FADP da Suíça: âmbito, alterações de 2023 e como cumprir

A resposta da Suíça ao GDPR, o recém-atualizado Federal Act on Data Protection (FADP), recebeu um lifting para se adequar ao mundo acelerado de zeros e uns em que vivemos hoje. Introduzido pela primeira vez em 1992, este ano finalmente alcançou os desafios de um mundo digital.

O que significa isto para si e para o seu negócio? Como mudou o FADP e em que difere do GDPR da UE?

A importância do FADP para as empresas

O FADP, regulação fundamental de privacidade de dados na Suíça, recebeu apenas algumas revisões ligeiras desde a sua criação em 1992 — até agora. A muito mais significativa atualização de 2023 reforça a importância de se adaptar às necessidades digitais contemporâneas, contando com um sistema pouco convencional de consequências para violações de dados.

Para empresas que se aventurem em território suíço, isto significa cumprir regras estritas que regem o tratamento de dados pessoais. Tal como o GDPR, o FADP reflete a necessidade de salvaguardar a informação pessoal. No entanto, mantém os seus princípios próprios, adaptados ao contexto particular da Suíça.

Em geral, o FADP confere às pessoas na Suíça os seguintes direitos básicos sobre os seus dados pessoais:

• Direito à informação: As pessoas têm o direito de saber se os seus dados pessoais estão a ser processados, qual a finalidade do processamento e quem tem acesso aos mesmos.
• Direito de acesso: As pessoas podem solicitar o acesso aos seus próprios dados pessoais e a detalhes sobre como estão a ser utilizados.
• Direito de retificação: As pessoas têm o direito de solicitar correções ou atualizações a dados pessoais inexatos ou incompletos.
• Direito ao apagamento: Também conhecido como "direito ao esquecimento", as pessoas podem solicitar a eliminação ou remoção de dados pessoais quando não houver razão imperiosa para o seu processamento continuado.
• Direito de oposição: As pessoas podem opor-se ao processamento dos seus dados pessoais em determinadas situações, como o marketing direto.
• Direito à portabilidade dos dados: Este direito permite que as pessoas movam, copiem ou transfiram dados pessoais facilmente de um ambiente de TI para outro de forma segura, sem entraves à usabilidade.
• Direitos relativos à tomada de decisão automatizada: As pessoas têm direitos quando as decisões são tomadas exclusivamente por meios automatizados, sem intervenção humana.

O FADP revisto introduz alterações fundamentais, enfatizando a transparência, a responsabilização e a responsabilidade das empresas. Para as pessoas, promete direitos de dados reforçados, garantindo o controlo sobre a utilização e a retenção da sua informação pessoal.

Para empresas já em conformidade com o GDPR da UE, as disposições do novo FADP não representarão um grande problema. Mas é certamente boa ideia estar consciente do que é novo e de como a sua empresa terá de se adaptar.

Explorar as principais alterações no FADP revisto

Vejamos as principais alterações ao FADP e compreendamos a importância destas regulações para o seu negócio e para as pessoas cujos dados trata.

Âmbito e aplicação

Houve uma alteração fundamental nas entidades que o FADP protege. Tendo anteriormente salvaguardado tanto os dados de pessoas singulares como de pessoas coletivas, agora protege exclusivamente a informação pessoal de pessoas singulares. Ao concentrar-se na proteção dos dados individuais, o novo FADP garante uma abordagem mais direcionada à salvaguarda da informação pessoal.

O FADP revisto também alarga o seu âmbito para abranger o processamento de dados pessoais que "tenha efeitos na Suíça", independentemente da localização geográfica da organização que recolhe os dados. Isto estende-se a atividades de processamento de dados realizadas por entidades estrangeiras.

Privacy by Design e Privacy by Default

O FADP atualizado coloca uma forte ênfase em Privacy by Design e Privacy by Default, exigindo que as medidas de proteção da privacidade estejam integradas no design dos produtos e serviços. Também impõe a ativação de medidas de segurança de alto nível como configuração predefinida, garantindo uma proteção robusta dos dados desde o início.

Registo do processamento de dados e notificação de violações

Ao abrigo do FADP, é exigida a manutenção de um registo das atividades de processamento, garantindo a transparência sobre como os dados são processados. Embora existam certas isenções para empresas mais pequenas, o objetivo geral é fornecer uma visão abrangente das práticas de processamento de dados.

Além disso, é obrigatória a notificação imediata ao Federal Data Protection and Information Commissioner caso ocorra uma violação de segurança de dados.

Consentimento do utilizador e pedidos de acesso

O FADP coloca a ênfase em garantir que os utilizadores finais compreendem como os seus dados são utilizados e recolhidos. Ao procurar consentimento, as organizações têm de comunicar claramente os direitos e as opções disponíveis para as pessoas.

Também simplifica os pedidos de acesso por parte dos titulares dos dados, eliminando a necessidade destes fornecerem informação sobre si próprios. A qualquer momento, qualquer pessoa pode questionar que informação é recolhida sobre si, porquê e como está a ser utilizada.

Transferências internacionais de dados e avaliações de privacidade

A partir de setembro de 2023, novas regras rigorosas regem a transferência de dados além-fronteiras, salientando a necessidade de aprovação pelo Conselho Federal Suíço. Adicionalmente, o FADP revisto introduz Avaliações de Impacto sobre a Proteção de Dados (DPIAs) para avaliar processamentos de alto risco, sublinhando a importância crucial da privacidade e da segurança.

Profiling e categorias de dados sensíveis

O FADP atualizado exige consentimento explícito para profiling de alto risco. Também alarga o âmbito dos dados pessoais sensíveis, passando a incluir informação relacionada com processos administrativos ou criminais, sanções e medidas de segurança social. Os dados genéticos e biométricos também estão sob a alçada da informação sensível.

Coimas por incumprimento

Em caso de incumprimento, as pessoas singulares responsáveis podem enfrentar coimas até 250 000 CHF, enquanto as empresas podem incorrer em responsabilidade criminal e coimas até 50 000 CHF se a identificação das pessoas responsáveis envolver esforços desproporcionados.

Sanções e penalizações

E agora a parte que pode levantar algumas sobrancelhas: o novo sistema de sanções e penalizações. Notavelmente, as pessoas responsáveis nas empresas — não a empresa em si, mas a pessoa responsável — podem enfrentar coimas até 250 000 CHF (aproximadamente 270 000 USD) por incumprimento.

Nos casos em que identificar as pessoas responsáveis dentro da organização represente desafios desproporcionados, as empresas podem, na verdade, incorrer em responsabilidade criminal. Se isto acontecer, as entidades podem ser multadas até 50 000 CHF (aproximadamente 53 000 USD), enfatizando a necessidade de as empresas agilizarem a responsabilização e atribuírem claramente funções de proteção de dados.

Como cumprir o novo FADP

Agora que tem uma melhor compreensão do FADP e das suas alterações recentes, falemos do que pode fazer para garantir que a sua organização cumpre os seus requisitos. Comece com estes passos:

1. Realize uma auditoria de dados: Comece por avaliar as suas práticas de tratamento de dados. Identifique e documente os tipos de dados pessoais e sensíveis recolhidos, processados e armazenados, juntamente com as finalidades para as quais são utilizados.
2. Reveja e atualize as políticas de privacidade: Garanta que as suas políticas de privacidade são claras, atualizadas e alinhadas com as novas regulações do FADP. Devem informar as pessoas sobre a utilização e o processamento dos dados e sobre os seus direitos relativamente à sua informação.
3. Designe um encarregado da proteção de dados: Embora não seja obrigatório, ter um DPO dedicado pode ajudar grandemente na gestão da conformidade, fornecendo orientação e atuando como elo de ligação com as autoridades.
4. Implemente avaliações de impacto sobre a proteção de dados: Avalie o impacto das atividades de processamento de dados de alto risco na privacidade das pessoas. Isto garante a mitigação proativa de riscos e a conformidade com a nova lei.
5. Responda prontamente a preocupações individuais: Seja recetivo aos pedidos das pessoas sobre os seus dados pessoais, respeitando os seus direitos ao abrigo do FADP.
6. Mantenha-se informado: Mantenha-se atualizado sobre quaisquer orientações ou diretivas adicionais emitidas pelas autoridades suíças para uma conformidade eficaz.

Dicas práticas para se adaptar às regras atualizadas do FADP:

• Educação e formação: Forme os seus colaboradores sobre a segurança de dados em geral e, especificamente, sobre os requisitos do FADP revisto e as suas funções para garantir a conformidade. Sublinhe a importância de respeitar os direitos de privacidade das pessoas. Promova uma cultura de proteção e respeito pela privacidade dentro da sua organização.
• Estabeleça procedimentos de consentimento: Desenvolva procedimentos claros para obter e registar o consentimento dos titulares dos dados. Garanta que as pessoas compreendem aquilo a que estão a consentir relativamente ao processamento dos dados.
• Reforce as medidas de segurança de dados: Reforce os seus protocolos de segurança de dados e garanta que estas medidas são ativadas por defeito, alinhando-se com os princípios de "Privacy by Design" e "Privacy by Default".
• Verificações regulares de conformidade: Realize revisões periódicas aos seus sistemas e políticas de segurança para garantir o cumprimento contínuo do FADP. Se descobrir discrepâncias ou lacunas, faça ajustes prontos às suas políticas.

Comparar o FADP e o GDPR

Tanto o FADP como o GDPR da UE privilegiam a privacidade dos dados, estabelecendo padrões elevados para a recolha, tratamento e proteção da informação pessoal. Partilham os objetivos fundamentais de salvaguardar a privacidade dos dados e defender os direitos individuais sobre os dados. No entanto, nem sempre estão alinhados na forma como esses princípios são implementados. Quando isso acontece, o novo FADP é geralmente o mais rigoroso dos dois.

Estas são as principais diferenças entre o FADP atualizado e o GDPR:

• Sanções e penalizações: Ao abrigo do FADP, as pessoas singulares responsáveis estão sujeitas a coimas até 250 000 CHF, enquanto o GDPR aplica sanções às organizações, podendo atingir 4 % da sua receita anual global ou 20 milhões de euros.
• Encarregados da proteção de dados: Ao contrário do GDPR, o FADP não torna obrigatória a designação de um Encarregado da Proteção de Dados, embora seja altamente recomendada.
• Notificações de violação de dados: Ambas as regulamentações exigem a notificação rápida às autoridades em caso de violação de dados, garantindo transparência e ação célere em caso de incidente de segurança. Mas, ao contrário do GDPR, que estabelece um prazo de 72 horas para a notificação, o FADP não fixa um prazo exato, exigindo apenas que a notificação seja efetuada "sem demora indevida".

Como a Safetica pode ajudar as empresas a cumprir o FADP

A Safetica oferece soluções abrangentes de proteção de dados, concebidas para apoiar as empresas a garantir a conformidade com regulamentações de proteção de dados. Com funcionalidades que abrangem data loss prevention, auditorias transparentes de dados e monitorização da atividade dos utilizadores, o software da Safetica apoia as empresas a cumprir as complexidades das leis de proteção de dados.

Quer se trate de manter um registo claro das atividades de processamento de dados, fornecer alertas de segurança em tempo real ou prevenir fugas de dados com encriptação e controlos de acesso, a Safetica fornece ferramentas adaptadas para ajudar as empresas a alcançar e a manter a conformidade com o FADP revisto. O nosso software é fácil de utilizar, fácil de implementar e fácil de compreender.

Compreendemos que possa ter hesitações; a proteção de dados não é coisa para se brincar. Se quer a melhor solução para a sua organização, porque não ver o que podemos fazer por si numa chamada de demonstração.