Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

Actualizaciones de la FADP: qué debes saber

La nueva Ley Federal de Protección de Datos (FADP) de Suiza es el resultado de una revisión completa de la anterior Ley de Protección de Datos del país. Se aprobó el 25 de septiembre de 2020 y entró en vigor en septiembre de 2023.

La FADP contiene disposiciones similares a las del RGPD, con algunas diferencias con respecto a las bases jurídicas y las sanciones.

Suiza tiene una ley que regula la privacidad de los datos llamada Ley Federal de Protección de Datos, que data de 1992 y se actualizó parcialmente en 2019.

El Parlamento suizo ha aprobado una versión totalmente revisada de esta Ley para que esté en consonancia con el RGPD. El objetivo es que prevea una privacidad y una seguridad de calidad comparable a las del resto de la Unión Europea, aunque mantenga los conceptos originales y varíe ligeramente en algunos ámbitos.

Actualizaciones de la FADP

En la FADP actualizada, se introduce la privacidad desde el diseño, lo que da lugar a requisitos de due diligence más estrictos para los encargados del tratamiento y las empresas que almacenan datos privados. Ahora las empresas deben crear sus procedimientos teniendo en cuenta la conformidad.

  • La información biométrica y genética tiene ahora la consideración de datos sensibles.
  • Si existe un riesgo importante para los derechos o para la privacidad de los interesados, deben realizarse evaluaciones de impacto.
  • Se ha ampliado la obligación de comunicar información.
  • Ahora es obligatorio llevar un registro de las actividades de tratamiento. Sin embargo, en el Reglamento se establecen exenciones para las PYME que efectúen un tratamiento de datos personales que únicamente conlleve un pequeño riesgo de perjudicar al interesado.
  • En caso de violación de la seguridad de los datos, debe informarse sin demora al Comisionado Federal de Protección de Datos e Información (FDPIC).
  • La elaboración de perfiles o el tratamiento automatizado de datos personales ya es un concepto jurídico reconocido.
  • La FADP no exige una base jurídica para tratar datos personales según el principio general de la Ley, en virtud del que se mantiene que la actividad de tratamiento de datos es lícita en principio y solo se requiere una base jurídica en caso de que el responsable del tratamiento necesite justificar el tratamiento. 
  • El mecanismo de inclusión voluntaria funciona de forma diferente, ya que puede ser necesario recurrir al consentimiento (previo) en menos situaciones. 
    • para el tratamiento de datos personales que deban recibir una protección especial; 
    • para la elaboración de perfiles de alto riesgo por particulares; 
    • para la elaboración de perfiles por un organismo federal.
  • Las sanciones se dirigen directamente a las personas físicas, incluso dentro de las organizaciones.
  • Por último, la FADP contiene más categorías de datos sensibles

Comprueba que tu empresa esté al día con las principales legislaciones internacionales. Puedes generar y gestionar fácilmente tus documentos con el Generador de Políticas de Privacidad y Cookies de iubenda. 

Actualizaciones de la FADP y RGPD: ¿Cuáles son las principales diferencias?

  • información relativa a la toma de decisiones automatizada;
  • los destinatarios o categorías de destinatarios de los datos personales, en su caso, a los que se comunicaron los datos personales;
  • los países u organizaciones internacionales a los que se comunicaron los datos personales, en su caso.
  • FADP RGPD
    Aplicabilidad La FADP te resulta de aplicación si tu organización tiene su sede en Suiza o fuera de Suiza y tratas datos de interesados con base en Suiza (excepto el tratamiento realizado para actividades personales). El RGPD te resulta de aplicación si tu organización tiene su sede en la Unión Europea o trata datos de interesados con base en la Unión Europea (excepto el tratamiento realizado para actividades personales o domésticas).
    Datos sensibles Según la FADP, los datos sensibles incluyen:
    • datos relativos a opiniones o actividades religiosas, filosóficas, políticas o sindicales;
    • datos relativos a la salud, la privacidad o el origen racial o étnico;
    • datos genéticos;
    • datos biométricos que identifican de forma única a una persona física;
    • acciones y sanciones administrativas y penales;
    • datos relativos a las medidas de asistencia social.
    Según el RGPD, los datos sensibles incluyen:
    • datos relativos a creencias religiosas o filosóficas, opiniones políticas o sindicales;
    • datos relativos a la salud, la orientación sexual, el origen racial o étnico;
    • datos genéticos;
    • datos biométricos.
    Responsable del tratamiento/Encargado del tratamiento El responsable del tratamiento y el encargado del tratamiento pueden llegar a un acuerdo para regular el tratamiento de los datos. Se exige un acuerdo para el tratamiento de datos.
    Condiciones del tratamiento En el ámbito privado, el consentimiento expreso solo es necesario para:
    • el tratamiento de datos personales que deban recibir una protección especial;
    • el tratamiento de datos personales sensibles;
    • la elaboración de perfiles de alto riesgo por particulares;
    • la elaboración de perfiles por un organismo federal.
    Los organismos federales tienen derecho a tratar datos personales solamente si existe un requisito legal para hacerlo. Entre ellos están:
    • los datos tratados son datos personales sensibles;
    • se lleva a cabo un proceso de elaboración de perfiles;
    • la finalidad del tratamiento o el tipo de tratamiento puedan conllevar una injerencia grave en los derechos fundamentales del interesado.
    Principio de inclusión voluntaria.
    Obligaciones de información

    El responsable del tratamiento debe proporcionar la siguiente información en un plazo de 30 días a partir de la solicitud de acceso del interesado (relativa al tratamiento de los datos personales del interesado):

    • la identidad y los datos de contacto del responsable del tratamiento;
    • las categorías de datos personales que se tratan;
    • la finalidad del tratamiento;
    • la duración de la conservación de dichos datos personales o los criterios utilizados para determinar dicha duración, si se desconoce la duración;
    • si los datos personales no se recogieron directamente del interesado, la fuente de dichos datos personales;
    El RGPD contiene los mismos elementos que la FADP, pero también incluye los requisitos para comunicar la base jurídica del tratamiento, así como los derechos concedidos al interesado, como el derecho a una copia de los datos, el derecho a presentar una reclamación y el derecho a retirar el consentimiento al tratamiento de datos.
    Transferencia de datos personales al extranjero Los datos personales solo pueden transferirse a países extranjeros o a organismos internacionales que se considere que ofrecen un nivel de protección adecuado, verificado por el Consejo Federal Suizo. En ausencia de tal decisión de adecuación, los datos personales pueden transferirse al extranjero en virtud de: un tratado internacional; disposiciones contractuales entre el responsable y el encargado del tratamiento y su socio contractual comunicadas previamente al FDPIC; garantías específicas elaboradas por el órgano federal competente y comunicadas previamente al FDPIC; cláusulas tipo de protección de datos sujetas a la aprobación previa del FDPIC; y normas corporativas vinculantes aprobadas previamente por el FDPIC. La FADP también prevé varias excepciones a la transferencia de datos personales al extranjero. Entre ellas se incluyen: el consentimiento explícito a la transferencia de datos personales concedido por el interesado; la transferencia de datos personales está relacionada con la ejecución o la celebración de un contrato entre el responsable del tratamiento y el interesado o el responsable del tratamiento y un socio contractual en interés del interesado; la transferencia sea necesaria para salvaguardar un interés público superior, hacer valer una reclamación legal ante un tribunal, proteger la vida del interesado o de un tercero cuando no sea posible obtener el consentimiento previo del interesado en un plazo razonable, el interesado haya concedido acceso a los datos y no haya prohibido expresamente su tratamiento, y los datos procedan de un registro legal que esté a disposición del público o de personas que posean un interés legítimo en dicho registro.
    • Decisiones de adecuación de la Comisión Europea;
    • cláusulas contractuales tipo; y
    • normas corporativas vinculantes.
    Delegado de Protección de Datos Según la FADP, no tienes la obligación de tener un Delegado de Protección de Datos: es opcional. El RGPD exige el nombramiento de un Delegado de Protección de Datos para las empresas privadas
    Notificaciones de la violación de la seguridad de los datos Solo es necesario notificar lo antes posible al FDPIC si se produce una violación de la seguridad de alto riesgo. La notificación a los interesados solo se realizará si es necesaria para la protección del interesado o si así lo solicita el FDPIC. Las violaciones de la seguridad de los datos deben notificarse a la Autoridad de Protección de Datos (APD) en un plazo de 72 horas y el interesado debe ser informado en caso de alto riesgo.
    Sanciones por falta de conformidad Multas de hasta 250.000 CHF contra las personas o entidades responsables. Multas de hasta 10/20 millones EUR o el 2/4% de la facturación mundial anual de la organización.

    ¿Se aplican estos cambios a mi empresa? 

    Esta Ley se aplica al tratamiento de datos personales relativos a personas físicas por:

    👉 particulares;

    👉 agencias federales.

    No se aplica al tratamiento de datos personales por particulares para uso exclusivamente personal. 

    iubenda te seguirá informando de los cambios que se introduzcan en la FADP; mientras tanto, si aún no lo has hecho, asegúrate de que tienes una política de privacidad y cookies actualizada y conforme. 

    💡
    Cómo prepararse para la FADP

    La Ley Federal de Protección de Datos (FADP) de Suiza revisada entrará en vigor en septiembre de 2023. Es importante que te prepares para los cambios.

    👉 Consulta nuestra guía Cómo prepararse para la FADP para ver qué pasos tienes que seguir.