Cargando...

Nueva Ley Federal de Protección de Datos de Suiza (nFADP): una guía completa

Deja un comentario / Por /
Actualizado el 31 de mayo de 2024

La nueva Ley Federal de Protección de Datos de Suiza (nFADP) es la principal normativa de protección de datos en Suiza. Este artículo le proporcionará información sobre el nFADP de Suiza y cómo afectará a las empresas.

La nueva Ley Federal de Protección de Datos de Suiza es una regulación de privacidad integral que tiene como objetivo proteger los derechos de privacidad de datos de los ciudadanos suizos. La ley otorga varios derechos a los interesados ​​e implementa varias obligaciones para las empresas que procesan datos personales de ciudadanos suizos.

En este artículo, le ofreceremos una breve descripción del nFADP de Suiza y cómo cumplirlo. Si es propietario de una empresa que maneja datos personales de ciudadanos suizos, le recomendamos que profundice en este artículo para comprender cómo la ley afecta sus operaciones.

La nueva Ley Federal de Protección de Datos (nFADP) es una normativa integral de protección de datos que protege la personalidad y los derechos fundamentales de los ciudadanos suizos al procesar sus datos personales.

El gobierno suizo introdujo la primera Ley Federal de Protección de Datos (FADP) en 1992 para abordar las crecientes preocupaciones sobre la privacidad frente a las tecnologías emergentes.

Después de que la Unión Europea introdujera el Reglamento General de Protección de Datos (GDPR), el gobierno suizo se vio obligado a considerar revisar su FADP para alinearlo con los últimos estándares de privacidad.

Luego, el Consejo Federal de Suiza comenzó a trabajar en una versión revisada del FADP para abordar los cambios en el panorama tecnológico. El nFADP revisado fue aprobado por ambas cámaras del parlamento y entró en vigor el 1 de septiembre de 2023. El nFADP fue diseñado para abordar las lagunas del primer FADP y alinearse con los estándares del Reglamento General de Protección de Datos de la UE.

Lea también: Ley de Protección de Datos Personales de Singapur (PDPA): descripción general

¿Qué cubre el nFADP?

La nFADP regula cómo los datos personales de los ciudadanos suizos son manejados tanto por particulares como por organismos federales, incluso si el procesamiento se produce fuera de Suiza. También se aplica a la fase inicial del procedimiento administrativo.

¿Qué no cubre el nFADP?

El nFADP no se aplica a los datos personales gestionados por personas únicamente para uso personal. Tampoco se aplica a los datos manejados por la Asamblea Federal y las comisiones parlamentarias en el marco de sus deliberaciones.

Del mismo modo, no incluye los datos personales tratados por beneficiarios institucionales en virtud de la Ley del Estado anfitrión del 22 de junio de 2007, que gozan de inmunidad de jurisdicción suiza.

Además, los registros públicos utilizados para asuntos jurídicos privados no están cubiertos directamente por el nFADP, ya que se rigen por las disposiciones de la ley federal aplicable. Sin embargo, si estas leyes no incluyen pautas para el manejo de datos personales, entonces se aplica el nFADP para regular el procesamiento de datos personales dentro de estos registros públicos.

Definiciones clave del nFADP

  • Información personal: Los datos personales se refieren a cualquier información que esté relacionada con un individuo identificado o identificable.
  • Sujeto de datos: Por interesado se entiende cualquier persona física cuyos datos personales sean objeto de tratamiento.
  • Datos personales sensibles: Los datos personales sensibles se refieren a cualquier dato que contenga información sensible, como puntos de vista religiosos, políticos, filosóficos o relacionados con sindicatos, salud, raza o etnia, datos genéticos, datos biométricos, datos relacionados con procedimientos administrativos y penales, y datos relacionados. a las medidas de asistencia social.
  • Procesando: El procesamiento se refiere al manejo de datos personales independientemente de los métodos o procedimientos utilizados. Incluye tareas tales como recopilación, almacenamiento, conservación, uso, modificación, divulgación, archivo, eliminación o destrucción de datos.
  • Perfilado: La elaboración de perfiles se refiere al procesamiento automatizado de datos personales de los interesados ​​para evaluar el comportamiento y los aspectos de un individuo. Incluye predecir su desempeño laboral, situación financiera, salud, gustos y disgustos, confiabilidad y comportamiento, y rastrear su ubicación y movimientos.
  • Controlador: El controlador es una persona o un organismo federal responsable de determinar el propósito y los medios del procesamiento de datos personales.
  • Procesador: Procesador se refiere a una persona o un organismo federal que procesa los datos personales de los interesados ​​en nombre del controlador.

¿Cuáles son los principios para el procesamiento de datos personales según el nFADP?

Estos son los siete principios principales del procesamiento de datos personales según el nFADP:

  1. Los datos personales deben ser tratados legalmente.
  2. El tratamiento de datos personales debe realizarse honesta y justamentey debería ser razonable.
  3. Los datos personales sólo deben ser recopilados para un propósito específico que el interesado pueda reconocer. Sólo podrá seguir utilizándose de forma compatible con este fin.
  4. Los datos personales deben ser eliminado o hecho anónimo cuando ya no sea necesario para el fin para el que fue recogido.
  5. Asegurar la exactitud de los datos personales recabados, tratados y almacenados.
  6. El consentimiento de los interesados ​​debe ser obtenido libremente con pleno conocimiento de por qué se procesan los datos.
  7. Obtener aceptar explícitamente de los interesados ​​cuando procesan datos personales sensibles, elaboran perfiles de alto riesgo y elaboran perfiles por parte de organismos gubernamentales.
  8. Implementar privacidad por diseño y privacidad por defecto en términos organizativos y técnicos para promover un enfoque holístico de la privacidad de los datos.

¿Cuáles son los derechos de los interesados ​​en virtud del nFADP?

La nueva Ley Federal de Protección de Datos de Suiza (nFADP) otorga algunos derechos a los interesados ​​para proteger sus datos personales compartidos con empresas.

Derecho de información

Según nFADP, las personas tienen derecho a solicitar información al controlador sobre el procesamiento de sus datos personales. Se les debe proporcionar la información necesaria, como los datos de contacto del controlador, el tipo de datos personales procesados, por qué se procesan, durante cuánto tiempo se almacenarán, quiénes tienen acceso a los datos y más.

Esta información debería facilitarse de forma gratuita en un plazo de 30 días, a menos que el Consejo Federal decida lo contrario si el esfuerzo requerido es desproporcionado.

Además, las personas pueden compartir sus datos de salud a través de un profesional de atención médica elegido. Los medios de comunicación tienen derecho a restringir el acceso a datos personales si exponen fuentes, revelan borradores inacabados o corren el riesgo de influir en la opinión pública. También podrán denegar el acceso si los datos están destinados únicamente a un uso personal.

Derecho a la portabilidad de los datos

Las personas tienen derecho a solicitar al controlador que entregue sus datos personales recopilados en un formato portátil que les permita transferir los datos a otro controlador. Los responsables del tratamiento deben gestionar las solicitudes de portabilidad de datos de los consumidores de forma gratuita si no requiere un esfuerzo excesivo.

Derechos legales

El nFADP de Suiza extiende algunos derechos legales a los interesados ​​con respecto al procesamiento de sus datos personales:

  1. Los interesados ​​tienen la derecho a solicitar la corrección de datos personales incorrectos compartidos con el responsable del tratamiento. Sin embargo, el responsable del tratamiento podrá denegar las solicitudes de corrección si:
  • existe alguna ley que restringe la corrección de los datos
  • los datos se utilizan con fines de archivo de interés público
  1. Los interesados ​​pueden solicitud para detener el procesamiento de datos actividades, evitar la divulgación de datos personales específicos a terceros, y eliminar o destruir los datos personales si viola las disposiciones de protección de datos.
  2. Si no está claro si los datos personales son exactos o no, el interesado puede solicitar que los datos se etiqueten como cuestionado.
  3. Los interesados ​​también pueden solicitar que cualquier corrección, eliminación, prohibición, disputa o sentencia se comparta con terceros o se publique.

¿Cuáles son los deberes y responsabilidades de los controladores y procesadores según el nFADP?

A continuación se detallan los deberes y responsabilidades de los controladores y procesadores de datos al procesar datos personales de ciudadanos suizos.

1. Proporcionar información

Los responsables del tratamiento deben informar a los interesados ​​sobre la recogida de datos incluso si los datos no se obtienen directamente del interesado.

Deben proporcionar la información necesaria al interesado para ejercer sus derechos en virtud de la ley. Esto incluye:

  • Datos de identidad y contacto del responsable del tratamiento
  • finalidad del tratamiento de los datos personales
  • los detalles de los datos recopilados y procesados
  • el período de retención de los datos recopilados
  • destinatarios o categorías de destinatarios de los datos personales
  • categorías de datos personales procesados
  • Si los datos se transfieren a través de la frontera, el país de destino u organización internacional y cualquier salvaguardia o excepción relevante.

Esta información debe proporcionarse dentro del mes siguiente a la recepción de los datos o en el momento de su divulgación, si es anterior.

Excepciones para proporcionar información

El nFADP menciona las siguientes excepciones para proporcionar información a los interesados.

Los responsables del tratamiento no están obligados a facilitar la información en los siguientes casos:

  • si los interesados ​​ya tienen la información requerida
  • si el procesamiento es requerido por ley
  • si el responsable del tratamiento está legalmente obligado a mantener la confidencialidad
  • para las organizaciones de medios, si expone fuentes, revela borradores inacabados o corre el riesgo de influir en la opinión pública

Si no se obtienen datos del interesado, el deber de información cesa si:

  • Proporcionar información no es factible.
  • Proporcionar información requiere un esfuerzo desproporcionado.

El responsable del tratamiento podrá restringir, retrasar o renunciar al suministro de información en determinados casos, entre ellos:

  • Intereses superiores a terceros.
  • El suministro de información socava los fines del procesamiento.
  • El interés superior o la intención del responsable del tratamiento de no comunicar datos a terceros.
  • Obligaciones del organismo federal de proteger los intereses públicos.

Toma de decisiones automatizada

El responsable del tratamiento debe informar al interesado de cualquier decisión automatizada que le afecte significativamente y permitirle expresar su punto de vista. Previa solicitud, el interesado puede solicitar una revisión humana de las decisiones automatizadas.

2. Evaluación de impacto de la protección de datos

El responsable del tratamiento debe realizar una evaluación de impacto para garantizar la seguridad de los datos personales de los interesados. Esto ayudará a los controladores a mitigar los riesgos potenciales e implementar medidas de seguridad adecuadas mientras procesan datos de alto riesgo, como información confidencial, a gran escala.

3. Consulta con FDPIC

Los controladores de datos deben consultar con el Comisionado Federal de Información y Protección de Datos (FDPIC) si las actividades de procesamiento de datos representan un riesgo significativo para la privacidad o los derechos fundamentales del individuo.

La FDPIC deberá notificar al responsable del tratamiento cualquier oposición al tratamiento de sus datos en el plazo de dos meses. Si se plantean objeciones, la FDPIC sugerirá medidas adecuadas para proteger los datos personales de los interesados.

4. Notificaciones de violaciones de seguridad de datos

Los responsables del tratamiento de datos deben informar las violaciones de datos al FDPIC lo antes posible. Deben incluir detalles de la violación de datos, su impacto y las acciones tomadas o planificadas.

El procesador también debe informar rápidamente de la violación de datos a los controladores. Los responsables del tratamiento deben informar a los interesados ​​sobre la violación, si es necesario, para la protección del interesado o a petición de la FDPIC.

5. Prevenir cualquier violación de los derechos de la personalidad

Cualquier persona que trate los datos personales de otra persona no deberá vulnerar sus derechos de personalidad.

Se consideran abuso de persona los siguientes casos derechos de realidad:

  • Cuando los datos personales sean tratados en contra de los principios de la ley
  • Cuando los datos personales se traten en contra del interés del interesado
  • Cuando se comparten datos personales sensibles con terceros

Sin embargo, si los interesados ​​han puesto a disposición pública sus datos personales o no han prohibido expresamente su tratamiento, no se produce ninguna violación de los derechos de la personalidad.

6. Implementar medidas de seguridad para proteger los datos personales

Los responsables del tratamiento son responsables de garantizar la seguridad de los datos personales de los interesados. Deben tomar medidas e implementaciones de seguridad adecuadas para proteger los datos personales del acceso no autorizado y las violaciones de datos.

7. Mantener registros de las actividades de procesamiento de datos

Los responsables del tratamiento deben llevar un registro de sus actividades de tratamiento de datos. El registro debe incluir los siguientes detalles:

  • Identidad del responsable y del encargado del tratamiento
  • Finalidad del tratamiento de datos
  • Descripción de categorías de interesados ​​y datos personales tratados
  • Categorías de destinatarios
  • Periodo de conservación de datos
  • Medidas de seguridad tomadas
  • Detalles de los países o estados donde se transfieren los datos

¿Cuáles son los requisitos para la transferencia de datos transfronteriza?

La transferencia transfronteriza de datos personales sólo está permitida si el Consejo Federal determina que la legislación del respectivo estado u organización internacional garantiza un nivel adecuado de protección similar al nFADP de Suiza.

A falta de una decisión del Consejo Federal, los datos personales sólo podrán transferirse a través de las fronteras si se garantiza una protección adecuada de los datos mediante:

  • Tratados Internacionales
  • Acuerdos con el responsable del tratamiento y socio contractual del otro estado o país (previa notificación a FDPIC)
  • Garantías específicas establecidas por la autoridad federal competente
  • Cláusulas tipo de protección de datos aprobadas, emitidas o reconocidas previamente por la FDPIC Normas corporativas vinculantes preaprobadas por la FDPIC o la autoridad de protección de datos pertinente en una jurisdicción con protección adecuada

¿Cómo cumplir con el nFADP para empresas?

A continuación se ofrecen algunas pautas generales que le ayudarán a cumplir con el nFADP de Suiza:

  • Comprender los principios de la ley nFADP.
  • Procesar datos personales de forma legal, justa y únicamente para fines específicos.
  • Obtener el consentimiento explícito de los interesados ​​para el tratamiento de sus datos personales.
  • Implemente los principios de privacidad por diseño y privacidad por defecto para su negocio.
  • Implementar medidas de seguridad adecuadas para proteger los datos personales de los interesados.
  • Designar un Delegado de Protección de Datos (DPO) para gestionar las actividades de tratamiento de datos.
  • Mantener registros de las actividades de procesamiento de datos.
  • Realizar periódicamente evaluaciones de impacto de la protección de datos.
  • Informar violaciones de datos a FDPIC y a las personas afectadas.
  • Implementar medidas de seguridad adicionales al manejar datos personales sensibles.
  • Transfiera datos personales a nivel internacional solo si existen las medidas de seguridad adecuadas.

¿Cuáles son las multas y sanciones por incumplimiento?

El nFADP de Suiza impone sanciones estrictas a individuos y organizaciones por no cumplir con las regulaciones.

Las personas pueden enfrentar multas de hasta 250.000 CHF por proporcionar intencionalmente información falsa o incompleta, no registrarse en el FDPIC, revelar datos personales sin cumplir los requisitos legales o no garantizar la seguridad de los datos personales.

Las personas también pueden ser multadas con hasta 250.000 CHF por revelar intencionalmente información personal confidencial de los interesados ​​adquirida durante su práctica o capacitación y por ignorar las regulaciones emitidas por la FDPIC o los tribunales de apelación.

Las empresas pueden enfrentarse a responsabilidad penal en virtud del Derecho Penal Administrativo Federal, con multas de hasta 50.000 CHF si no se puede identificar a los autores individuales.

Lea también: Ley de Protección de Datos Personales de Tailandia (PDPA): todo lo que necesita saber

Preguntas frecuentes sobre el nFADP de Suiza

¿Es el nFADP similar al RGPD?

Sí. La nueva Ley Federal de Protección de Datos de Suiza (nFADP) está diseñada para alinearse con el RGPD de la UE en muchos aspectos, con el objetivo de lograr niveles similares de protección de datos para las personas. Ambas regulaciones abordan principios, derechos y obligaciones similares para el procesamiento de datos.

¿Qué es FDPIC?

El Comisionado Federal de Información y Protección de Datos (FDPIC) regula el nFADP y las actividades de procesamiento de datos por parte de los controladores y procesadores.

¿Qué es la privacidad por diseño?

La privacidad por diseño (PbD) es un enfoque que integra de manera proactiva los principios de privacidad de datos desde la propia etapa de diseño. Desde el diseño hasta el desarrollo y la implementación, la privacidad se considera en cada etapa del desarrollo del producto.

Su objetivo es incorporar la privacidad como un componente esencial en lugar de una idea de último momento o una medida de modernización.

Consulte nuestra guía detallada sobre el marco de Privacidad por diseño (PbD) para obtener más información.

¿El nFADP menciona las cookies de seguimiento?

No, nFADP no menciona explícitamente las cookies de seguimiento. Sin embargo, la ley exige que las organizaciones sean transparentes sobre sus prácticas de procesamiento de datos, incluido el propósito y la base legal para recopilar y utilizar datos personales. Esto también incluye informar a las personas sobre el uso de tecnologías de seguimiento y cómo se utilizan los datos recopilados.

Por lo tanto, si utiliza cookies de terceros en su sitio web, le recomendamos que obtenga el consentimiento previo de las cookies de los visitantes de su sitio.

Si utiliza WordPress como CMS de su sitio web, nuestro plugin GDPR Cookie Consent puede ayudarlo a administrar fácilmente el cumplimiento de las cookies para su sitio web. Nuestro plugin cumple con las pautas IAB TCF y ahora figura como CMP certificado por Google.

Conclusión

La nueva Ley Federal de Protección de Datos es la principal normativa de protección de datos en Suiza. La ley tiene como objetivo proteger los derechos de privacidad de datos de los ciudadanos suizos. Otorga varios derechos a los interesados ​​e implementa ciertas obligaciones para las personas y empresas que manejan datos personales de los interesados.

La ley está diseñada para alinearse con el Reglamento General de Protección de Datos de la UE y establecer un estándar más seguro de regulación de privacidad en Suiza.

Esperamos que este artículo le haya ayudado a comprender el nFADP de Suiza. ¿Tiene usted alguna pregunta? No dude en preguntarles en la sección de comentarios. Estaremos encantados de responder a sus preguntas.

Descargo de responsabilidad: Este artículo fue escrito basándose en una versión traducida de la Ley nFADP. Estaba destinado únicamente a fines informativos y no representa asesoramiento legal. No tenemos intención de obtener ningún tipo de relación abogado-cliente. Si buscas asesoramiento jurídico, te recomendamos contactar con un profesional.

Articulos relacionados

Subscribe
Notify of
guest

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments