Pubblicato il 30 giugno 2026, il 33° Rapporto d’attività 2025/2026 dell’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) offre un’interessante fotografia dello stato della protezione dei dati in Svizzera. Più che le singole decisioni, sono i numeri a descrivere l’evoluzione del sistema: aumentano le notifiche di violazione della sicurezza dei dati (data breach), cresce l’attività di vigilanza e viene ribadita l’importanza di una governance efficace della protezione dei dati.
I numeri principali
Nel periodo di riferimento sono pervenute 484 notifiche di violazione della sicurezza dei dati (data breach), rispetto alle 363 dell’anno precedente.
Particolarmente significativo è l’aumento delle segnalazioni volontarie, passate da 26 a 141, anche grazie all’aggiornamento della guida IFPDT sulla notifica delle violazioni della sicurezza dei dati.
L’attività di vigilanza dell’Autorità conferma un’intensificazione dei controlli:
- 2.447 denunce, di cui 2.347 nei confronti di soggetti privati e 100 riguardanti la Confederazione;
- 156 interventi a bassa soglia;
- 22 accertamenti preliminari;
- 9 inchieste formali.
Il Rapporto evidenzia inoltre un aumento delle notifiche provvisorie, utilizzate quando un incidente è ancora in fase di analisi e non è possibile valutarne immediatamente gli effetti sulle persone interessate.
Viene inoltre ribadito che, in caso di violazione della sicurezza dei dati, l’obbligo di notifica previsto dall’art. 24 LPD resta in capo al titolare del trattamento, pur riconoscendo l’utilità delle segnalazioni volontarie dei responsabili del trattamento per facilitare il coordinamento degli incidenti complessi.
Il ruolo del Consulente della protezione dei dati (DPO)
Il Rapporto dedica uno specifico approfondimento al Consulente della protezione dei dati (DPO), definendolo una figura essenziale per il sistema svizzero di protezione dei dati, sia nel settore pubblico sia in quello privato. Tra i suoi compiti rientrano la formazione e la sensibilizzazione del personale, il supporto nell’attuazione della LPD e il ruolo di interlocutore dell’IFPDT e delle persone interessate.
L’aspetto più significativo riguarda però una criticità che l’Autorità evidenzia espressamente: non sempre il DPO viene coinvolto a sufficienza nei processi dal titolare del trattamento. L’IFPDT rileva infatti che, anche nell’Amministrazione federale, è frequentemente chiamato a pronunciarsi su questioni di protezione dei dati senza che sia indicato se il DPO dell’ente sia stato preventivamente consultato.
Per questo motivo il Rapporto richiama un principio di governance molto chiaro: il Consulente della protezione dei dati (DPO) deve essere coinvolto sufficientemente presto nei processi, affinché i progetti siano impostati correttamente fin dal loro avvio. L’Autorità precisa inoltre che gli organi federali dovrebbero rivolgersi in primo luogo al proprio DPO e solo successivamente, ove necessario, all’IFPDT.
Governance sempre più centrale
L’aumento delle notifiche di violazione della sicurezza dei dati (data breach) conferma che le organizzazioni operano in un contesto digitale sempre più complesso. Parallelamente, il Rapporto richiama la necessità di rafforzare la governance dei trattamenti, coinvolgendo tempestivamente il Consulente della protezione dei dati (DPO) nei progetti e nelle decisioni che incidono sul trattamento dei dati personali. La conformità alla LPD non dipende soltanto da misure tecniche e organizzative, ma anche dalla capacità dell’organizzazione di integrare la protezione dei dati nei propri processi decisionali fin dalla fase di progettazione.



