nLPD vs GDPR: disposizioni chiave a confronto
La guida di riferimento che confronta la nLPD svizzera e il GDPR dell'UE: campo di applicazione, base giuridica, dati sensibili, notifica di violazione, decisioni automatizzate e IA, sanzioni e chi le paga — con fonti ufficiali. Informazione generale, non consulenza legale.
Se gestite un'azienda in Svizzera, vivete quasi certamente sotto due leggi sulla protezione dei dati contemporaneamente. La Legge federale rivista sulla protezione dei dati — la nLPD — disciplina il trattamento sul territorio nazionale. Il Regolamento generale sulla protezione dei dati dell'UE — il GDPR — vi raggiunge nel momento in cui offrite beni o servizi a persone nell'Unione europea o ne monitorate il comportamento. Per la maggior parte delle organizzazioni svizzere con una clientela UE anche modesta, la domanda pratica non è mai «quale si applica?», ma «dove convergono e dove devo progettare per la più rigorosa delle due?».
Questa guida è la risposta in parallelo. Spiega cos'è ciascuna legge, chi deve conformarsi, e poi espone le disposizioni chiave in un'ampia tabella comparativa — entrata in vigore, campo di applicazione, base giuridica, dati sensibili, consenso, doveri d'informazione, registri, consulente per la protezione dei dati, valutazione d'impatto, notifica delle violazioni, decisioni automatizzate, diritti degli interessati, trasferimenti, rappresentanza e sanzioni. Poi approfondiamo i pochi punti di divergenza reale, con una sezione dedicata alle decisioni automatizzate e all'IA, e nominiamo le fonti ufficiali da leggere voi stessi.
Informazione generale, non consulenza legale
Questo articolo riassume la nLPD e il GDPR a livello concettuale per orientarvi. È contenuto di marketing, non consulenza legale, e non può tener conto della vostra situazione specifica, delle regole settoriali o delle linee guida più recenti. Prima di decisioni di conformità o di acquisto, consultate consulenti qualificati in materia di protezione dei dati svizzera ed europea e leggete i testi ufficiali nominati alla fine.
A chi è rivolto
Fondatori, product owner, DPO e responsabili legali di organizzazioni svizzere ed europee che hanno bisogno di una mappa chiara e accurata di come nLPD e GDPR si allineano — in particolare chi sceglie come raccogliere dati personali tramite moduli online.
Cos'è la nLPD
La nLPD è la versione interamente rivista della Legge federale svizzera sulla protezione dei dati. Adottata dal Parlamento nel settembre 2020, è entrata in vigore il 1° settembre 2023, senza periodo transitorio successivo. Ha sostituito la precedente legge del 1992, anteriore allo smartphone, al cloud e alla profilazione moderna.
La Svizzera ha rivisto la legge per due motivi collegati. Primo, per attuare la Convenzione 108+ modernizzata del Consiglio d'Europa, il trattato internazionale sul trattamento automatizzato dei dati. Secondo, altrettanto importante sul piano commerciale, per preservare la decisione di adeguatezza dell'UE: il riconoscimento da parte della Commissione europea che il diritto svizzero offre un livello di protezione sostanzialmente equivalente al GDPR, il che consente ai dati di fluire dall'UE alla Svizzera senza garanzie aggiuntive. La nLPD è stata redatta deliberatamente vicina al GDPR affinché l'adeguatezza sopravvivesse alla modernizzazione dell'UE.
- Ampliamento della definizione di dati sensibili includendo i dati genetici e i dati biometrici che identificano una persona in modo univoco
- Introduzione della protezione dei dati fin dalla progettazione e per impostazione predefinita come doveri di legge
- Dovere di tenere un registro delle attività di trattamento e di svolgere una valutazione d'impatto in caso di rischio elevato
- Dovere di notificare le violazioni della sicurezza dei dati all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT)
- Trasparenza rafforzata, incluso uno specifico dovere di informare sulle decisioni individuali automatizzate
- Multe a carattere penale per determinate violazioni intenzionali, rivolte alle persone fisiche responsabili
Il risultato è una legge familiare a chiunque conosca il GDPR, ma che mantiene un carattere nettamente svizzero — soprattutto nel modo in cui tratta la base giuridica e nel modo in cui punisce le violazioni.
Cos'è il GDPR
Il GDPR — Regolamento (UE) 2016/679 — è il regolamento completo dell'Unione europea sulla protezione dei dati. Adottato nel 2016, si applica direttamente in tutti gli Stati membri dell'UE e del SEE dal 25 maggio 2018. In quanto regolamento e non direttiva, si applica senza che ogni Paese debba adottare una legge di recepimento, anche se gli Stati membri conservano un margine limitato su punti specifici, come l'età del consenso dei minori.
Il GDPR si fonda su un catalogo di principi (liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza, responsabilizzazione) e su un elenco chiuso di basi giuridiche. Concede agli interessati diritti ampi, impone obblighi dettagliati a titolari e responsabili ed è applicato da autorità di controllo indipendenti in ogni Stato membro, coordinate tramite il Comitato europeo per la protezione dei dati (EDPB). È il punto di riferimento rispetto al quale si misurano la maggior parte delle leggi moderne, inclusa la nLPD.
Chi deve conformarsi a quale legge
Le due leggi hanno una portata territoriale che si sovrappone ma resta distinta, ed è proprio per questo che tante organizzazioni rientrano in entrambe.
Campo di applicazione territoriale della nLPD
La nLPD si applica alle persone private e agli organi federali il cui trattamento produce effetti in Svizzera — anche se il trattamento avviene all'estero. In pratica: se siete stabiliti in Svizzera, o trattate dati di persone in Svizzera in modo che vi produca effetto, rientrate nel suo ambito. Un negozio online estero che spedisce a clienti svizzeri può rientrare nella nLPD esattamente come un'azienda nazionale.
Campo di applicazione territoriale del GDPR
Il GDPR si applica al trattamento da parte di uno stabilimento nell'UE indipendentemente dal luogo del trattamento e — tramite l'art. 3(2) extraterritoriale — alle organizzazioni fuori dall'UE che offrono beni o servizi a persone nell'UE o ne monitorano il comportamento. Un'azienda svizzera con un sito che riceve ordini in euro, spedisce in Germania o analizza visitatori dell'UE rientra chiaramente nella portata del GDPR.
La realtà del doppio regime
Una clinica svizzera che riceve iscrizioni di pazienti tedeschi, una società SaaS zurighese con clienti spagnoli, uno studio legale ginevrino con clienti in tutta l'UE — ciascuno è soggetto contemporaneamente a nLPD e GDPR. L'adeguatezza consente la libera circolazione dei dati fra Svizzera e UE, ma non fonde le due leggi. Dovete comunque soddisfarle entrambe.
nLPD vs GDPR: le disposizioni chiave in parallelo
La tabella seguente è il fulcro di questa guida: le disposizioni chiave di entrambe le leggi in un solo luogo. Dove una riga indica convergenza, un singolo controllo ben progettato soddisfa di solito entrambi i regimi. Dove diverge, progettate per il requisito più rigoroso e documentate la differenza.
| Disposizione | nLPD svizzera | GDPR UE |
|---|---|---|
| Entrata in vigore | 1° settembre 2023 (legge rivista; precedente dal 1992) | 25 maggio 2018 (adottato nel 2016) |
| Forma giuridica | Legge federale (Fedlex RS 235.1) più l'ordinanza sulla protezione dei dati | Regolamento UE direttamente applicabile (2016/679) |
| Campo territoriale | Trattamento che produce effetti in Svizzera, anche dall'estero | Stabilimenti UE, più organismi fuori UE che mirano o monitorano persone nell'UE (art. 3) |
| Base giuridica per trattare | Nessun catalogo generale di basi giuridiche; il trattamento privato è lecito salvo lesione illecita della personalità | Il trattamento richiede una delle sei basi dell'art. 6 (consenso, contratto, obbligo legale, interessi vitali, compito pubblico, interessi legittimi) |
| Categorie di dati sensibili | Art. 5: salute, opinioni religiose/politiche/filosofiche/sindacali, sfera intima, razza/etnia, dati genetici, dati biometrici che identificano in modo univoco, più dati su procedimenti amministrativi/penali e assistenza sociale | Art. 9: categorie particolari incl. salute, origine razziale/etnica, convinzioni politiche/religiose/filosofiche, appartenenza sindacale, dati genetici, dati biometrici per identificazione univoca, vita/orientamento sessuale |
| Consenso | Richiesto in casi specifici (dati sensibili, profilazione ad alto rischio, certi trasferimenti); deve essere libero e informato | Una base fra varie; se usato, libero, specifico, informato, inequivocabile e facile da revocare quanto da prestare |
| Doveri d'informazione | Art. 19: informare alla raccolta (identità del titolare, finalità, destinatari, Paesi di trasferimento) | Art. 13–14: trasparenza dettagliata incl. base giuridica, periodi di conservazione, diritti e contatto del DPO |
| Registro dei trattamenti | Art. 12: richiesto, ma le aziende con meno di 250 dipendenti e trattamento a basso rischio sono esentate | Art. 30: richiesto, con un'esenzione analoga per le piccole organizzazioni a basso rischio |
| DPO / consulente | Nominare un consulente per la protezione dei dati è facoltativo per il settore privato (con vantaggi procedurali) | DPO obbligatorio in casi definiti (monitoraggio su larga scala o trattamento su larga scala di categorie particolari; autorità pubbliche) |
| Valutazione d'impatto | Art. 22 (VPD): richiesta se il trattamento comporta probabilmente un rischio elevato per la personalità o i diritti fondamentali | Art. 35 (DPIA): richiesta per trattamenti che possono presentare un rischio elevato per gli interessati |
| Protezione dalla progettazione / predefinita | Richiesta (art. 7) | Richiesta (art. 25) |
| Notifica delle violazioni | Notificare all'IFPDT «il più presto possibile», solo per violazioni che comportano probabilmente un rischio elevato; informare gli interessati se necessario alla loro protezione | Notificare all'autorità di controllo senza ingiustificato ritardo, ove possibile entro 72 ore; informare gli interessati in caso di rischio elevato per i loro diritti e libertà |
| Decisione individuale automatizzata | Art. 21: dovere di informare l'interessato di una decisione basata esclusivamente su trattamento automatizzato con effetto giuridico/significativo; diritto di esprimere il proprio punto di vista e di chiedere un riesame umano | Art. 22: diritto di non essere sottoposti a una decisione esclusivamente automatizzata con effetto giuridico/significativo, con eccezioni e garanzie (incl. intervento umano) |
| Diritti degli interessati | Accesso, rettifica, opposizione, cancellazione/distruzione (tramite tutela della personalità), portabilità, rimedi affini alla limitazione | Accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e diritti relativi alle decisioni automatizzate |
| Trasferimenti internazionali | Verso Paesi con protezione adeguata (lista del Consiglio federale); altrimenti garanzie come clausole contrattuali tipo | Sotto decisione di adeguatezza o garanzie appropriate (SCC, BCR) ai sensi del Capo V |
| Obbligo di rappresentante | Determinati titolari privati esteri che trattano dati in Svizzera devono designare un rappresentante svizzero | Art. 27: molti titolari/responsabili fuori UE devono designare un rappresentante nell'UE |
| Sanzioni — importo | Multe a carattere penale fino a CHF 250'000 | Sanzioni amministrative fino a 20 milioni EUR o 4% del fatturato annuo mondiale, se superiore |
| Sanzioni — chi paga | Colpiscono la persona privata responsabile (carattere penale); l'azienda risponde solo in via sussidiaria fino a CHF 50'000 in casi definiti | Colpiscono l'impresa (il titolare o il responsabile come organizzazione) |
Letto dall'alto in basso, lo schema è chiaro: le due leggi convergono molto più di quanto divergano. L'adeguatezza non è un caso — è il frutto di un allineamento deliberato. L'interesse si concentra sulle righe in cui si separano, e queste meritano uno sguardo più attento.
Dove le leggi divergono davvero
Filosofia della base giuridica
È la differenza strutturale più profonda. Il GDPR è un sistema basato sul permesso: non potete trattare dati personali senza poter invocare una delle sei basi dell'articolo 6, e dovete poterla nominare. La nLPD adotta il default opposto per il trattamento privato. Non esiste un catalogo generale di basi giuridiche; il trattamento di dati personali è lecito in linea di principio e diventa illecito solo se lede ingiustificatamente la personalità dell'interessato — per esempio ignorando un'opposizione, trattando contro la sua volontà espressa, o comunicando dati sensibili a terzi senza giustificazione. Consenso, interesse preponderante o legge agiscono allora come motivi giustificativi che sanano un trattamento altrimenti illecito, non come precondizioni da stabilire in anticipo.
In pratica, un'organizzazione che documenta già una base giuridica GDPR per ogni trattamento supera agevolmente la soglia della nLPD. L'inverso non è sicuro: costruire solo sul modello svizzero e poi presumere che la clientela UE sia coperta lascia lacune ovunque il GDPR esiga una base affermativa mai registrata.
Sanzioni sulle persone rispetto alle aziende
Le cifre principali puntano in direzioni opposte, e così pure il bersaglio. Le sanzioni GDPR sono elevate e amministrative: fino a 20 milioni EUR o 4% del fatturato mondiale, irrogate all'impresa da un'autorità di controllo. Le multe della nLPD sono inferiori in valore assoluto — fino a CHF 250'000 — ma a carattere penale e, soprattutto, colpiscono la persona fisica responsabile, non l'azienda. Dirigenti, responsabili privacy e altri individui possono essere personalmente sanzionati per determinate violazioni intenzionali, come fornire scientemente informazioni false in un'informativa o violare il segreto professionale. L'azienda stessa risponde solo in via sussidiaria, fino a CHF 50'000, in casi definiti in cui identificare la persona responsabile richiederebbe uno sforzo sproporzionato.
L'esposizione personale è la peculiarità svizzera
Non leggete la cifra CHF più bassa come «la nLPD è più morbida». Una multa a carattere penale che può colpire un dirigente per nome cambia gli incentivi in un modo che una sanzione amministrativa su una persona giuridica non fa. I due sistemi puniscono in modo molto diverso.
Soglie e termini di notifica
Entrambe le leggi impongono di notificare le violazioni della sicurezza dei dati, ma l'innesco e l'orologio differiscono. Sotto il GDPR, notificate all'autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla presa di conoscenza di qualsiasi violazione che ponga un rischio per le persone; informate gli interessati quando il rischio per i loro diritti e libertà è elevato. Sotto la nLPD, notificate all'IFPDT «il più presto possibile», ma solo per violazioni che comportano probabilmente un rischio elevato per gli interessati — una soglia più alta dell'innesco di notifica all'autorità del GDPR. La risposta pragmatica per un'azienda a doppio regime è un unico playbook di 72 ore tarato sul tempo GDPR più rigoroso, applicando poi la soglia di ciascuna legge per decidere chi viene effettivamente notificato.
Elenchi di dati sensibili
I due cataloghi sono vicini ma non identici. La modernizzazione della nLPD ha aggiunto esplicitamente i dati genetici e i dati biometrici che identificano una persona in modo univoco, allineandola all'articolo 9 del GDPR. Ma l'elenco della nLPD include anche espressamente i dati su procedimenti e sanzioni amministrative o penali e i dati su misure di assistenza sociale — categorie che il GDPR tratta con regole distinte anziché nel suo elenco centrale. Un modulo che chiede casellario, procedimenti in corso o storia di assistenza sociale può innescare un trattamento sensibile sotto la nLPD dove l'articolo 9 del GDPR, a parità di formulazione, non lo farebbe.
Decisioni automatizzate e IA sotto nLPD e GDPR
Man mano che sempre più dati dei moduli alimentano modelli di scoring, motori di idoneità e sistemi di IA, le disposizioni sulle decisioni automatizzate sono passate da tema di nicchia a preoccupazione di prima linea. Qui le due leggi condividono un obiettivo — tenere l'essere umano realmente nel ciclo — ma lo raggiungono con meccaniche diverse.
GDPR art. 22: un diritto a non essere sottoposti a decisioni automatizzate
Il GDPR pone un divieto con eccezioni. Ai sensi dell'articolo 22, l'interessato ha il diritto di non essere sottoposto a una decisione basata esclusivamente sul trattamento automatizzato — inclusa la profilazione — che produca effetti giuridici o lo riguardi in modo analogamente significativo. Tali decisioni sono ammesse solo se necessarie a un contratto, autorizzate dalla legge o fondate sul consenso esplicito, e anche allora il titolare deve predisporre garanzie, fra cui il diritto di ottenere l'intervento umano, di esprimere la propria opinione e di contestare la decisione. Il trattamento di categorie particolari in tali decisioni è ulteriormente ristretto.
nLPD art. 21: un dovere di informare sulle decisioni automatizzate
La nLPD affronta lo stesso problema come dovere di trasparenza e riesame anziché come divieto. Ai sensi dell'articolo 21, quando il titolare prende una decisione basata esclusivamente su trattamento automatizzato con effetto giuridico per l'interessato o che lo riguarda in modo significativo, deve informarlo. L'interessato può allora chiedere di esprimere il proprio punto di vista e di far riesaminare la decisione da una persona fisica. Esistono eccezioni — per esempio quando la decisione è in connessione diretta con la conclusione o l'esecuzione di un contratto e la richiesta viene accolta, o in caso di consenso. La destinazione è simile a quella del GDPR: dietro la macchina deve essere raggiungibile un essere umano. L'inquadramento differisce: la nLPD parte da «dovete informare», il GDPR da «hanno il diritto di rifiutare».
Cosa significa per la raccolta nell'era dell'IA
Se il vostro modulo online alimenta un modello che decide qualcosa di rilevante — credito, tariffazione assicurativa, segnalazioni di frode, idoneità, preselezione — entrambe le leggi sono in gioco. Dichiarate la decisione automatizzata nell'informativa del modulo, rendete realmente raggiungibile un riesame umano e valutate il rischio prima del lancio (può essere richiesta una VPD/DPIA). L'IA non è esentata perché l'input è arrivato da un semplice modulo web; il modulo è esattamente dove l'obbligo inizia.
Fonti ufficiali
Un confronto vale solo quanto i testi che lo sostengono. Queste sono le fonti autorevoli da leggere direttamente — le nominiamo nel testo affinché cerchiate voi stessi le versioni in vigore anziché affidarvi a un riassunto secondario, incluso questo.
- La nLPD stessa: la Legge federale svizzera sulla protezione dei dati, pubblicata nella raccolta federale Fedlex con il numero RS 235.1, insieme all'ordinanza sulla protezione dei dati (RS 235.11)
- Linee guida del regolatore svizzero: l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), che pubblica guide e spiegazioni sulla nLPD
- Il GDPR stesso: il Regolamento (UE) 2016/679, disponibile in tutte le lingue dell'UE tramite EUR-Lex, la banca dati giuridica ufficiale dell'UE
- Linee guida del regolatore UE: il Comitato europeo per la protezione dei dati (EDPB), che emana linee guida, raccomandazioni e pareri sull'applicazione del GDPR, accanto alle autorità di controllo nazionali
- La base dell'adeguatezza: la decisione di adeguatezza della Commissione europea che riconosce la Svizzera e la Convenzione 108+ modernizzata del Consiglio d'Europa, che sta alla base della revisione svizzera
Testi legali e linee guida vengono aggiornati nel tempo. Verificate sempre la versione in vigore sulla fonte ufficiale nominata sopra prima di affidarvi a una disposizione specifica.
Cosa significa per la vostra raccolta e i vostri moduli
I moduli online sono il punto in cui la maggior parte delle organizzazioni tocca per la prima volta dati personali, il che li rende il luogo naturale per rendere operativo tutto quanto sopra. La realtà del doppio regime non richiede due stack di conformità paralleli; richiede di progettare ogni modulo secondo la regola applicabile più rigorosa e di documentare le differenze. Ecco una sequenza pratica.
Classificare i dati di ogni modulo
Elencare i campi. Segnalare tutto ciò che è sensibile ai sensi dell'art. 9 GDPR o dell'art. 5 nLPD — e ricordare le categorie aggiuntive della nLPD (procedimenti penali, storia di assistenza sociale) che l'elenco del GDPR tratta diversamente.
Mappare la legge o le leggi applicabili
I rispondenti sono in Svizzera, nell'UE o in entrambe? Se in entrambe, GDPR e nLPD corrono in parallelo. Annotare dove serve una base giuridica affermativa GDPR anche se la nLPD non la richiederebbe.
Minimizzare ciò che chiedete
La minimizzazione è un principio di entrambi i regimi. Ogni campo rimosso non può trapelare, non può essere richiesto in via giudiziaria e non deve mai essere giustificato. Raccogliete solo ciò che la finalità realmente richiede.
Proteggere ciò che raccogliete
Applicare una sicurezza adeguata al rischio (art. 8 nLPD, art. 32 GDPR). Per gli invii sensibili, la crittografia end-to-end diventa sempre più la base attesa, non un lusso.
Documentare tutto
Tenere registri ove richiesto, scrivere un'informativa chiara che soddisfi l'art. 19 nLPD e gli art. 13–14 GDPR, dichiarare eventuali decisioni automatizzate e svolgere una VPD/DPIA quando il trattamento è ad alto rischio.
Come la crittografia cambia la vostra esposizione sotto entrambe le leggi
Un controllo tecnico migliora silenziosamente la vostra posizione sotto entrambi i regimi insieme: la crittografia end-to-end a conoscenza zero degli invii dei moduli. Quando i dati sono crittografati nel browser del rispondente e la piattaforma archivia solo testo cifrato, l'operatore non può leggerli — e questo fatto rimodella diversi degli obblighi sopra.
- La gravità di una violazione cala. Se i dati esposti sono resi incomprensibili da una crittografia forte e le chiavi non sono compromesse, una violazione è molto meno probabile che crei il «rischio elevato» che innesca la notifica individuale — il GDPR lo riconosce esplicitamente all'art. 34, e una crittografia forte riduce materialmente il rischio anche nella valutazione della nLPD
- L'analisi dei trasferimenti si semplifica. Se ciò che lascia la giurisdizione è cifrato che il fornitore non può decrittare, la questione delle misure supplementari che domina le valutazioni di trasferimento diventa molto più facile da risolvere
- La superficie del responsabile si riduce. Un fornitore che non può leggere gli invii non detiene testo in chiaro da produrre su ordine e non espone alcun contenuto leggibile agli insider
Schweizerform è costruito esattamente attorno a questa architettura. Ogni invio, allegati inclusi, è crittografato nel browser del rispondente con AES-256-GCM; la chiave di ogni invio è avvolta con la chiave pubblica RSA-OAEP-2048 del modulo, e la catena di chiavi è protetta dall'Access Code del titolare tramite PBKDF2. I server archiviano solo testo cifrato, ospitato esclusivamente in Svizzera sull'infrastruttura Infomaniak — server applicativi, database, archiviazione a oggetti ed e-mail — senza alcun fornitore statunitense o europeo nel percorso dei dati e senza tracker di terze parti sulla pagina del modulo. L'operatore non può leggere gli invii, nemmeno sotto costrizione legale.
Questa guida confronta i due regimi a livello di regolamentazione. Per un approfondimento specifico sui moduli — contratti di responsabile, meccanica dei trasferimenti e playbook di violazione per moduli online — vedete l'articolo compagno su GDPR contro nLPD per i dati dei moduli su questo blog.
La conclusione
La nLPD e il GDPR sono cugini stretti per costruzione: la Svizzera ha rivisto la sua legge proprio per stare al passo con l'UE e preservare l'adeguatezza. Progettate per il requisito più rigoroso, documentate le poche divergenze reali — il catalogo affermativo di basi giuridiche del GDPR, l'esposizione penale degli individui nella nLPD, le diverse soglie di notifica, le categorie sensibili svizzere aggiuntive e i due approcci alle decisioni automatizzate — e una postura di conformità ben progettata vi porterà attraverso entrambe.
I moduli sono il punto in cui questa postura viene messa alla prova per prima. Classificare, minimizzare, proteggere, documentare — e lasciare che l'architettura dello strumento, non solo la formulazione di una policy, faccia quanto più lavoro possibile.
Schweizerform è progettato per il punto in cui nLPD e GDPR si incontrano: crittografia end-to-end a conoscenza zero su ogni modulo, hosting esclusivamente svizzero e pieno supporto EN / DE / FR / IT — senza carta di credito nel piano gratuito.
Avvertenza: Questo articolo è informazione generale e contenuto di marketing, non consulenza legale o di conformità. I riferimenti a nLPD, GDPR, linee guida dell'IFPDT e dell'EDPB, decisioni di adeguatezza e Convenzione 108+ sono riassunti a livello concettuale e soggetti a interpretazione e a future modifiche legislative. Situazioni specifiche — regole settoriali, strutture di gruppo transfrontaliere, trattamenti ad alto rischio o guidati dall'IA — richiedono consulenza su misura. Consultate consulenti qualificati in protezione dei dati svizzera ed europea e leggete le fonti ufficiali prima di basare decisioni di conformità o di acquisto su un singolo articolo, compreso questo.