La protección de datos en Suiza no es el RGPD (pero se le parece)
Suiza tiene su propia ley: la revisión de la Ley federal de protección de datos —revDSG en alemán, nFADP en su denominación internacional— está en vigor desde el 1 de septiembre de 2023. No es el RGPD europeo, pero se le parece mucho.
Los principios resultan familiares: licitud y transparencia del tratamiento, minimización de los datos, seguridad y una fuerte responsabilización de quien trata los datos. Las empresas deben llevar un registro de las actividades de tratamiento, notificar las violaciones al Encargado federal de la protección de datos (PFPDT/EDÖB) y, en varios casos, realizar una evaluación de impacto.
La diferencia práctica para quien adopta la IA no está en los principios, sino en una sensibilidad cultural: en Suiza la residencia del dato y la confidencialidad pesan más que en otros lugares. Un banco o una farmacéutica suiza, antes de enviar un solo documento a un modelo de IA, quiere saber exactamente dónde acaban esos datos y quién puede verlos.
El verdadero reto con la IA: dónde acaban los datos
Cuando usas un modelo de lenguaje, la pregunta que importa es una: ¿se usan mis datos para entrenar el modelo, y dónde se procesan?
Es aquí donde muchas empresas suizas se bloquean. El temor —a menudo legítimo con las herramientas de consumo gratuitas— es que los datos confidenciales acaben en el entrenamiento del modelo o en servidores cuya jurisdicción se desconoce. Para una empresa sujeta al secreto bancario o profesional, es un riesgo que no se puede asumir.
La buena noticia es que esta preocupación, con las herramientas enterprise adecuadas, es resoluble a nivel contractual y arquitectónico. No es cuestión de confianza ciega: es cuestión de garantías por escrito y de decisiones de despliegue.
Claude y la conformidad: qué ofrece concretamente Anthropic
Con Claude las palancas para la conformidad existen, y son concretas.
Sin entrenamiento con los datos corporativos: en los planes Claude for Work (Team y Enterprise) y vía API, Anthropic no usa los contenidos de las conversaciones ni de las llamadas a la API para entrenar los modelos. Es una garantía contractual, no una casilla que marcar.
Data Processing Agreement y retención configurable: Anthropic pone a disposición un DPA y, en los planes enterprise y API, opciones de conservación reducida o nula para quien las necesite.
Elección de la región de procesamiento: usando Claude a través de Amazon Bedrock o Google Vertex AI puedes vincular la inferencia a regiones europeas específicas, manteniendo el tratamiento en el área UE/EEE —reconocida como adecuada por Suiza.
Controles enterprise: SSO, registros de auditoría, gestión de roles y políticas de uso, que mapean directamente sobre los requisitos de responsabilización de la revDSG. Para el marco europeo más amplio consulta nuestra guía sobre soberanía del dato e IA en Europa y la dedicada a Claude y el RGPD.
¿Quieres usar Claude en Suiza, en regla con la revDSG?
30 minutos para discutir tu caso específico.
Secreto bancario, secreto profesional y datos sanitarios
Los tres sectores suizos más sensibles merecen una atención específica.
Bancos y wealth management: el secreto bancario (art. 47 de la Ley de Bancos) y la supervisión de la FINMA imponen cautelas fuertes. Enviar datos de clientes identificables a un servicio externo exige minimización (seudonimización o eliminación de los identificadores), garantías de no entrenamiento e, idealmente, procesamiento en una región controlada. Con estas medidas, el análisis de documentos, la síntesis de investigación y la preparación de informes se vuelven viables.
Farma y ciencias de la vida: los datos de farmacovigilancia, los ensayos clínicos y los datos sanitarios son datos personales sensibles. Valen los mismos principios: minimización, DPA, despliegue controlado. Profundizamos en el tema en Claude para la farmacovigilancia.
Despachos legales: el secreto profesional del abogado es casi absoluto. La vía es la misma que la de los despachos legales: nada de datos identificables en los prompts sin las garantías adecuadas, y una arquitectura que mantenga el control del dato.
Una arquitectura privacy-by-design para Suiza
La conformidad no se compra: se diseña. Un despliegue de Claude pensado para el contexto suizo parte de cuatro decisiones.
Residencia del dato: elegir el canal de acceso (API directa, Bedrock, Vertex) y la región en función de dónde pueden estar los datos.
Minimización en origen: filtrar y seudonimizar los datos antes de que lleguen al modelo, de modo que el dato sensible nunca salga del perímetro.
Contratos y documentación: DPA firmado, registro de tratamientos actualizado y, donde sea necesario, una evaluación de impacto sobre la protección de datos.
Control y trazabilidad: registros de auditoría, gestión de accesos y políticas de uso internas. Sobre estos pilares se construye un sistema que un auditor —o la FINMA— puede verificar. Es el mismo enfoque con el que afrontamos el RGPD para las empresas: privacy-by-design, no un sello a posteriori.
Cómo empezar, sin riesgos
El camino práctico es sencillo y prudente.
Se parte de un assessment: qué procesos aportan más valor, qué datos tocan, qué nivel de sensibilidad. Después un piloto sobre un caso de uso de bajo riesgo —documentación interna, investigación, síntesis— con los datos adecuados y las garantías adecuadas. Se mide, se valida la conformidad y solo entonces se extiende.
Maverick AI acompaña a las empresas suizas —en el Tesino, en la Suiza romanda y en la Suiza alemana— en este camino: desde la elección de la arquitectura conforme a la revDSG hasta la implementación y la formación de los equipos. Si estáis valorando Claude para vuestra organización, hablemos.