A nova Lei Federal de Proteção de Dados (FADP) é o resultado de uma revisão completa da antiga Lei de Proteção de Dados da Suíça, que foi aprovada em 25 de setembro de 2020 e e entrou em vigor em setembro de 2023.
A FADP contém disposições semelhantes ao GDPR, com algumas diferenças em relação às bases legais e sanções.
O Parlamento suíço, portanto, adotou uma versão totalmente revisada da lei para alinhá-la com o GDPR. A intenção é que a lei mantenha uma qualidade de privacidade e segurança comparável como o resto da UE, embora mantenha os conceitos originais e varie ligeiramente em algumas áreas.
Na FADP atualizada, a privacidade é introduzida desde a concepção, resultando em requisitos mais rigorosos de due diligence para processadores de dados e empresas que armazenam dados privados. Agora, as empresas devem criar seus procedimentos tendo em mente a conformidade.
Certifique-se de que sua empresa esteja atualizada com as principais legislações internacionais. Você pode facilmente gerar e gerenciar seus documentos como Gerador de Política de Privacidade e Cookiesda iubenda.
FADP | GDPR | |
---|---|---|
Aplicabilidade | A FADP se aplica se você tratar dados de titulares dos dados suíços (exceto o tratamento realizado para atividades pessoais), ainda que sua empresa não esteja sediada na Suíça. | O GDPR se aplica a você se sua empresa estiver sediada na UE ou tratar dados de titulares de dados da UE (exceto tratamento realizado para atividades pessoais ou domésticas) |
Dados sensíveis | De acordo com a FADP, os dados sensíveis incluem:
|
De acordo com o GDPR, os dados sensíveis incluem:
|
Controlador de Dados/Processador de Dados | O Controlador de Dados e o Processador de Dados podem celebrar um acordo para regular o tratamento dos dados. | Acordo de Tratamento de Dados exigido |
Condições do tratamento | No que diz respeito ao privado, o consentimento expresso é necessário apenas para:
|
Princípio de opt-in. |
Obrigações de divulgação de informação | O controlador deve fornecer as seguintes informações no prazo de 30 dias a partir da solicitação de acesso do titular dos dados (referente ao tratamento dos dados pessoais do titular dos dados):
|
O GDPR contém os mesmos elementos da FADP, mas também inclui os requisitos para divulgação das informações sobre a base legal para o tratamento, além dos direitos concedidos ao titular dos dados, como o direito a uma cópia dos dados, o direito de apresentar uma reclamação e o direito de retirar o consentimento para o tratamento de dados. |
Transferência de dados pessoais o exterior | Os dados pessoais só podem ser transferidos para países estrangeiros ou órgãos internacionais que fornecem um nível de proteção adequado, conforme verificado pelo Conselho Federal Suíço. Na ausência de tal decisão de adequação, os dados pessoais podem ser transferidos para o exterior de acordo com: um tratado internacional; disposições contratuais entre o controlador, o processador e seu parceiro contratual previamente comunicado ao FDPIC; salvaguardas específicas elaboradas pelo órgão federal competente e previamente comunicados ao FDPIC; cláusulas padrão de proteção de dados sujeitas a aprovação prévia do FDPIC; e regras corporativas vinculativas previamente aprovadas pelo FDPIC. Também estão previstas na FADP diversas exceções à transferência de dados pessoais para o exterior. O que inclui: o consentimento explícito para a transferência de dados pessoais concedido pelo titular dos dados; a transferência de dados pessoais está relacionada à execução ou a celebração de um contrato entre o controlador e o titular dos dados, ou entre o controlador e um parceiro contratual no interesse do titular dos dados; a transferência é necessária para salvaguardar um interesse público superior, executar uma ação judicial perante um tribunal, proteger a vida do titular dos dados ou de terceiros, quando não for possível obter o consentimento prévio do titular dos dados dentro de um prazo razoável, o titular dos dados tiver concedido acesso aos dados e não tiver proibido expressamente seu tratamento, e os dados forem originários de um registro legal disponível ao público ou a pessoas que possuam um interesse legítimo nesse registro. |
|
Encarregado pelo Tratamento de Dados (DPO) | De acordo com a FADP, você não é obrigado a ter um DPO, é opcional. | O GDPR exige a nomeação de um DPO para empresas privadas |
Notificações de violação de dados | O FDPIC só precisa ser notificado o mais rápido possível no caso de uma violação de segurança de alto risco. A notificação aos titulares dos dados deve ser feita apenas se for necessária para a proteção do titular dos dados, ou se assim solicitada pelo FDPIC. | Violações de dados devem ser relatadas ao DPA dentro de 72 horas. O titular dos dados deve ser informado em caso de alto risco. |
Penalidades pela ausência de conformidade | Multas de até CHF 250.000 para pessoas ou entidades responsáveis. | Multas até 10/20 milhões de euros ou 2/4% do faturamento anual da empresa. |
Essa lei se aplica ao tratamento de dados pessoais concernentes a pessoas físicas realizados por:
👉 particulares;
👉órgãos federais.
Não se aplica ao tratamento de dados pessoais realizado por pessoas físicas para uso exclusivamente pessoal.
A iubenda continuará a mantê-lo atualizado sobre as alterações feitas no FADP. Enquanto isso, certifique-se de ter uma política de privacidade e cookies atualizada e em conformidade.
A Lei Federal de Proteção de Dados da Suíça (FADP) revisada entrará em vigor em setembro de 2023.. É importante que você se prepare para as mudanças.
👉 Consulte nosso guiaComo se preparar para a FADP para ver que medidas você pode tomar hoje mesmo!