La Ley Federal de Protección de Datos (LFPD) de Suiza y el Reglamento de la Ley Federal de Protección de Datos (el Reglamento) se revisaron en 2023 para adaptarse mejor al Reglamento General de Protección de Datos.
En esta guía, describo los requisitos que deben cumplir las empresas con arreglo a la nueva versión de la FADP suiza y explico cómo afectan estas actualizaciones tanto a las empresas como a los consumidores.
- Principales revisiones del PADP suizo
- ¿Qué es la Ley Federal de Protección de Datos (LFPD) de Suiza?
- FADP suizo revisado frente al FADP original
- ¿A quién se aplica el PRD suizo revisado?
- ¿A quién protege el PRD suizo revisado?
- ¿Cómo se compara el FADP suizo revisado con rgpd?
- ¿Cómo puede Termly ayudar con el cumplimiento del FADP suizo?
- Resumen
Principales revisiones del PADP suizo
Las revisiones de la Ley Federal de Protección de Datos de Suiza introducen varios cambios en relación con su ámbito territorial, los derechos de los consumidores y las obligaciones en materia de tratamiento de datos.
El FADP revisado incluye:
- Un ámbito de aplicación extraterritorial explícito.
- Ampliación de los datos sensibles para incluir información genética y biométrica.
- Exigencia de que los responsables o encargados del tratamiento de datos extranjeros designen a un representante suizo.
- Cobertura de las personas físicas frente a las personas jurídicas.
- Mayores derechos para las personas.
- Obligación de las empresas de notificar a los particulares cualquier tratamiento de datos.
- Exigencia a algunas empresas de crear un registro de sus actividades de tratamiento.
- Nuevas obligaciones en torno a la notificación de una violación de datos.
¿Qué es la Ley Federal de Protección de Datos (LFPD) de Suiza?
La Ley Federal de Protección de Datos(LFPD) de Suiza es la principal normativa del país en materia de privacidad y protección de datos.
Protege a la nación junto con la Ordenanza de la Ley Federal de Protección de Datos, o la Ordenanza, y está en vigor desde 1993.
¿Por qué se revisó el FADP suizo?
El Consejo Federal de Suiza revisó la FADP para alinearla mejor con la rgpd, la ley de privacidad que protege a los consumidores en la Unión Europea (UE)/Espacio Económico Europeo (EEE).
Alinear la FADP suiza con la rgpd permite a Suiza seguir siendo un país adecuado para las transferencias internacionales de datos desde la UE.
Las revisiones también contribuyen a garantizar que el FADP tenga más en cuenta nuestro panorama digital moderno, porque Internet tiene hoy un aspecto muy distinto del que tenía en 1993, cuando se creó la ley.
A tal fin, el FADP revisado esboza las nuevas obligaciones que deben seguir las empresas para proteger los datos.
¿Cuándo entraron en vigor las revisiones del FADP?
El FADP revisado y la Ordenanza revisada entraron en vigor el 1 de septiembre de 2023.
Este anuncio se produjo tras la adopción por el Parlamento Federal de una versión revisada del FADP el 25 de septiembre de 2020, y por el Consejo Federal de la versión revisada de la Ordenanza el 31 de agosto de 2022.
FADP suizo revisado frente al FADP original
El FADP revisado difiere de la versión anterior de la ley en cuanto a ámbito de aplicación, definiciones, derechos y obligaciones de las empresas.
Profundicemos en las revisiones del FADP y la Ordenanza - actualmente sólo disponibles en francés, alemán e italiano.
Nuevo ámbito territorial
El artículo 3 del FADP revisado prevé explícitamente un ámbito de aplicación extraterritorial.
En otras palabras, los requisitos de la ley se aplican a entidades situadas fuera de las fronteras territoriales de Suiza.
Más concretamente, el FADP revisado cubre cualquier tratamiento de datos que pueda tener algún efecto en Suiza, incluido el impacto sobre los derechos de privacidad de las personas según la ley.
Definición ampliada de datos sensibles
La FADP suiza revisada también actualiza la definición de datos sensibles según la ley, añadiendo los datos genéticos y biométricos a la categoría oficial.
Derechos del consumidor más amplios
Con la revisión de la FADP, los consumidores tienen ahora derechos más amplios en relación con la privacidad de sus datos.
El artículo 25 (y lo que sigue) del nuevo FADP y el artículo 16 de la Ordenanza revisada establecen ahora derechos individuales que se ajustan más a los principios de equidad y transparencia de rgpd.
Además, el FADP revisado sólo protege los datos de las personas físicas, en lugar de la protección original de los datos de las personas jurídicas.
Obligaciones actualizadas relativas a los controladores o procesadores extranjeros
El artículo 14 del RGPD revisado exige ahora que las empresas extranjeras que actúen como responsables del tratamiento de datos personales de particulares suizos tengan un representante en Suiza si:
- El tratamiento se refiere a la oferta de bienes y servicios o al seguimiento del comportamiento de las personas en Suiza.
- El tratamiento es a gran escala.
- El tratamiento se considera regular.
- El tratamiento presenta un alto riesgo para la personalidad o los derechos fundamentales de las personas.
Notificación obligatoria del tratamiento de datos
Otro cambio introducido por las revisiones de la FADP suiza afecta a la forma en que las entidades notifican a los particulares las actividades de tratamiento de datos.
En virtud del artículo 19 de la FADP revisada y del 13 de la Ordenanza revisada, las empresas deben informar a los particulares de cualquier tratamiento de datos, no sólo de los sensibles.
Obligaciones de notificación de las violaciones de datos
En virtud del artículo 24 de la FADP revisada y del artículo 15 de la Ordenanza revisada, las empresas deben ahora notificar las violaciones de datos al Comisionado Federal de Protección de Datos e Información.
Sin embargo, el FADP revisado sigue teniendo un umbral más alto para la notificación de infracciones que el de rgpd.
Por ejemplo, la legislación suiza exige que se notifique a las personas si la violación provoca un alto riesgo para la personalidad o los derechos fundamentales de los individuos.
La rgpd exige una notificación de violación para cualquier riesgo para los derechos y libertades de las personas.
En virtud del artículo 24 de la Ordenanza revisada, las empresas también deben informar a los particulares afectados por una violación de la seguridad si:
- El FDPIC lo exige.
- Dicha información es pertinente para la protección de las personas.
Además, ahora las empresas deben llevar registros específicos sobre el registro, modificación, consulta, comunicación y supresión de datos personales.
Según el artículo 4 revisado de la Ordenanza, estos registros son obligatorios:
- Para cualquier tratamiento automatizado de datos sensibles a gran escala.
- Para perfiles de alto riesgo.
- Si las medidas preventivas no bastan para garantizar la protección de los datos.
Evaluaciones de impacto sobre la protección de datos (EIPD)
En virtud de la FADP suiza revisada, las empresas deben realizar Evaluaciones de Impacto sobre la Protección de Datos (EIPD) para determinadas actividades de tratamiento de datos.
En concreto, en virtud del artículo 22 de la FADP y del artículo 14 de la Ordenanza, las entidades deben realizar una EADP si el tratamiento de datos puede entrañar un alto riesgo para la personalidad y los derechos fundamentales de las personas.
Obligaciones actualizadas de mantenimiento de registros
Al igual que el artículo 30 del rgpdsobre registros de actividades de tratamiento, el artículo 12 del FADP revisado y el artículo 24 de la Ordenanza también exigen que algunas empresas mantengan un registro de su tratamiento.
Las entidades con más de 250 empleados o que traten datos personales de forma que supongan riesgos para la personalidad de las personas deben mantener un registro de sus actividades de tratamiento.
Ese registro debe incluir todos los datos siguientes:
- Identidad del controlador
- Finalidad del tratamiento
- Categorías de interesados y categorías de datos personales tratados
- Categorías de terceros
- Si es posible, el periodo de conservación de los datos o los criterios para determinar el periodo de conservación
- Si es posible, una descripción de las medidas adoptadas para garantizar la seguridad de los datos personales
- Si se transfieren internacionalmente, el nombre del país y el mecanismo de transferencia utilizado
Políticas internas relativas al tratamiento de datos sensibles a gran escala
Otro cambio introducido por las revisiones del FADP y la Ordenanza afecta a las políticas internas de las empresas en materia de datos sensibles.
Según el artículo 5 de la Ordenanza revisada, las empresas deben ahora crear y mantener políticas y procedimientos internos relativos a cualquier tratamiento automatizado de:
- Datos sensibles a gran escala.
- Perfiles de alto riesgo.
¿A quién se aplica el PRD suizo revisado?
Cualquier entidad que procese datos de personas físicas en Suiza debe seguir el FADP revisado.
Si el tratamiento de los datos puede tener un efecto real o potencial en Suiza, entonces dicho tratamiento debe seguir las obligaciones establecidas por el FADP revisado.
Las revisiones tienen en cuenta cualquier efecto que el tratamiento pueda tener sobre los derechos individuales, de ahí el alcance actualizado del FADP.
¿A quién protege el PRD suizo revisado?
El FADP revisado protege los datos de las personas físicas en Suiza, lo que esencialmente se refiere a cualquier ser humano vivo, independientemente de su estatus de ciudadanía.
El FADP revisado protege a cualquier ser humano en Suiza.
Esto representa un gran cambio, porque el antiguo FADP solía proteger a las personas jurídicas, es decir, se basaba en el estatus de ciudadanía.
¿Cómo se compara el FADP suizo revisado con rgpd?
El FADP revisado presenta algunas diferencias notables con el rgpd.
Base jurídica
Con arreglo a la FADP suiza revisada, el tratamiento de datos personales está generalmente permitido y no requiere una base jurídica como el consentimiento.
Sin embargo, en virtud de la rgpd, todo tratamiento de datos requiere una base jurídica, lo que supone una diferencia notable entre ambas legislaciones.
Responsables de Protección de Datos (RPD)
De acuerdo con el artículo 10 de la FADP suiza revisada y el artículo 23 de la Ordenanza revisada, las entidades no necesitan nombrar a un responsable de la protección de datos (RPD).
Sin embargo, en rgpd se esbozan varias razones por las que un responsable y un encargado del tratamiento podrían necesitar designar a uno, como se explica en el artículo 37.
Multas y sanciones
El FADP revisado adaptó las disposiciones sancionadoras aumentándolas de forma bastante pronunciada: de 10.000 CHF (9.980 euros/ 11.391 dólares) a un nuevo máximo de 250.000 CHF (249.460 euros/ 284.906 dólares).
Sin embargo, esta cifra sigue siendo muy inferior a las multas máximas por infringir la rgpd.
Según la rgpd, la multa máxima es de 20 millones de euros (19 millones de francos suizos, 22 millones de dólares).
En el caso de una empresa, la sanción es de hasta el 4% de su volumen de negocios total anual en todo el mundo del ejercicio económico anterior, o 20 millones de euros, si esta cifra es superior.
A diferencia de la rgpd, las multas previstas en el FADP revisado se dirigen más al empleado o empleados responsables de la infracción que a la propia empresa, lo que constituye otra diferencia notable.
Filtraciones de datos
Con arreglo al FADP revisado, las empresas deben notificar las violaciones de datos lo antes posible.
En cambio, rgpd ofrece un plazo de 72 horas.
Elaboración de perfiles y tratamiento de datos de alto riesgo
A diferencia de la rgpd, el tratamiento de datos personales para la elaboración de perfiles con arreglo a la FADP revisada no está sujeto a la base jurídica ni al requisito del consentimiento.
En cambio, entra dentro del requisito de elaboración de perfiles de alto riesgo, es decir, un tratamiento que puede suponer un alto riesgo para la personalidad y los derechos fundamentales del individuo.
Definición de datos sensibles
Curiosamente, la definición de datos sensibles de la FADP revisada es más amplia que la de rgpd.
El FADP suizo incluye datos sobre procedimientos y sanciones administrativas o penales y medidas de seguridad social, que no se incluyen en la definición de rgpd .
¿Cómo puede Termly ayudar con el cumplimiento del FADP suizo?
Termly ofrece herramientas y recursos examinados por nuestro equipo jurídico y nuestros expertos en privacidad de datos para facilitar a su empresa el cumplimiento de los requisitos establecidos en leyes como la FADP.
Nuestro sitio Generador de política de privacidad le formula preguntas sencillas sobre su empresa, sus actividades de tratamiento de datos y los ámbitos jurídicos que le son aplicables, incluida la FADP suiza revisada y la rgpd.
A continuación, elabora una política de privacidad exclusiva basada en tus respuestas que puedes publicar fácilmente en tu sitio web o aplicación.
Resumen
La revisión de la Ley Federal Suiza de Protección de Datos introdujo varios cambios significativos en relación con las obligaciones de las empresas y los derechos de los consumidores, alineándola mejor con la rgpd.
La ley tiene ahora un alcance extraterritorial explícito, protege a todas las personas físicas de la región e incluye los datos biométricos y genéticos en su definición de datos sensibles.
También introdujo requisitos para que los responsables o encargados del tratamiento extranjeros designaran a un representante suizo y otorgó a las personas protegidas derechos más amplios sobre sus datos personales.
Puede actualizar fácilmente su política de privacidad para cumplir las normas establecidas por la FADP suiza revisada utilizando Termly's Generador de política de privacidad.
Más sobre el autor
Escrito por Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy es abogada especializada en privacidad con experiencia previa en privacidad y ciberseguridad en los sectores público y privado. Como antigua Westin Fellow en la IAPP, publicó varios artículos, libros blancos e infografías, y dirigió, coordinó y moderó seminarios web y paneles, todos ellos sobre privacidad y tecnología de la privacidad en Estados Unidos. Anokhy obtuvo su máster en la Universidad Carnegie Mellon y su doctorado en Derecho en la Universidad de Pittsburgh. Más sobre el autor
