La protezione dati in Svizzera non è il GDPR (ma le somiglia)
La Svizzera ha la sua legge: la revisione della Legge federale sulla protezione dei dati — revDSG in tedesco, nLPD in francese — è in vigore dal 1° settembre 2023. Non è il GDPR europeo, ma gli assomiglia molto.
I principi sono familiari: liceità e trasparenza del trattamento, minimizzazione dei dati, sicurezza, e una forte responsabilizzazione di chi tratta i dati. Le aziende devono tenere un registro delle attività di trattamento, notificare le violazioni all'Incaricato federale della protezione dei dati e, in diversi casi, condurre una valutazione d'impatto.
La differenza pratica per chi adotta l'AI non sta nei principi, ma in una sensibilità culturale: in Svizzera la residenza del dato e la riservatezza pesano più che altrove. Una banca o una casa farmaceutica svizzera, prima di mandare un solo documento a un modello AI, vuole sapere esattamente dove finiscono quei dati e chi può vederli.
Il vero nodo con l'AI: dove finiscono i dati
Quando usi un modello linguistico, la domanda che conta è una: i miei dati vengono usati per addestrare il modello, e dove vengono processati?
È qui che molte aziende svizzere si bloccano. Il timore — spesso legittimo per gli strumenti consumer gratuiti — è che i dati riservati finiscano nel training del modello o su server di cui non si conosce la giurisdizione. Per un'azienda soggetta al segreto bancario o professionale, è un rischio che non si può correre.
La buona notizia è che questa preoccupazione, con gli strumenti enterprise giusti, è risolvibile a livello contrattuale e architetturale. Non è una questione di fiducia cieca: è una questione di garanzie scritte e di scelte di deployment.
Claude e la conformità: cosa offre concretamente Anthropic
Con Claude le leve per la conformità ci sono, e sono concrete.
Nessun training sui dati aziendali: sui piani Claude for Work (Team ed Enterprise) e via API, Anthropic non usa i contenuti delle conversazioni o delle chiamate API per addestrare i modelli. È una garanzia contrattuale, non un'impostazione da spuntare.
Data Processing Agreement e retention configurabile: Anthropic mette a disposizione un DPA e, sui piani enterprise e API, opzioni di conservazione ridotta o nulla per chi ne ha bisogno.
Scelta della regione di processing: usando Claude tramite Amazon Bedrock o Google Vertex AI puoi vincolare l'inferenza a regioni europee specifiche, mantenendo il trattamento nell'area UE/SEE — riconosciuta adeguata dalla Svizzera.
Controlli enterprise: SSO, audit log, gestione dei ruoli e policy di utilizzo, che mappano direttamente sui requisiti di responsabilizzazione della revDSG. Per il quadro europeo più ampio vedi la nostra guida su sovranità del dato e AI in Europa e quella su Claude e GDPR.
Vuoi usare Claude in Svizzera, in regola con la revDSG?
30 minuti per discutere il tuo caso specifico.
Segreto bancario, segreto professionale e dati sanitari
I tre settori svizzeri più sensibili meritano attenzione specifica.
Banche e wealth management: il segreto bancario (art. 47 della Legge sulle banche) e la vigilanza FINMA impongono cautele forti. Mandare dati di clienti identificabili a un servizio esterno richiede minimizzazione (pseudonimizzazione o rimozione degli identificativi), garanzie di non-training e, idealmente, processing in una regione controllata. Con questi accorgimenti, l'analisi di documenti, la sintesi di ricerca e la preparazione di report diventano percorribili.
Pharma e life sciences: i dati di farmacovigilanza, gli studi clinici e i dati sanitari sono dati degni di particolare protezione. Valgono gli stessi principi: minimizzazione, DPA, deployment controllato. Approfondiamo il tema in Claude per la farmacovigilanza.
Studi legali: il segreto professionale dell'avvocato è quasi assoluto. La via è la stessa degli studi legali: niente dati identificabili nei prompt senza le giuste garanzie, e un'architettura che tenga il controllo del dato.
Un'architettura privacy-by-design per la Svizzera
La conformità non si compra: si progetta. Un deployment di Claude pensato per il contesto svizzero parte da quattro scelte.
Residenza del dato: scegliere il canale di accesso (API diretta, Bedrock, Vertex) e la regione in funzione di dove i dati possono stare.
Minimizzazione a monte: filtrare e pseudonimizzare i dati prima che raggiungano il modello, così il dato sensibile non esce mai dal perimetro.
Contratti e documentazione: DPA firmato, registro dei trattamenti aggiornato e, dove serve, una valutazione d'impatto sulla protezione dei dati.
Controllo e tracciabilità: audit log, gestione accessi e policy d'uso interne. Su questi pilastri si costruisce un sistema che un revisore — o la FINMA — può verificare. È lo stesso approccio con cui affrontiamo il GDPR per le aziende: privacy-by-design, non un timbro a posteriori.
Come iniziare, senza rischi
Il percorso pratico è semplice e prudente.
Si parte da un assessment: quali processi hanno più valore, quali dati toccano, quale livello di sensibilità. Poi un pilota su un caso d'uso a basso rischio — documentazione interna, ricerca, sintesi — con i dati giusti e le garanzie giuste. Si misura, si valida la conformità, e solo allora si estende.
Maverick AI accompagna le aziende svizzere — in Ticino, in Romandia e nella Svizzera tedesca — in questo percorso: dalla scelta dell'architettura conforme alla revDSG fino all'implementazione e alla formazione dei team. Se valutate Claude per la vostra organizzazione, parliamone.