FADP de Suiza: alcance, cambios de 2023 y cómo cumplirlo

La respuesta de Suiza al GDPR, la recién actualizada Federal Act on Data Protection (FADP), se ha modernizado para adaptarse al rápido mundo de unos y ceros en el que vivimos hoy. Introducida por primera vez en 1992, este año por fin se ha puesto plenamente al día con los retos del mundo digital.

¿Qué significa esto para usted y su empresa? ¿En qué ha cambiado la FADP y en qué se diferencia del GDPR de la UE?

La importancia de la FADP para las empresas

La FADP, principal regulación suiza de privacidad de datos, solo había recibido un par de revisiones menores desde su creación en 1992, hasta ahora. La actualización mucho más significativa de 2023 refleja la importancia de adaptarse a las necesidades digitales contemporáneas, e incluye un sistema poco convencional de consecuencias por las brechas de datos.

Para las empresas que se aventuran en territorio suizo, esto significa cumplir con normas estrictas que regulan el tratamiento de los datos personales. Al igual que el GDPR, la FADP refleja la necesidad de proteger la información personal. Sin embargo, mantiene unos principios propios adaptados al peculiar contexto de Suiza.

En general, la FADP otorga a las personas en Suiza estos derechos básicos sobre sus datos personales:

• Derecho a la información: las personas tienen derecho a saber si sus datos personales se están tratando, con qué finalidad y quién tiene acceso a ellos.
• Derecho de acceso: las personas pueden solicitar acceso a sus datos personales y a información sobre cómo se utilizan.
• Derecho de rectificación: las personas tienen derecho a solicitar correcciones o actualizaciones de datos personales inexactos o incompletos.
• Derecho de supresión: también conocido como «derecho al olvido», las personas pueden solicitar la eliminación de sus datos personales cuando no exista una razón imperiosa para seguir tratándolos.
• Derecho de oposición: las personas pueden oponerse al tratamiento de sus datos personales en determinadas situaciones, como el marketing directo.
• Derecho a la portabilidad de los datos: este derecho permite a las personas mover, copiar o transferir sus datos personales fácilmente de un entorno de TI a otro de forma segura, sin que se vea afectada la usabilidad.
• Derechos en la toma de decisiones automatizada: las personas tienen derechos cuando las decisiones se toman únicamente por medios automatizados sin intervención humana.

La FADP revisada introduce cambios fundamentales y pone el énfasis en la transparencia, la rendición de cuentas y la responsabilidad de las empresas. Para los individuos, promete derechos de datos reforzados y garantiza el control sobre el uso y la conservación de su información personal.

Para las empresas que ya cumplen con el GDPR de la UE, las disposiciones de la nueva FADP no supondrán un gran problema. Pero conviene saber qué hay de nuevo y cómo deberá adaptarse su empresa.

Principales cambios en la FADP revisada

Veamos las principales modificaciones de la FADP y entendamos qué importancia tienen estas regulaciones para su negocio y para las personas cuyos datos gestiona.

Alcance y aplicación

Ha habido un cambio fundamental en las entidades que protege la FADP. Antes salvaguardaba tanto los datos de las personas físicas como los de las personas jurídicas; ahora protege exclusivamente la información personal de las personas físicas. Al centrarse en la protección de los datos individuales, la nueva FADP garantiza un enfoque más específico para proteger la información personal.

La FADP revisada también amplía su alcance al tratamiento de datos personales que «tiene efecto en Suiza», independientemente de la ubicación geográfica de la organización que recopile los datos. Esto se extiende a las actividades de tratamiento llevadas a cabo por entidades extranjeras.

Privacy by Design y Default

La FADP actualizada pone un fuerte énfasis en la Privacy by Design y Privacy by Default, exigiendo que las medidas de protección de la privacidad se incorporen en el diseño de productos y servicios. También obliga a activar por defecto medidas de seguridad de alto nivel, garantizando una protección de datos sólida desde el principio.

Registro del tratamiento de datos y notificación de brechas

Bajo la FADP es obligatorio mantener un registro de las actividades de tratamiento, asegurando la transparencia sobre cómo se procesan los datos. Aunque existen ciertas exenciones para las pequeñas empresas, el objetivo general es ofrecer una visión completa de las prácticas de tratamiento de datos.

Asimismo, en caso de una brecha de seguridad de datos es obligatoria la notificación inmediata al Federal Data Protection and Information Commissioner.

Consentimiento de los usuarios y solicitudes de acceso

La FADP pone el énfasis en garantizar que los usuarios finales entiendan cómo se utilizan y recogen sus datos. Al pedir el consentimiento, las organizaciones deben comunicar con claridad los derechos y opciones disponibles para las personas.

También simplifica las solicitudes de acceso por parte de los interesados al eliminar la necesidad de aportar información sobre sí mismos. En cualquier momento, cualquier persona puede preguntar qué información se recoge sobre ella, por qué y cómo se está utilizando.

Transferencias internacionales de datos y evaluaciones de privacidad

A partir de septiembre de 2023, nuevas normas estrictas regulan la transferencia transfronteriza de datos, destacando la necesidad de aprobación por parte del Consejo Federal Suizo. Además, la FADP revisada introduce las Data Protection Impact Assessments (DPIAs) para evaluar el tratamiento de alto riesgo, subrayando la importancia crucial de la privacidad y la seguridad.

Profiling y categorías de datos sensibles

La FADP actualizada exige consentimiento explícito para el profiling de alto riesgo. Asimismo, amplía el alcance de los datos personales sensibles, incluyendo ahora información relacionada con procedimientos administrativos o penales, sanciones y medidas de seguridad social. Los datos genéticos y biométricos también quedan bajo el paraguas de información sensible.

Multas por incumplimiento

Por incumplimiento, las personas físicas privadas responsables pueden enfrentarse a multas de hasta 250 000 CHF, mientras que las empresas pueden afrontar responsabilidad penal y multas de hasta 50 000 CHF si identificar a los responsables implica esfuerzos desproporcionados.

Sanciones y penalizaciones

Y ahora la parte que puede levantar más de una ceja: el nuevo sistema de sanciones y penalizaciones. Las personas responsables dentro de las empresas (no la empresa en sí, sino la persona responsable) pueden enfrentarse a multas de hasta 250 000 CHF (aproximadamente 270 000 USD) por incumplimiento.

En los casos en los que identificar a los responsables dentro de la organización suponga retos desproporcionados, las empresas podrían afrontar responsabilidad penal en su lugar. Si esto ocurre, las entidades pueden ser multadas con hasta 50 000 CHF (aproximadamente 53 000 USD), lo que subraya la necesidad de optimizar la rendición de cuentas y de asignar con claridad los roles de protección de datos.

Cómo cumplir con la nueva FADP

Ahora que conoce mejor la FADP y sus recientes cambios, hablemos de lo que puede hacer para que su organización cumpla con sus requisitos. Empiece con estos pasos:

1. Realice una auditoría de datos: comience evaluando sus prácticas de tratamiento de datos. Identifique y documente los tipos de datos personales y sensibles que se recogen, procesan y almacenan, así como las finalidades para las que se utilizan.
2. Revise y actualice las políticas de privacidad: asegúrese de que sus políticas de privacidad son claras, están actualizadas y alineadas con las nuevas normas de la FADP. Deben informar a las personas sobre el uso, el tratamiento y sus derechos respecto a su información.
3. Designe un Data Protection Officer: aunque no es obligatorio, contar con un DPO dedicado puede ayudar en gran medida a gestionar el cumplimiento, ofrecer orientación y actuar como enlace con las autoridades.
4. Implemente Data Protection Impact Assessments: evalúe el impacto sobre la privacidad de las actividades de tratamiento de alto riesgo. Esto garantiza una mitigación de riesgos proactiva y el cumplimiento de la nueva ley.
5. Atienda con prontitud las inquietudes individuales: responda a las solicitudes de las personas sobre sus datos personales, respetando sus derechos bajo la FADP.
6. Manténgase informado: actualícese con cualquier guía o directiva adicional emitida por las autoridades suizas para un cumplimiento efectivo.

Consejos prácticos para adaptarse a las nuevas normas de la FADP:

• Formación y concienciación: forme a sus empleados sobre seguridad de los datos en general y, en particular, sobre los requisitos de la FADP revisada y su papel en el cumplimiento. Subraye la importancia de respetar los derechos de privacidad de las personas. Fomente una cultura de protección y respeto de la privacidad dentro de su organización.
• Establezca procedimientos de consentimiento: desarrolle procedimientos claros para obtener y registrar el consentimiento de los interesados. Asegúrese de que las personas entienden a qué están consintiendo respecto al tratamiento de datos.
• Refuerce las medidas de seguridad de los datos: refuerce sus protocolos de seguridad de datos y asegúrese de que estas medidas se activan por defecto, alineadas con los principios de «Privacy by Design» y «Privacy by Default».
• Revisiones periódicas de cumplimiento: realice revisiones periódicas de sus sistemas y políticas de seguridad para asegurar el cumplimiento continuo de la FADP. Si detecta discrepancias o lagunas, ajuste sus políticas con rapidez.

Comparando la FADP y el GDPR

Tanto la FADP como el GDPR de la UE priorizan la privacidad de los datos, estableciendo altos estándares para la recogida, el manejo y la protección de la información personal. Comparten los objetivos fundamentales de proteger la privacidad de los datos y los derechos individuales sobre los mismos. Sin embargo, no siempre coinciden en cómo se aplican estos principios. Cuando difieren, la nueva FADP suele ser la más estricta de las dos.

Las principales diferencias entre la FADP actualizada y el GDPR son:

• Sanciones y penalizaciones: bajo la FADP, las personas físicas privadas responsables están sujetas a multas de hasta 250 000 CHF, mientras que el GDPR impone sanciones a las organizaciones, que pueden alcanzar el 4 % de su facturación anual global o 20 millones de euros.
• Data protection officers: a diferencia del GDPR, la FADP no obliga a designar un Data Protection Officer, aunque es muy recomendable.
• Notificación de brechas de datos: ambas regulaciones obligan a notificar con prontitud a las autoridades en caso de brecha de datos, asegurando la transparencia y una actuación rápida ante un incidente de seguridad. Pero, a diferencia del GDPR, que fija un plazo de 72 horas para la notificación, la FADP no establece un límite exacto, sino que pide que la notificación se haga «sin demora indebida».

Cómo Safetica puede ayudar a las empresas a cumplir con la FADP

Safetica ofrece soluciones completas de protección de datos diseñadas para ayudar a las empresas a cumplir con las regulaciones de protección de datos. Con funciones que abarcan la prevención de pérdida de datos, auditorías de datos transparentes y supervisión de la actividad de los usuarios, el software de Safetica acompaña a las compañías en el cumplimiento de las complejidades de las leyes de protección de datos.

Ya sea manteniendo un registro claro de las actividades de tratamiento de datos, proporcionando alertas de seguridad en tiempo real o evitando fugas de datos mediante cifrado y controles de acceso, Safetica proporciona herramientas adaptadas para ayudar a las empresas a alcanzar y mantener el cumplimiento de la FADP revisada. Nuestro software es fácil de usar, fácil de implementar y fácil de entender.

Entendemos que pueda tener dudas; la protección de datos no es una broma. Si quiere la mejor solución para su organización, ¿por qué no descubre lo que podemos hacer por usted en una llamada de demo?