Suisse

Pubblicato il 18 marzo 2026

GDPR vs nLPD per i lead: cosa cambia in Svizzera

GDPR e nLPD disciplinano entrambi i vostri lead, ma non allo stesso modo: campo di applicazione, base giuridica, consenso, sanzioni. Il punto chiaro per chi compra lead B2B in Svizzera.

Dall'entrata in vigore della nuova legge federale sulla protezione dei dati (nLPD) il 1° settembre 2023, molte imprese svizzere presumono che, poiché operano solo in Svizzera, le riguardi soltanto la nLPD. La realtà è più sfumata: a seconda dell'origine dei contatti e dei mercati presi di mira, il Regolamento generale sulla protezione dei dati dell'Unione europea (GDPR) può applicarsi anche a lead gestiti dalla Svizzera. Per un'impresa che compra o rivende richieste di clienti, sapere quale legge governa i dati ricevuti non è una formalità giuridica astratta: è ciò che determina come deve essere raccolto il consenso, come i dati possono circolare e chi porta la responsabilità in caso di violazione.

Questo dossier confronta i due quadri normativi dall'angolazione precisa dell'acquisto di lead qualificati, senza gergo inutile. Non sostituisce il parere di un giurista sulla vostra situazione specifica, ma vi fornisce i riferimenti per porre le domande giuste a un fornitore e verificare che la catena di dati che arriva a voi sia conforme. Completa il nostro dossier dedicato alla nLPD e all'acquisto di lead B2B, oltre ai dossier sulla qualità dei lead e sulla scelta di un fornitore, dove l'aspetto contrattuale è approfondito ulteriormente.

Perché entrambe le leggi possono riguardare la vostra impresa

Il primo errore consiste nel ragionare per nazionalità dell'impresa anziché per situazione di trattamento. La nLPD si applica ai trattamenti di dati che producono effetti in Svizzera, indipendentemente dal luogo in cui vengono effettuati. Il GDPR, dal canto suo, ha una portata extraterritoriale: si applica non appena un'impresa, anche stabilita fuori dall'Unione, offre beni o servizi a persone situate nell'UE o ne monitora il comportamento. In concreto, un'impresa svizzera che compra lead corrispondenti esclusivamente a residenti svizzeri resta principalmente sotto la nLPD; ma non appena un lead riguarda una persona residente nell'UE, o la vostra attività prende di mira clienti transfrontalieri, il GDPR entra in gioco in parallelo.

Per chi compra lead ciò ha una conseguenza pratica: bisogna sapere da dove provengono i contatti che ricevete. Un fornitore che raccoglie richieste tramite moduli accessibili dalla vicina Francia o destinati a lavoratori frontalieri gestisce potenzialmente dati coperti dal GDPR. Non è un ostacolo di per sé — i due regimi sono largamente compatibili — ma impone di verificare che il fornitore applichi il più severo dei due standard, invece di supporre che «poiché siamo in Svizzera, basta la nLPD». Nel dubbio, è più prudente trattare tutti i lead secondo lo standard più rigoroso.

La base comune ai due regimi

Nonostante le loro differenze, nLPD e GDPR poggiano sugli stessi grandi principi, e questa è una buona notizia per chi compra lead: conformarsi seriamente all'uno avvicina molto all'altro. Entrambi i testi impongono la trasparenza (la persona deve sapere chi raccoglie i suoi dati e per quale scopo), la limitazione alla finalità (i dati raccolti per una messa in contatto non possono essere dirottati verso un uso non correlato), la minimizzazione (raccogliere solo ciò che è necessario), la sicurezza dei dati e il rispetto dei diritti delle persone: accesso, rettifica, cancellazione, opposizione.

Per l'impresa ricevente, questi principi si traducono in obblighi concreti. Dovete poter dire a un cliente, se lo chiede, da dove proviene la sua richiesta e perché lo contattate. Dovete essere in grado di cancellare i suoi dati se si oppone o se non avete più una ragione legittima per conservarli. Dovete proteggere l'archivio dei lead ricevuti come qualsiasi altro dato personale. Questi requisiti sono identici o molto simili nei due regimi; le differenze reali, quelle che contano al momento di scegliere un fornitore o redigere un contratto, si trovano altrove.

Cosa cambia davvero: base giuridica, consenso e sanzioni

La differenza più strutturale riguarda la base giuridica del trattamento. Il GDPR esige, per ogni trattamento, una base giuridica esplicita tra un elenco chiuso: consenso, esecuzione di un contratto, obbligo legale, legittimo interesse, e così via. La nLPD ragiona diversamente: per un'impresa privata, il trattamento di dati non sensibili è in linea di principio lecito finché non arreca una lesione illecita alla personalità dell'interessato. Il consenso non è sistematicamente richiesto; diventa necessario in particolare per rimuovere una lesione, per i dati sensibili o per certe comunicazioni. In pratica, la nLPD lascia un po' più di margine nel trattamento di contatti professionali, ma questa flessibilità non esonera mai dall'informare le persone né dal rispettare il loro diritto di opposizione.

La seconda differenza importante riguarda le sanzioni e chi colpiscono. Il GDPR prevede sanzioni amministrative dirette contro l'impresa responsabile, calcolate in proporzione al suo fatturato mondiale. La nLPD, invece, prevede sanzioni penali che colpiscono in via prioritaria la persona fisica responsabile all'interno dell'impresa (per esempio il dirigente che ha violato certi obblighi), e non l'entità in quanto tale. Questa logica molto diversa spiega perché la conformità alla nLPD si gioca molto a livello di responsabilità interne chiaramente attribuite. Esistono altri scarti — termine di notifica di una violazione dei dati, soglie di esenzione per il registro dei trattamenti delle PMI, designazione di un rappresentante in Svizzera per i titolari stabiliti all'estero — ma base giuridica e regime sanzionatorio sono i due punti che chi compra lead deve tenere a mente.

Consenso, prospezione e il ruolo della LCSl

Sui lead, la questione del consenso si accompagna a una regola spesso dimenticata: in Svizzera la prospezione commerciale di massa non è disciplinata dalla sola nLPD, ma anche dalla legge contro la concorrenza sleale (LCSl). Questa sottopone l'invio di pubblicità di massa per via elettronica (e-mail, SMS) a un regime di opt-in: in linea di principio serve il consenso preventivo del destinatario, una corretta identificazione del mittente e una possibilità di rifiuto semplice. Questa regola riguarda l'impresa che sfrutta il lead, non solo quella che l'ha raccolto. In altre parole, comprare un lead non vi esonera dal verificare su quale base siete autorizzati a contattarlo, e attraverso quale canale.

Il punto rassicurante per chi compra è che un lead correttamente qualificato risolve gran parte del problema: la persona ha compilato un modulo chiedendo esplicitamente di essere ricontattata da un professionista del vostro settore. Questo consenso, a condizione di essere documentato e tracciabile, costituisce una base solida sia ai sensi della nLPD sia del GDPR, e copre la presa di contatto prevista dalla LCSl. È proprio per questo che la tracciabilità del consenso — marca temporale, formulazione esatta del modulo, indirizzo IP se del caso — è il criterio più importante da esigere da un fornitore. Un lead senza prova del consenso è un rischio giuridico travestito da opportunità commerciale, qualunque sia il regime applicabile.

Cosa deve verificare concretamente chi compra lead

Al momento di scegliere un fornitore, alcune verifiche semplici permettono di mettere in sicurezza tutta la catena. Chiedete prima di tutto la prova del consenso: il fornitore deve poter mostrare, per un dato lead, a cosa la persona ha acconsentito, quando e come. Assicuratevi poi che il contratto che vi lega precisi i ruoli di ciascuno ai sensi della protezione dei dati — chi decide le finalità, chi tratta per conto di chi — perché è questo documento a determinare la vostra responsabilità in caso di controllo o di reclamo. Verificate il modo in cui i lead vi vengono trasmessi e conservati, e per quanto tempo il fornitore conserva i dati dopo avervili ceduti.

Due punti meritano un'attenzione particolare se esiste una dimensione europea. Primo, i trasferimenti di dati: la Svizzera dispone di un proprio regime per i flussi transfrontalieri, e l'UE riconosce alla Svizzera una protezione adeguata, il che agevola gli scambi — ma un fornitore che ospita o subappalta fuori da questo spazio deve poterlo giustificare. Secondo, l'esistenza di un punto di contatto chiaro per le richieste delle persone interessate (accesso, cancellazione), che dovrete poter onorare. Una volta riuniti questi elementi, la vostra esposizione giuridica diventa gestibile: lavorate su richieste consentite, in un quadro contrattuale netto, con un fornitore capace di documentare la conformità della sua raccolta. È questo rigore a monte, molto più della scelta tra nLPD e GDPR, a proteggere durevolmente l'impresa ricevente.

Domande frequenti

Il GDPR si applica alla mia impresa svizzera?

Non automaticamente, ma nemmeno mai. Se trattate solo richieste di residenti svizzeri, prevale la nLPD. Non appena un lead riguarda una persona residente nell'UE, o prendete di mira clienti dell'UE, il GDPR può applicarsi in parallelo. Nel dubbio, è prudente allineare le proprie pratiche allo standard più severo.

Qual è la principale differenza tra nLPD e GDPR per i lead?

La base giuridica. Il GDPR esige una base giuridica esplicita per ogni trattamento. La nLPD considera lecito il trattamento di dati non sensibili finché non arreca una lesione illecita alla personalità. Anche le sanzioni differiscono: multe contro l'impresa con il GDPR, sanzioni penali che colpiscono soprattutto la persona responsabile con la nLPD.

Serve il consenso per ricontattare un lead comprato?

Un lead correttamente qualificato include già un consenso esplicito a essere ricontattato, il che costituisce una base solida in entrambi i regimi e copre la presa di contatto ai sensi della LCSl. Ciò che conta è che questo consenso sia documentato e tracciabile: esigete sempre dal fornitore la prova di ciò a cui la persona ha acconsentito.

Chi è responsabile in caso di non conformità, il fornitore o io?

Entrambi possono esserlo, ciascuno per la propria parte. Il fornitore risponde della liceità della raccolta; voi, dell'uso che fate dei dati una volta ricevuti. Il contratto che precisa i ruoli di ciascuno è determinante: senza di esso è difficile delimitare le responsabilità di fronte a un controllo o a un reclamo.

Devo tenere un registro dei trattamenti?

Sia il GDPR sia la nLPD prevedono un registro delle attività di trattamento, con esenzioni per le piccole strutture i cui trattamenti presentano un rischio limitato. Anche se esentati, tenere un semplice inventario dei vostri archivi di lead (origine, finalità, durata di conservazione) resta una buona pratica che facilita ogni verifica successiva.

Pronto a riempire la tua pipeline commerciale?

Indica il tuo settore, la tua zona e il tuo volume: ti mettiamo in contatto con richieste di clienti pronte da contattare.