La struttura della revFADP nel 2026

La revFADP ha sostituito il regime svizzero del 1992 in materia di protezione dei dati con un quadro normativo che segue da vicino la GDPR nella maggior parte degli aspetti operativi, pur preservando alcune posizioni specificamente svizzere. L'ordinanza riveduta sulla protezione dei dati (rev-OPDP) e l'ordinanza sulle certificazioni in materia di protezione dei dati, entrambe in vigore insieme alla revFADP, forniscono i dettagli operativi.

Cosa ha cambiato la revisione

La revisione ha introdotto: la notifica obbligatoria delle violazioni al FDPIC, un obbligo di registro delle attività di trattamento per la maggior parte dei titolari del trattamento, le valutazioni d'impatto sulla protezione dei dati per i trattamenti ad alto rischio, un ambito di applicazione genuinamente extraterritoriale simile all'articolo 3(2) della GDPR, il rafforzamento dei diritti degli interessati e una norma penale applicabile alle persone fisiche e non solo all'organizzazione titolare. La definizione di dati personali, le basi del trattamento lecito e la struttura dei diritti degli interessati sono tutti strettamente allineati con la GDPR, il che semplifica materialmente la conformità svizzera per gli editori che già applicano un programma GDPR — ma non la elimina.

Chi è regolamentato

La revFADP si applica al trattamento dei dati in Svizzera e al trattamento al di fuori della Svizzera che incide sulle persone in Svizzera. Gli editori stranieri che servono il traffico svizzero attraverso siti localizzati, un dominio .ch, contenuti in tedesco-francese-italiano-romancio orientati a un pubblico svizzero, o inventario programmatico acquistato verso IP svizzeri rientrano generalmente nell'ambito di applicazione, e il FDPIC ha confermato la lettura extraterritoriale nei suoi aggiornamenti delle linee guida del 2025.

Sanzioni amministrative e norma penale

Il punto di maggior distanza della revFADP dalla GDPR è che la sua architettura sanzionatoria è principalmente di natura penale anziché amministrativa. Le sanzioni individuali — tipicamente a carico delle persone fisiche responsabili, come direttori, responsabili della protezione dei dati o responsabili della conformità — possono raggiungere fino a 250.000 CHF per violazione per le infrazioni intenzionali, con responsabilità penale parallela per le condotte più gravi. Il limite massimo è inferiore al tetto del quattro percento del fatturato della GDPR in termini assoluti, ma la direzione della responsabilità — verso il singolo nominativo anziché solo verso l'organizzazione — cambia il calcolo del rischio nella pratica. Diversi editori hanno ristrutturato i flussi di lavoro di approvazione interna nel 2025 specificamente per distribuire l'esposizione.

Cosa si intende per dati personali ai sensi della revFADP

La definizione di dati personali della revFADP segue da vicino quella della GDPR. I dati personali sono informazioni relative a una persona identificata o identificabile, e il FDPIC ha trattato costantemente i cookie, gli identificatori pubblicitari, gli indirizzi IP, le impronte digitali dei dispositivi e i profili comportamentali come dati personali quando possono essere collegati a un individuo direttamente o per combinazione con altre informazioni.

Dati personali particolarmente sensibili

La revFADP designa una categoria chiamata dati personali particolarmente sensibili che è alquanto più ampia delle categorie particolari della GDPR. Include: dati su opinioni e attività religiose, filosofiche, politiche o sindacali, dati sulla salute, dati sulla sfera intima o sull'origine razziale o etnica, dati genetici e biometrici che identificano univocamente una persona, dati su procedimenti e sanzioni amministrativi e penali, e dati su misure di assistenza sociale. Il trattamento di dati personali particolarmente sensibili determina requisiti elevati di consenso e trasparenza.

Perché questo conta per i cookie

Un cookie che memorizza un identificatore pubblicitario di routine è un dato personale ordinario. Un cookie che alimenta un segmento di pubblico che tocca l'elenco particolarmente sensibile — interessi sanitari, orientamenti politici, affiliazione religiosa — è un trattamento di dati personali particolarmente sensibili e richiede un consenso esplicito, separato dal flusso generale del consenso pubblicitario. Il targeting per pubblico in lingua svizzera che si sovrappone a questo elenco deve essere verificato specificamente rispetto al confine, che è tracciato in modo leggermente diverso rispetto alla linea delle categorie speciali della GDPR.

Consenso ai cookie ai sensi della revFADP nel 2026

La revFADP consente diverse basi giuridiche per il trattamento e, a differenza della direttiva ePrivacy applicata negli Stati membri dell'UE, il diritto svizzero non impone una base di consenso esclusivo obbligatoria per i cookie non essenziali. In pratica, tuttavia, le linee guida del FDPIC del 2024 e del 2025 e le più recenti decisioni esecutive hanno convergito su una posizione molto vicina alla base di riferimento UE per i cookie legati a pubblicità, analisi e profilazione cross-context.

La posizione operativa del FDPIC

La posizione pubblicata dal FDPIC è che i cookie non essenziali — inclusi pubblicità, retargeting, analisi cross-site e personalizzazione — richiedono un consenso preventivo, informato, liberamente prestato e specifico acquisito prima che il cookie si attivi. I cookie strettamente necessari e i cookie a supporto di un servizio esplicitamente richiesto dall'utente possono essere impostati sulla base del legittimo interesse o sulla base dell'esecuzione del contratto senza un'apposita richiesta di consenso preventiva, ma l'onere di classificare un cookie come strettamente necessario spetta al titolare del trattamento ed è stato contestato in diverse denunce del 2025.

Gli elementi del consenso valido

Il consenso ai sensi della revFADP deve essere:

• Liberamente prestato — senza coercizione, abbinamento all'erogazione di servizi essenziali o un muro di cookie che condiziona l'accesso ai contenuti principali all'accettazione di cookie non essenziali
• Informato — l'interessato comprende quali dati vengono trattati, da chi, per quale scopo e con quali destinatari
• Specifico — legato a finalità di trattamento chiaramente identificate piuttosto che a un consenso generico
• Inequivocabile — espresso attraverso un atto positivo chiaro, non dedotto dallo scorrimento, dalla navigazione continuata o dall'inattività
• Esplicito nei casi che coinvolgono dati personali particolarmente sensibili, con consenso separato per il trattamento sensibile

Come appare un CMP conforme per il traffico svizzero

Un CMP configurato per la Svizzera nel 2026 dovrebbe presentare:

• Un banner mostrato nella lingua dell'utente — tedesco, francese, italiano o romancio — prima che si attivi qualsiasi cookie non essenziale, con la selezione della lingua corrispondente alla localizzazione del sito .ch anziché all'impostazione predefinita in inglese
• Uguale risalto visivo per le azioni Accetta, Rifiuta e Impostazioni — le linee guida del FDPIC del 2025 criticano esplicitamente i design del banner in cui Rifiuta è visivamente meno enfatizzato rispetto ad Accetta
• Interruttori granulari per scopo: analisi, pubblicità, personalizzazione, trasferimento transfrontaliero e qualsiasi categoria particolarmente sensibile
• Un flusso di consenso separato per qualsiasi trattamento di dati personali particolarmente sensibili, protetto da una propria azione anziché incluso nel consenso generale
• Un meccanismo persistente e facilmente reperibile per revocare il consenso dopo la scelta iniziale, con la stessa difficoltà del prestare il consenso
• Un'informativa sulla privacy completa in lingua svizzera che indichi l'identità del titolare, i responsabili del trattamento, le finalità, i destinatari, i periodi di conservazione, i meccanismi di trasferimento e il percorso dei diritti dell'interessato

Registrazioni del consenso

I titolari del trattamento devono conservare la prova del consenso — chi ha acconsentito, quando, a quali finalità specifiche e attraverso quale interfaccia. Registrazioni del consenso inadeguate sono emerse in diverse lettere di indagine del FDPIC nel 2025, e i registri timestampati esportabili conservati per il periodo di prescrizione applicabile rappresentano l'aspettativa di base.

Trasferimenti transfrontalieri dopo il riallineamento dell'adeguatezza del 2024

I trasferimenti transfrontalieri di dati rappresentano l'area della revFADP in cui la posizione svizzera si discosta più nettamente da quella dell'UE, con un certo ritardo. Il riallineamento del 2024 seguito dall'adozione da parte dell'UE del Quadro sulla privacy dei dati UE-USA ha prodotto un parallelo Quadro sulla privacy dei dati Svizzera-USA, ma il suo ambito e le sue condizioni non sono identici.

I meccanismi di trasferimento riconosciuti

La revFADP e la rev-OPDP riconoscono diversi percorsi:

• Decisioni di adeguatezza del Consiglio federale svizzero per i paesi valutati come in grado di fornire una protezione adeguata — l'elenco attuale include il SEE, il Regno Unito e alcune altre giurisdizioni
• Il Quadro sulla privacy dei dati Svizzera-USA per i trasferimenti verso organizzazioni statunitensi autocertificate nell'ambito del quadro, che ha sostituito lo Swiss-US Privacy Shield dopo il 2024
• Clausole contrattuali standard riconosciute dal FDPIC, comprese le SCC dell'UE con un addendum svizzero pubblicato dal FDPIC
• Norme vincolanti d'impresa approvate dal FDPIC
• Deroghe specifiche tra cui il consenso esplicito con adeguata informativa, la necessità contrattuale, l'interesse vitale e il rilevante interesse pubblico

Lo Swiss-US DPF in pratica

Lo Swiss-US DPF copre i trasferimenti verso organizzazioni statunitensi che si sono autocertificate e hanno mantenuto la loro certificazione. Gli editori dovrebbero verificare lo stato di certificazione attivo di ogni fornitore di ad-tech o di analisi negli USA nell'elenco DPF anziché affidarsi a un controllo una tantum, perché le certificazioni scadute non invalidano retroattivamente i trasferimenti precedenti ma richiedono una rimediazione immediata per i flussi in corso. Dove un fornitore non è certificato DPF, le SCC dell'UE con l'addendum svizzero del FDPIC rimangono l'alternativa praticabile.

L'approccio pratico per il 2026

Per la maggior parte degli editori, l'approccio pratico consiste nel mappare ogni flusso di dati transfrontaliero dal traffico svizzero verso il paese di destinazione e il meccanismo applicabile, eseguire le appropriate SCC-con-addendum-svizzero dove la certificazione DPF non copre il fornitore, documentare il meccanismo nell'informativa sulla privacy in lingua svizzera e integrare con l'autorizzazione basata sul consenso solo dove i meccanismi strutturati non si adattano perfettamente al trattamento.

Diritti dell'interessato ai sensi della revFADP

La revFADP riconosce un insieme di diritti che seguono da vicino la GDPR, con alcuni contorni specificatamente svizzeri:

• Diritto di accesso ai dati personali detenuti dal titolare del trattamento, con un primo accesso gratuito all'anno e un tetto di recupero dei costi per le richieste successive o di ampia portata
• Diritto di rettifica dei dati inesatti o incompleti
• Diritto alla cancellazione
• Diritto di limitazione del trattamento
• Diritto alla portabilità dei dati per i dati trattati con mezzi automatizzati in base al consenso o al contratto
• Diritto di opposizione al trattamento
• Diritto di revocare il consenso
• Diritto di non essere sottoposto a processi decisionali automatizzati individuali che producano effetti giuridici o analogamente significativi, con una salvaguardia per la revisione manuale
• Diritto di proporre un reclamo al FDPIC o di avviare un procedimento civile

Termini di risposta

I titolari del trattamento devono rispondere alle richieste degli interessati entro 30 giorni nell'ambito del quadro generale, prorogabili con una notifica motivata nei casi complessi. La prontezza operativa per questa finestra temporale — con strumenti in lingua svizzera e runbook in tedesco, francese e italiano — è una lacuna comune per gli editori stranieri che hanno calibrato il loro programma su una sola lingua europea.

Sanzioni e atteggiamento applicativo nel 2026

L'attività applicativa del FDPIC è aumentata in modo significativo nel corso del 2024 e del 2025, e il 2026 sta proseguendo questa traiettoria senza raggiungere un plateau.

La struttura delle sanzioni

Le sanzioni sono principalmente di natura penale e dirette a persone nominalmente identificate — direttori, DPO, responsabili della conformità — con un tetto di 250.000 CHF per violazione intenzionale. Le categorie più frequentemente citate nell'applicazione del 2025 erano: informazioni insufficienti agli interessati, violazione del dovere di diligenza nei trasferimenti transfrontalieri, mancato adempimento dell'obbligo di notificare le violazioni dei dati al FDPIC entro la finestra temporale richiesta e inadempienza alle decisioni o agli ordini del FDPIC.

La norma penale

A differenza della GDPR, la norma penale della revFADP è diretta contro la persona fisica responsabile e non solo verso l'entità giuridica, il che ha spinto a una sostanziale ristrutturazione interna dei flussi di lavoro di approvazione nel 2025. L'effetto pratico è che le attestazioni di conformità e le tracce di audit rilevano non solo per l'esposizione dell'organizzazione ma anche per l'esposizione del singolo — e i DPO in particolare hanno adattato la prassi di documentazione per riflettere questo aspetto.

Temi di applicazione

Le azioni del FDPIC nel 2025 e all'inizio del 2026 si concentrano attorno a: banner cookie che minimizzano visivamente l'azione Rifiuta o utilizzano caselle pre-selezionate, informative sulla privacy non disponibili nella lingua nazionale svizzera dell'utente, trasferimenti transfrontalieri a fornitori statunitensi non certificati DPF e privi di un meccanismo alternativo, mancata risposta alle richieste degli interessati entro la finestra di 30 giorni e notifiche di violazione tardive o mancanti. Gli editori stranieri sono stati citati in tutte e cinque le categorie, con le categorie del design del banner e dei trasferimenti transfrontalieri in testa al registro.

Lista di controllo dell'audit per il traffico svizzero nel 2026

• Il banner CMP viene mostrato nella lingua nazionale svizzera dell'utente (DE, FR, IT o RM) con Accetta, Rifiuta e Impostazioni con uguale risalto visivo
• Le finalità del consenso sono granulari e separano il trattamento particolarmente sensibile dietro il proprio flusso di consenso
• L'informativa sulla privacy è disponibile in ogni lingua svizzera pertinente con la piena informativa su titolare, responsabili del trattamento, finalità, conservazione, diritti e percorso di reclamo al FDPIC
• Ogni flusso transfrontaliero dal traffico svizzero è mappato verso la sua destinazione e il suo meccanismo — adeguatezza, certificazione Swiss-US DPF, SCC con addendum svizzero del FDPIC, BCR o deroga documentata
• Lo stato di certificazione DPF del fornitore statunitense è reverificato sull'elenco pubblicato anziché verificato una sola volta e poi dimenticato
• I log del consenso sono dotati di timestamp, esportabili e conservati per il periodo di prescrizione applicabile
• Il flusso di lavoro delle richieste degli interessati è in grado di rispondere entro 30 giorni dall'inizio alla fine, in tedesco, francese e italiano
• Il runbook per la notifica delle violazioni è calibrato sui termini della revFADP e integrato nel processo interno di risposta agli incidenti
• I flussi di lavoro di approvazione riflettono l'architettura della responsabilità penale individuale, con approvatori nominativi e traccia documentale
• I segmenti di pubblico delle categorie particolarmente sensibili sono protetti da un consenso esplicito e separatamente acquisito
• La classificazione dei cookie è stata rivista con occhio critico riguardo a quali cookie si qualificano effettivamente come strettamente necessari in base alle linee guida del FDPIC

Le prospettive per il 2026

Il regime di protezione dei dati svizzero è maturato da uno statuto più datato rispettato ma silenzioso in uno strumento operativo con la specificità operativa, la capacità applicativa e l'architettura di responsabilità penale per modellare le priorità di conformità in modo autonomo anziché limitarsi a seguire il programma dell'UE. Il riallineamento dell'adeguatezza del 2024 ha colmato il gap strutturale più rilevante riguardante i trasferimenti verso gli USA, e l'atteggiamento applicativo crescente del FDPIC nel 2025 è coerente con un regolatore che si sta espandendo in modo sostenuto anziché portando avanti una campagna una tantum. Per gli editori che già applicano uno stack di consenso di livello GDPR, il divario verso la conformità revFADP è più ridotto rispetto a qualsiasi altra giurisdizione non UE — ma è reale, e vive nelle specificità: banner e informative in lingua svizzera, mappatura DPF-versus-SCC per ogni fornitore statunitense, la linea leggermente diversa della categoria particolarmente sensibile, la cadenza di risposta di 30 giorni in tre o quattro lingue e l'architettura di responsabilità penale che rende la documentazione dell'approvazione individuale un artefatto di conformità di primo livello piuttosto che un elemento accessorio. Il divario può essere colmato in settimane se prioritizzato, e i CPM degli editori svizzeri rendono la prioritizzazione economicamente semplice. Gli editori che hanno silenziosamente trattato la Svizzera come un passthrough GDPR fino al 2024 stanno trovando il 2026 significativamente più impegnativo, e la tendenza è chiara.