La nueva Ley Federal de Protección de Datos (FADP) de Suiza es el resultado de una revisión completa de la anterior Ley de Protección de Datos del país. Se aprobó el 25 de septiembre de 2020 y entró en vigor en septiembre de 2023.
La FADP contiene disposiciones similares a las del RGPD, con algunas diferencias con respecto a las bases jurídicas y las sanciones.
El Parlamento suizo ha aprobado una versión totalmente revisada de esta Ley para que esté en consonancia con el RGPD. El objetivo es que prevea una privacidad y una seguridad de calidad comparable a las del resto de la Unión Europea, aunque mantenga los conceptos originales y varíe ligeramente en algunos ámbitos.
En la FADP actualizada, se introduce la privacidad desde el diseño, lo que da lugar a requisitos de due diligence más estrictos para los encargados del tratamiento y las empresas que almacenan datos privados. Ahora las empresas deben crear sus procedimientos teniendo en cuenta la conformidad.
Comprueba que tu empresa esté al día con las principales legislaciones internacionales. Puedes generar y gestionar fácilmente tus documentos con el Generador de Políticas de Privacidad y Cookies de iubenda.
| FADP | RGPD | |
|---|---|---|
| Aplicabilidad | La FADP te resulta de aplicación si tu organización tiene su sede en Suiza o fuera de Suiza y tratas datos de interesados con base en Suiza (excepto el tratamiento realizado para actividades personales). | El RGPD te resulta de aplicación si tu organización tiene su sede en la Unión Europea o trata datos de interesados con base en la Unión Europea (excepto el tratamiento realizado para actividades personales o domésticas). |
| Datos sensibles | Según la FADP, los datos sensibles incluyen:
|
Según el RGPD, los datos sensibles incluyen:
|
| Responsable del tratamiento/Encargado del tratamiento | El responsable del tratamiento y el encargado del tratamiento pueden llegar a un acuerdo para regular el tratamiento de los datos. | Se exige un acuerdo para el tratamiento de datos. |
| Condiciones del tratamiento | En el ámbito privado, el consentimiento expreso solo es necesario para:
|
Principio de inclusión voluntaria. |
| Obligaciones de información | El responsable del tratamiento debe proporcionar la siguiente información en un plazo de 30 días a partir de la solicitud de acceso del interesado (relativa al tratamiento de los datos personales del interesado):
|
El RGPD contiene los mismos elementos que la FADP, pero también incluye los requisitos para comunicar la base jurídica del tratamiento, así como los derechos concedidos al interesado, como el derecho a una copia de los datos, el derecho a presentar una reclamación y el derecho a retirar el consentimiento al tratamiento de datos. |
| Transferencia de datos personales al extranjero | Los datos personales solo pueden transferirse a países extranjeros o a organismos internacionales que se considere que ofrecen un nivel de protección adecuado, verificado por el Consejo Federal Suizo. En ausencia de tal decisión de adecuación, los datos personales pueden transferirse al extranjero en virtud de: un tratado internacional; disposiciones contractuales entre el responsable y el encargado del tratamiento y su socio contractual comunicadas previamente al FDPIC; garantías específicas elaboradas por el órgano federal competente y comunicadas previamente al FDPIC; cláusulas tipo de protección de datos sujetas a la aprobación previa del FDPIC; y normas corporativas vinculantes aprobadas previamente por el FDPIC. La FADP también prevé varias excepciones a la transferencia de datos personales al extranjero. Entre ellas se incluyen: el consentimiento explícito a la transferencia de datos personales concedido por el interesado; la transferencia de datos personales está relacionada con la ejecución o la celebración de un contrato entre el responsable del tratamiento y el interesado o el responsable del tratamiento y un socio contractual en interés del interesado; la transferencia sea necesaria para salvaguardar un interés público superior, hacer valer una reclamación legal ante un tribunal, proteger la vida del interesado o de un tercero cuando no sea posible obtener el consentimiento previo del interesado en un plazo razonable, el interesado haya concedido acceso a los datos y no haya prohibido expresamente su tratamiento, y los datos procedan de un registro legal que esté a disposición del público o de personas que posean un interés legítimo en dicho registro. |
|
| Delegado de Protección de Datos | Según la FADP, no tienes la obligación de tener un Delegado de Protección de Datos: es opcional. | El RGPD exige el nombramiento de un Delegado de Protección de Datos para las empresas privadas |
| Notificaciones de la violación de la seguridad de los datos | Solo es necesario notificar lo antes posible al FDPIC si se produce una violación de la seguridad de alto riesgo. La notificación a los interesados solo se realizará si es necesaria para la protección del interesado o si así lo solicita el FDPIC. | Las violaciones de la seguridad de los datos deben notificarse a la Autoridad de Protección de Datos (APD) en un plazo de 72 horas y el interesado debe ser informado en caso de alto riesgo. |
| Sanciones por falta de conformidad | Multas de hasta 250.000 CHF contra las personas o entidades responsables. | Multas de hasta 10/20 millones EUR o el 2/4% de la facturación mundial anual de la organización. |
Esta Ley se aplica al tratamiento de datos personales relativos a personas físicas por:
👉 particulares;
👉 agencias federales.
No se aplica al tratamiento de datos personales por particulares para uso exclusivamente personal.
iubenda te seguirá informando de los cambios que se introduzcan en la FADP; mientras tanto, si aún no lo has hecho, asegúrate de que tienes una política de privacidad y cookies actualizada y conforme.
La Ley Federal de Protección de Datos (FADP) de Suiza revisada entrará en vigor en septiembre de 2023. Es importante que te prepares para los cambios.
👉 Consulta nuestra guía Cómo prepararse para la FADP para ver qué pasos tienes que seguir.
