zero su ogni modulo, hosting svizzero per il payload delle risposte e supporto nativo EN / DE / FR / IT per la tipica clientela Svizzera + UE. Non sostituisce un programma di compliance — ma comprime diversi degli angoli più scomodi del confronto GDPR/nLPD in un unico controllo tecnico.
La conclusione
Per i moduli online, GDPR e nLPD si sovrappongono molto più di quanto divergano. Un'azienda svizzera che progetta i moduli al livello GDPR passerà la soglia nLPD nella maggior parte dei casi; i punti divergenti — categorie sensibili estese, responsabilità penale personale, aspettative IFPDT, profilazione ad alto rischio — richiedono attenzione deliberata ma non uno stack di compliance parallelo.
Scegliete un'architettura di moduli che semplifichi le parti difficili: un fornitore incapace di leggere contenuti sensibili, hosting svizzero per i dati svizzeri, supporto linguistico coerente con la vostra clientela effettiva. Documentate il programma una volta, non due.
Schweizerform fornisce un unico strato di moduli crittografati che si allinea pulitamente alle aspettative GDPR e nLPD. Hosting svizzero, crittografia a conoscenza zero e pieno supporto EN / DE / FR / IT — nessuna carta di credito richiesta nel piano gratuito.
Avvertenza: Questo articolo è informazione generale e contenuto di marketing, non consulenza legale o di compliance. I riferimenti al GDPR, alla nLPD, alle indicazioni IFPDT/FINMA, agli elenchi di paesi del Consiglio federale, alla giurisprudenza Schrems II e ai quadri correlati sono riassunti a livello concettuale e soggetti a interpretazione giurisdizionale e future modifiche legislative. Situazioni specifiche — settoriali (sanità, finanza, settore pubblico), strutture di gruppo transfrontaliere, trattamenti ad alto rischio — richiedono consulenza su misura. Consultate un legale qualificato in protezione dei dati svizzero e UE prima di basare decisioni di compliance o di acquisto su un singolo articolo, compreso questo.