En Suiza, el 1 de septiembre de 2023 entrará en vigor una nueva ley de protección de datos. Su objetivo principal es adaptar las condiciones de protección de datos en Suiza al RGPD.

Aquí encontrará todo lo que necesita saber sobre los cambios legales.

¿Por qué una nueva ley suiza de protección de datos?

En sentido estricto, Suiza ha elaborado tres normativas: La nueva Ley Federal Suiza de Protección de Datos (FADP), la nueva Ordenanza sobre Protección de Datos (DPA) y la nueva Ordenanza sobre Certificación de Protección de Datos (DPC). Los tres entrarán en vigor el 1 de septiembre de 2023.

La versión actualmente aplicable de la Ley Federal de Protección de Datos suiza data de 1993 y ya no es equivalente al RGPD vigente en la UE. Por tanto, se cuestiona la decisión de adecuación de la Comisión Europea de 2000. Si esta situación sigue empeorando, Suiza podría ser considerada un tercer país en virtud de la ley de protección de datos en el sentido del GDPR, lo que causaría problemas económicos a Suiza. En ese caso, habría que establecer salvaguardias, por ejemplo mediante cláusulas contractuales tipo (artículo 46 del RGPD).

Sin embargo, Suiza está cediendo a la presión para moverse desde la introducción del GDPR y está alineando su propia ley de protección de datos con el GDPR.

¿Qué regula la nueva Ley suiza de protección de datos?

Aquí encontrará un resumen de las normas más importantes de la nueva Ley suiza de protección de datos:

Alcance

Se amplía el ámbito de aplicación material del FADP. Abarca todo el tratamiento de datos que tenga efectos en Suiza, incluso si se inicia en el extranjero.

En el ámbito de aplicación personal, sólo están protegidas las personas físicas, no así las jurídicas.

Obligaciones de información ampliadas para las personas responsables

También se amplían las obligaciones de información de los responsables del tratamiento en la DPA. Ahora se extienden al tratamiento de cualquier dato personal. Son comparables a los artículos 13 y 14 de la DPA.

Derechos de los interesados

La nueva Ley de Protección de Datos estipula que los interesados tienen derecho a una información exhaustiva, a la portabilidad de los datos y a la cesión de los mismos. Todos estos derechos deben ser gratuitos.

Los principios de privacidad desde el diseño y privacidad por defecto pueden encontrarse en la nueva DPA del mismo modo que en el GDPR.

Requisitos de documentación

Según la nueva DPA, los responsables y encargados del tratamiento están obligados a documentar todo el tratamiento de datos. Sin embargo, ya no es necesario registrar esta recogida de datos. La nueva DSG enumera la información que debe contener el directorio.

Toma de decisiones y elaboración de perfiles automatizados

Si un responsable del tratamiento utiliza la toma de decisiones automatizada, debe informar de ello al interesado. El interesado podrá solicitar que esta decisión sea revisada por una persona.

Además, la elaboración de perfiles no suele requerir consentimiento, a menos que se trate de la denominada "elaboración de perfiles de alto riesgo", que implica la vinculación de datos que permiten evaluar la personalidad.

Procesamiento de trabajos

La nueva DPA introduce el término "encargado del tratamiento", que se corresponde con el "procesador" del GDPR. La transferencia de los procesos de tratamiento de datos a este último es posible si se llevan a cabo de la misma manera que el responsable del tratamiento habría tenido que realizarlos. Además, si existe una obligación de confidencialidad, no podrá realizarse ningún tratamiento por encargo. El responsable del tratamiento debe garantizar que el encargado del tratamiento cumple los requisitos pertinentes. Si el encargado del tratamiento desea transmitir el tratamiento de datos, debe obtener el consentimiento del responsable del tratamiento.

Evaluación de impacto de la protección de datos

La nueva DPA introduce una evaluación de impacto de la protección de datos que se corresponde en gran medida con la del GDPR.

Seguridad de los datos

La nueva DPA también exige a los responsables y encargados del tratamiento que apliquen medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos. En este caso, la nueva DPA, al igual que el GDPR, utiliza el concepto de riesgo. Se necesitan disposiciones más detalladas del Consejo Federal sobre los requisitos mínimos.

Las violaciones de datos también deben notificarse, como en el GDPR. Sin embargo, sólo aquellos que supongan un alto riesgo para los interesados. El encargado del tratamiento deberá dirigir la notificación de dichas incidencias al responsable del tratamiento y éste, a su vez, al Comisario Federal de Protección de Datos e Información (FDPIC).

Representante de los transformadores extranjeros

Los responsables del tratamiento que traten datos en Suiza pero no estén establecidos en ese país deben tener un representante en Suiza en tres casos. Estos casos se refieren a la oferta de bienes y servicios en Suiza o a la supervisión del comportamiento de personas en Suiza, a un tratamiento amplio y regular o a riesgos elevados para la privacidad de los interesados. La normativa es, por tanto, similar a la del representante de la UE en el GDPR.

Autoridades de protección de datos y sanciones

La autoridad suiza de protección de datos (FDPIC) ha visto ampliadas sus tareas y competencias por la nueva FADP. Por tanto, es similar a las autoridades europeas de protección de datos, pero no puede imponer multas.

Las posibles sanciones de la nueva DPA son significativamente más elevadas que las multas del GDPR. Las fiscalías cantonales son responsables. La atención se centra en los particulares y no en las empresas, como en el caso del RGPD. Sin embargo, no todas las infracciones figuran en el catálogo de multas.

¿Qué hay que considerar ahora?

La legislación suiza sobre protección de datos se aproxima mucho al GDPR.

Los responsables del tratamiento de datos con conexión con Suiza deben hacer balance de sus operaciones de tratamiento de datos para identificar cualquier necesidad de actuación. Hay que definir procesos adecuados, establecer procesos de notificación, crear un directorio, revisar los procesadores y, si es necesario, nombrar un representante.

¿Necesita ayuda en materia de protección y seguridad de datos? Nuestro equipo de expertos estará encantado de ayudarle. Póngase en contacto con nosotros aquí.

DSB buchen
es_ESEspañol