Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

Atualizações da FADP – o que você precisa saber

A nova Lei Federal de Proteção de Dados (FADP) é o resultado de uma revisão completa da antiga Lei de Proteção de Dados da Suíça, que foi aprovada em 25 de setembro de 2020 e e entrou em vigor em setembro de 2023.

A FADP contém disposições semelhantes ao GDPR, com algumas diferenças em relação às bases legais e sanções.

A Suíça tem uma lei que rege a privacidade de dados, conhecida como Lei Federal de Proteção de Dados, datada de 1992 e parcialmente atualizada em 2019.

O Parlamento suíço, portanto, adotou uma versão totalmente revisada da lei para alinhá-la com o GDPR. A intenção é que a lei mantenha uma qualidade de privacidade e segurança comparável como o resto da UE, embora mantenha os conceitos originais e varie ligeiramente em algumas áreas.

Atualizações da FADP

Na FADP atualizada, a privacidade é introduzida desde a concepção, resultando em requisitos mais rigorosos de due diligence para processadores de dados e empresas que armazenam dados privados. Agora, as empresas devem criar seus procedimentos tendo em mente a conformidade.

  • As informações biométricas e genéticas agora são consideradas dados sensíveis.
  • Se houver um risco significativo aos direitos ou à privacidade dos titulares dos dados, deverão ser realizadas avaliações de impacto.
  • A obrigação de divulgar informações foi ampliada.
  • Agora é necessáriomanter um registro das atividades de tratamento. No entanto, o regulamento permite isenções para as PMEs, cujo tratamento de dados pessoais acarreta apenas um pequeno risco de prejudicar o titular dos dados.
  • No caso de uma violação de segurança de dados, deve-se informar imediatamente o Comissário Federal de Proteção de Dados e Informações (FDPIC).
  • O perfilamento, ou o tratamento automatizado de dados pessoais, é agora um conceito jurídico reconhecido.
  • De acordo com o princípio geral da lei, a FADP não exige base legal para o tratamento de dados pessoais, pois sustenta que a atividade de tratamento de dados é, em sua essência, lícita e a base legal só é exigida caso o controlador de dados precise justificar o tratamento. 
  • O mecanismo de opt-in/opt-out funciona de forma diferente, pois o consentimento (prévio) pode precisar ser empregado em menos situações. 
    • o tratamento de dados pessoais passíveis proteção especial, 
    • criação de perfis de alto risco por pessoas físicas, 
    • criação de perfis por um órgão federal.
  • As sanções são dirigidas diretamente a pessoas físicas que ocupem altos cargos na empresa, com algumas exceções.
  • Por fim, a FADP contém mais categorias de dados sensíveis

Certifique-se de que sua empresa esteja atualizada com as principais legislações internacionais. Você pode facilmente gerar e gerenciar seus documentos como Gerador de Política de Privacidade e Cookiesda iubenda. 

Atualizações da FADP e GDPR: Quais são as principais diferenças?

  • informações relativas à tomada de decisão automatizada;
  • os destinatários ou categorias de destinatários dos dados pessoais, se houver, aos quais os dados pessoais foram divulgados;
  • os países ou empresas internacionais para os quais os dados pessoais são divulgados, se houver.
  • FADP GDPR
    Aplicabilidade A FADP se aplica se você tratar dados de titulares dos dados suíços (exceto o tratamento realizado para atividades pessoais), ainda que sua empresa não esteja sediada na Suíça. O GDPR se aplica a você se sua empresa estiver sediada na UE ou tratar dados de titulares de dados da UE (exceto tratamento realizado para atividades pessoais ou domésticas)
    Dados sensíveis De acordo com a FADP, os dados sensíveis incluem:
    • dados relativos a opiniões ou atividades religiosas, filosóficas, políticas ou sindicais;
    • dados relativos à saúde, privacidade, origem racial ou étnica;
    • dados genéticos;
    • dados biométricos que identificam exclusivamente uma pessoa física;
    • processos e sanções administrativas e criminais;
    • dados relativos às medidas de assistência social.
    De acordo com o GDPR, os dados sensíveis incluem:
    • dados relativos a convicções religiosas ou filosóficas, opiniões políticas ou sindicais;
    • dados relativos à saúde, orientação sexual, origem racial ou étnica;
    • dados genéticos;
    • dados biométricos
    Controlador de Dados/Processador de Dados O Controlador de Dados e o Processador de Dados podem celebrar um acordo para regular o tratamento dos dados. Acordo de Tratamento de Dados exigido
    Condições do tratamento No que diz respeito ao privado, o consentimento expresso é necessário apenas para:
    • o tratamento de dados pessoais passíveis de proteção especial;
    • o tratamento de dados pessoais sensíveis;
    • criação de perfis de alto risco por particulares,
    • criação de perfis por um órgão federal.
    Os órgãos federais têm o direito de tratar dados pessoais somente se houver uma exigência legal para tal. Isso inclui:
    • dados tratados que consistem em dados pessoais sensíveis
    • a criação de perfis;
    • a finalidade do tratamento ou o tipo de tratamento provavelmente resultará em uma interferência grave nos direitos fundamentais do titular dos dados.
    Princípio de opt-in.
    Obrigações de divulgação de informação

    O controlador deve fornecer as seguintes informações no prazo de 30 dias a partir da solicitação de acesso do titular dos dados (referente ao tratamento dos dados pessoais do titular dos dados):

    • a identidade e informações de contato do controlador de dados;
    • as categorias de dados pessoais que estão sendo tratados;
    • as finalidades do tratamento;
    • a duração do armazenamento de tais dados pessoais ou os critérios usados ​​para determinar tal duração, caso a primeira opção não esteja disponível;
    • a fonte de tais dados pessoais, caso não tenham sido coletados diretamente do titular dos dados;
    O GDPR contém os mesmos elementos da FADP, mas também inclui os requisitos para divulgação das informações sobre a base legal para o tratamento, além dos direitos concedidos ao titular dos dados, como o direito a uma cópia dos dados, o direito de apresentar uma reclamação e o direito de retirar o consentimento para o tratamento de dados.
    Transferência de dados pessoais o exterior Os dados pessoais só podem ser transferidos para países estrangeiros ou órgãos internacionais que fornecem um nível de proteção adequado, conforme verificado pelo Conselho Federal Suíço. Na ausência de tal decisão de adequação, os dados pessoais podem ser transferidos para o exterior de acordo com: um tratado internacional; disposições contratuais entre o controlador, o processador e seu parceiro contratual previamente comunicado ao FDPIC; salvaguardas específicas elaboradas pelo órgão federal competente e previamente comunicados ao FDPIC; cláusulas padrão de proteção de dados sujeitas a aprovação prévia do FDPIC; e regras corporativas vinculativas previamente aprovadas pelo FDPIC. Também estão previstas na FADP diversas exceções à transferência de dados pessoais para o exterior. O que inclui: o consentimento explícito para a transferência de dados pessoais concedido pelo titular dos dados; a transferência de dados pessoais está relacionada à execução ou a celebração de um contrato entre o controlador e o titular dos dados, ou entre o controlador e um parceiro contratual no interesse do titular dos dados; a transferência é necessária para salvaguardar um interesse público superior, executar uma ação judicial perante um tribunal, proteger a vida do titular dos dados ou de terceiros, quando não for possível obter o consentimento prévio do titular dos dados dentro de um prazo razoável, o titular dos dados tiver concedido acesso aos dados e não tiver proibido expressamente seu tratamento, e os dados forem originários de um registro legal disponível ao público ou a pessoas que possuam um interesse legítimo nesse registro.
    • Decisões de adequação da Comissão Europeia;
    • Cláusulas Contratuais Padrão; e
    • Regras corporativas vinculantes
    Encarregado pelo Tratamento de Dados (DPO) De acordo com a FADP, você não é obrigado a ter um DPO, é opcional. O GDPR exige a nomeação de um DPO para empresas privadas
    Notificações de violação de dados O FDPIC só precisa ser notificado o mais rápido possível no caso de uma violação de segurança de alto risco. A notificação aos titulares dos dados deve ser feita apenas se for necessária para a proteção do titular dos dados, ou se assim solicitada pelo FDPIC. Violações de dados devem ser relatadas ao DPA dentro de 72 horas. O titular dos dados deve ser informado em caso de alto risco.
    Penalidades pela ausência de conformidade Multas de até CHF 250.000 para pessoas ou entidades responsáveis. Multas até 10/20 milhões de euros ou 2/4% do faturamento anual da empresa.

    Essas mudanças se aplicam à minha empresa? 

    Essa lei se aplica ao tratamento de dados pessoais concernentes a pessoas físicas realizados por:

    👉 particulares;

    👉órgãos federais.

    Não se aplica ao tratamento de dados pessoais realizado por pessoas físicas para uso exclusivamente pessoal. 

    A iubenda continuará a mantê-lo atualizado sobre as alterações feitas no FADP. Enquanto isso, certifique-se de ter uma política de privacidade e cookies atualizada e em conformidade. 

    💡
    Como se preparar para a FADP

    A Lei Federal de Proteção de Dados da Suíça (FADP) revisada entrará em vigor em setembro de 2023.. É importante que você se prepare para as mudanças.

    👉 Consulte nosso guiaComo se preparar para a FADP para ver que medidas você pode tomar hoje mesmo!