HomeBlogDiritto
Diritto

Protezione dei dati e nLPD per lavoratori autonomi: cosa dovete sapere

La revisione della Legge sulla protezione dei dati (nLPD) è in vigore dal 1.9.2023. Cosa devono osservare le ditte individuali: obbligo di informazione, dichiarazione sulla protezione dei dati, registro delle attività di trattamento e sanzioni.

e
einzly Redaktion
Redazione fiscale & finanziaria
8 min di lettura
2 mar 2026

01La revisione della Legge sulla protezione dei dati (nLPD) in sintesi

Il 1° settembre 2023 è entrata in vigore la Legge federale sulla protezione dei dati totalmente rivista (LPD, spesso chiamata nLPD). Sostituisce la precedente Legge sulla protezione dei dati del 1992 e adegua la protezione dei dati svizzera al Regolamento europeo sulla protezione dei dati (RGPD) -- senza copiarlo uno a uno.

Per i lavoratori autonomi e i titolari di ditte individuali, ciò è rilevante perché la nLPD si applica a tutti coloro che trattano dati personali -- indipendentemente dalle dimensioni dell'impresa. Che gestiate come freelancer i dati dei clienti in un foglio Excel o come artigiano salviate gli indirizzi nel vostro telefono: la nLPD vi riguarda.

Le novità più importanti in sintesi:

  • Protetti solo i dati di persone fisiche (le persone giuridiche non più)
  • Obbligo di informazione ampliato per ogni raccolta di dati (art. 19 LPD)
  • Obbligo di valutazione d'impatto sulla protezione dei dati in caso di rischio elevato (art. 22 LPD)
  • Obbligo di notifica in caso di violazione della sicurezza dei dati all'IFPDT (art. 24 LPD)
  • Sanzioni fino a CHF 250'000 per persone fisiche in caso di violazioni intenzionali (art. 60 ss. LPD)
  • Il profiling con rischio elevato richiede il consenso esplicito (art. 6 cpv. 7 LPD)
  • Privacy by Design e Privacy by Default sanciti come principi (art. 7 LPD)
Nessun periodo transitorioLa nLPD è in vigore dal 1° settembre 2023 senza periodo transitorio. Chi non ha ancora adeguato le proprie prassi in materia di protezione dei dati rischia già oggi sanzioni. Questo vale anche per le ditte individuali.

02Principi di trattamento: le regole nella pratica quotidiana

La nLPD definisce all'art. 6 i principi secondo cui i dati personali devono essere trattati. Questi principi valgono per ogni trattamento -- che raccogliate dati dei clienti, inviate newsletter o salviate documenti di candidatura.

PrincipioSignificato per i lavoratori autonomi
Liceità (art. 6 cpv. 1)I dati personali possono essere trattati solo in modo lecito. Il trattamento è consentito se sussiste un motivo giustificativo (consenso, contratto, interesse preponderante o obbligo legale).
Buona fede (art. 6 cpv. 2)Il trattamento deve essere comprensibile e corretto. Nessuna raccolta di dati nascosta.
Proporzionalità (art. 6 cpv. 2)Raccogliere solo i dati effettivamente necessari per lo scopo. Non raccogliere «in riserva».
Finalità (art. 6 cpv. 3)Utilizzare i dati solo per lo scopo per cui sono stati raccolti. Gli indirizzi dei clienti per le fatture non possono semplicemente essere usati per la pubblicità.
Esattezza (art. 6 cpv. 5)Dovete assicurarvi che i dati siano corretti e rettificarli se necessario.
Limitazione della conservazione (art. 6 cpv. 4)Cancellare i dati non appena lo scopo è stato raggiunto -- salvo obbligo legale di conservazione (ad es. 10 anni per le pezze giustificative secondo CO art. 958f).
Esempio praticoSiete graphic designer e salvate dati dei clienti (nome, indirizzo, e-mail, telefono) per l'esecuzione degli incarichi. Ciò è giustificato dallo scopo contrattuale. Non potete però semplicemente trasmettere questi dati a un fotografo o utilizzarli per una vostra newsletter, senza prima informare i clienti e offrire loro un opt-out.

03Obbligo di informazione e dichiarazione sulla protezione dei dati

Una delle novità più importanti della nLPD è l'obbligo di informazione ampliato (art. 19--21 LPD). Per ogni raccolta di dati personali, dovete informare la persona interessata -- non solo per dati particolarmente degni di protezione, come avveniva in precedenza.

Cosa dovete comunicare (art. 19 cpv. 2 LPD):

  • Identità e dati di contatto del responsabile (ossia la vostra ditta e il vostro indirizzo)
  • Scopo del trattamento: a cosa servono i dati
  • Destinatari o categorie di destinatari: a chi trasmettete i dati (ad es. fiduciario, hosting provider)
  • In caso di trasferimento all'estero: in quale Paese vanno i dati e quali misure di protezione si applicano
  • Diritti della persona interessata: diritto di informazione, rettifica e cancellazione

In pratica, adempite questo obbligo nel modo più semplice con una dichiarazione sulla protezione dei dati sul vostro sito web -- accanto alle vostre CGC, uno dei documenti legali più importanti. Anche se non avete un sito web, dovete poter informare i clienti su richiesta.

La vostra dichiarazione sulla protezione dei dati dovrebbe coprire i seguenti punti:

  1. Nome e dati di contatto della vostra ditta
  2. Quali dati raccogliete (ad es. nome, e-mail, telefono, dati di pagamento)
  3. Scopo del trattamento dei dati (esecuzione degli incarichi, contabilità, newsletter)
  4. Base giuridica (contratto, consenso, interesse legittimo)
  5. Destinatari dei dati (hosting provider, software di contabilità, autorità)
  6. Durata di conservazione e termini di cancellazione
  7. Diritti della persona interessata (informazione, rettifica, cancellazione, opposizione)
  8. Utilizzo di cookie e strumenti di tracciamento (se applicabile)
  9. Possibilità di contatto per richieste sulla protezione dei dati
Nessun cookie banner come nell'UEIn Svizzera non esiste (ancora) un obbligo generale di consenso per i cookie come nel RGPD/Direttiva ePrivacy. I cookie tecnicamente necessari sono consentiti. Per i cookie di tracciamento (ad es. Google Analytics), l'IFPDT raccomanda tuttavia il consenso -- in particolare se avete anche visitatori dall'UE.

04Registro delle attività di trattamento

La nLPD introduce l'obbligo di tenere un registro delle attività di trattamento (art. 12 LPD). Questo registro documenta quali dati personali trattate, a quale scopo e come vengono protetti.

La buona notizia per i lavoratori autonomi: esiste un'eccezione per le PMI. Le imprese con meno di 250 collaboratori devono tenere il registro solo se trattano dati personali particolarmente degni di protezione in grande quantità o effettuano un profiling con rischio elevato (art. 12 cpv. 5 LPD).

Per la maggior parte delle ditte individuali ciò significa: siete esonerati dall'obbligo. Ciononostante, è consigliabile tenere un registro semplice -- vi aiuta a mantenere la panoramica e ad adempiere il vostro obbligo di informazione.

Un registro minimale contiene:

CampoEsempio
Attività di trattamentoGestione indirizzi clienti
ScopoEsecuzione incarichi e fatturazione
Categorie di persone interessateClienti, interessati
Categorie di dati personaliNome, indirizzo, e-mail, telefono
DestinatariSoftware di contabilità (einzly), hosting (Vercel)
Durata di conservazione10 anni (obbligo legale di conservazione)
Misure tecniche di protezioneCifratura, protezione con password, backup
Nonostante l'eccezione: registro raccomandatoAnche se come ditta individuale con meno di 250 collaboratori siete esonerati dall'obbligo: un registro semplice in un foglio Excel vi costa 30 minuti e vi aiuta a dare subito informazioni in caso di richiesta dell'IFPDT o di un cliente.

05Trattamento su mandato e fornitori terzi

Se fate trattare dati personali da terzi -- ad esempio da un software di contabilità cloud, un servizio di newsletter o un hosting provider --, si parla di trattamento su mandato (art. 9 LPD). Voi rimanete responsabili della protezione dei dati.

I principali obblighi nel trattamento su mandato:

  • Potete trasferire il trattamento solo a terzi che garantiscono una protezione dei dati adeguata
  • Il trattamento non deve essere contrattualmente o legalmente vietato
  • Dovete assicurarvi che il responsabile del trattamento su mandato possa garantire la sicurezza dei dati
  • Il responsabile del trattamento su mandato può trattare i dati solo come potreste farlo voi stessi
  • La sub-delega a sub-responsabili necessita della vostra approvazione

In pratica, stipulate un contratto di trattamento su mandato (CTM o Data Processing Agreement, DPA) con il rispettivo fornitore. La maggior parte dei servizi cloud seri offre un CTM come standard.

Dati all'estero?Se il vostro fornitore cloud salva dati al di fuori della Svizzera (ad es. nell'UE o negli USA), si applicano regole aggiuntive. I dati possono essere trasferiti solo in Paesi con un livello di protezione dei dati adeguato. Il Consiglio federale tiene un elenco dei Paesi riconosciuti. Per gli USA vale dal Swiss-U.S. Data Privacy Framework (in vigore dal 15.9.2024) un livello adeguato per le imprese certificate.

06Sanzioni per violazioni: fino a CHF 250'000

Una differenza essenziale rispetto al RGPD: nella nLPD svizzera non vengono multate le imprese, ma le persone fisiche -- ossia voi come titolari della ditta individuale personalmente. Le multe possono ammontare fino a CHF 250'000 (art. 60--63 LPD).

Sono punibili le seguenti violazioni intenzionali:

ViolazioneArticoloMulta massima
Violazione dell'obbligo di informazioneArt. 60 cpv. 1 lett. a LPDCHF 250'000
Violazione dell'obbligo di informazione su richiestaArt. 60 cpv. 1 lett. a LPDCHF 250'000
Violazione dell'obbligo di diligenza nella comunicazione all'esteroArt. 61 LPDCHF 250'000
Violazione degli obblighi nel trattamento su mandatoArt. 61 LPDCHF 250'000
Violazione della sicurezza dei dati (requisiti minimi)Art. 61 LPDCHF 250'000
Inosservanza di decisioni dell'IFPDTArt. 63 LPDCHF 250'000
Violazione del segreto professionaleArt. 62 LPDCHF 250'000
Responsabilità personaleLa multa colpisce voi come persona fisica -- non la vostra impresa. Con una ditta individuale siete comunque la persona responsabile. La multa fino a CHF 250'000 viene comminata solo in caso di violazioni intenzionali. La negligenza non è fondamentalmente punibile, ma può avere conseguenze di diritto civile.

Importante: l'IFPDT (Incaricato federale della protezione dei dati e della trasparenza) può avviare indagini, formulare raccomandazioni ed emanare decisioni. Il perseguimento penale spetta alle autorità penali cantonali.

07Checklist pratica: nLPD per la vostra ditta individuale

La protezione dei dati non deve essere complicata. La seguente checklist vi aiuta a soddisfare i requisiti più importanti della nLPD -- senza una laurea in giurisprudenza.

1
Creare o aggiornare la dichiarazione sulla protezione dei dati:

Create una dichiarazione sulla protezione dei dati per il vostro sito web (se ne avete uno) e tenetela pronta per le richieste dei clienti. Deve contenere l'identità del responsabile, gli scopi del trattamento, i destinatari e i diritti delle persone interessate.

2
Allestire un registro delle attività di trattamento (raccomandato):

Anche se come PMI con meno di 250 collaboratori ne siete esonerati: documentate in una semplice tabella quali dati trattate e a quale scopo. Aiuta per le richieste di informazione.

3
Verificare i contratti di trattamento su mandato:

Verificate per tutti i servizi cloud (contabilità, e-mail, hosting, CRM) se è disponibile un CTM/DPA. Offerenti seri come einzly li mettono a disposizione come standard.

4
Garantire la sicurezza dei dati:

Implementate misure tecniche di base: password forti, autenticazione a due fattori (2FA), trasmissione dati cifrata (HTTPS), backup regolari, software aggiornato.

5
Definire un concetto di cancellazione:

Stabilite quando cancellate quali dati. Dati dei clienti dopo la fine del contratto? Documenti di candidatura dopo 3 mesi? Pezze giustificative dopo 10 anni? Documentate i termini.

6
Predisporre un processo per le richieste delle persone interessate:

I clienti hanno diritto di informazione, rettifica e cancellazione. Predisponete un processo semplice: chi risponde alle richieste, entro quale termine (legale: 30 giorni), in quale forma?

7
Preparare un processo di notifica in caso di violazione dei dati:

Se i dati vengono rubati o pubblicati accidentalmente, dovete informare l'IFPDT il più rapidamente possibile (art. 24 LPD). Tenete pronti i dati di contatto dell'IFPDT e riflettete in anticipo su chi contattare in caso di emergenza.

einzly vi toglie lavoro sulla protezione dei datieinzly salva i vostri dati dei clienti cifrati in Svizzera (Supabase/Vercel), offre l'autenticazione a due fattori e mette a disposizione un contratto di trattamento su mandato. Così soddisfate automaticamente i requisiti della nLPD per i vostri dati contabili -- senza sforzo aggiuntivo.

08Domande frequenti sulla protezione dei dati per lavoratori autonomi

Sì. La nLPD si applica a tutte le persone fisiche e giuridiche che trattano dati personali -- indipendentemente dalle dimensioni dell'impresa. Se salvate indirizzi, e-mail o numeri di telefono dei clienti, trattate dati personali e siete soggetti alla nLPD.
No. La nomina di un consulente per la protezione dei dati (analogo al DPO nel RGPD) è facoltativa nella nLPD (art. 10 LPD). Per le ditte individuali con un trattamento di dati gestibile, di norma non è necessario. Se tuttavia trattate dati particolarmente degni di protezione (ad es. dati sanitari come terapeuta), una consulenza può essere sensata.
Solo se il vostro trattamento di dati comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata (art. 22 LPD). Per la maggior parte delle ditte individuali (gestione clienti, fatturazione, sito web semplice) non è il caso. Esempi di rischio elevato: sorveglianza sistematica di aree pubbliche, trattamento esteso di dati sanitari.
Il furto di un laptop con dati dei clienti non cifrati è una violazione della sicurezza dei dati. Dovete informare l'IFPDT il più rapidamente possibile se esiste un rischio elevato per le persone interessate (art. 24 LPD). Dovete informare anche le persone interessate, se ciò è necessario per la loro protezione. Misura preventiva: attivare la cifratura del disco (FileVault su Mac, BitLocker su Windows).
Solo con il consenso dei clienti. La pubblicità via e-mail a persone fisiche senza il loro consenso è sleale ai sensi della LCSI art. 3 cpv. 1 lett. o. Vi serve un opt-in (idealmente double-opt-in) e dovete offrire in ogni newsletter una possibilità di disdetta. Eccezione: avete ottenuto l'indirizzo e-mail nell'ambito di una vendita e il cliente non ha contestato (soft-opt-in per prodotti simili).
Condividi