Ley suiza de protección de datos

La Ley Federal de Protección de Datos de Suiza, también conocida como “Datenschutzgesetz” o FADP para abreviar, es una ley de privacidad de datos que se modificó recientemente en 2020. Originalmente aprobada en 1992, la FADP fue modificada el año pasado para poner la ley a la par con otras leyes de privacidad en todo el mundo, como la Ley de Derechos de Privacidad de California o CCPA, la Ley de Protección de Datos del Consumidor de Virginia o VCDPA, y el Reglamento General de Protección de Datos de la UE o GDPR. En este sentido, Suiza es uno de los pocos países europeos que no forma parte de la Unión Europea y, por tanto, no entra en el ámbito de aplicación del Reglamento General de Protección de Datos. El RGPD establece diversos requisitos que las agencias y organizaciones empresariales deben cumplir al tratar los datos personales y la información de los ciudadanos suizos.

¿Cuál es el ámbito de aplicación de la FADP?

Todas las actividades de tratamiento de datos realizadas por empresas de los sectores público y privado de Suiza, así como el tratamiento de datos gestionado por las autoridades federales, están sujetos a la jurisdicción del FADP. Además, el FADP también se aplica a las actividades de tratamiento de datos que tengan efectos reales o potenciales en Suiza. Esto incluye el tratamiento de datos que se inicia o se lleva a cabo fuera de Suiza, pero que puede afectar negativamente a los derechos de privacidad de los ciudadanos suizos. Por otra parte, la FADP también contiene disposiciones relacionadas con la protección de datos específicos del sector y los requisitos de seguridad. Por ejemplo, el capítulo 4 del FADP se aplica únicamente al tratamiento de datos personales e información “por parte de las autoridades públicas de la Federación, y al tratamiento de datos personales por parte de empresas u organizaciones que realicen tareas en el ejercicio de la autoridad pública federal que les haya sido conferida”.

¿Cuáles son los requisitos que deben cumplir las empresas y organizaciones en virtud del FADP?

Hay una serie de principios que las empresas y organizaciones deben respetar en todo momento cuando recojan, utilicen o divulguen datos personales e información de ciudadanos suizos. Estos principios son los siguientes

• Licitud– Los responsables del tratamiento de datos sólo están autorizados a tratar datos personales o información que haya sido recopilada de conformidad con otras leyes aplicables. Por ejemplo, la información personal obtenida mediante escuchas telefónicas o allanamientos ilegales infringiría este principio.
• Equidad (buena fe)– Los responsables del tratamiento de datos sólo están autorizados a realizar actividades de tratamiento de datos que un interesado esperaría razonablemente. Además, todo tratamiento de datos que se produzca debe realizarse tal como se describe a los interesados en los avisos de privacidad.
• Transparencia– Los responsables del tratamiento son responsables de transmitir toda la información necesaria a los interesados para garantizar la transparencia del tratamiento de datos. La información que faciliten los responsables del tratamiento también debe permitir a los interesados ejercer los derechos que les confiere el FADP. Como mínimo, los responsables del tratamiento deberán informar a los interesados sobre la identidad y los datos de contacto del responsable del tratamiento, los datos de contacto de un delegado de protección de datos o RPD de una agencia, si dicha agencia dispone de uno, los datos de contacto de un representante suizo que pueda estar asociado a una agencia concreta, los fines específicos para los que se tratarán los datos de un interesado, los terceros destinatarios o las categorías de destinatarios que también puedan recopilar los datos de un interesado, los países a los que un responsable del tratamiento pretende transferir datos personales y las garantías que se aplicarán para proteger estos datos, las categorías de datos personales que se recopilarán y tratarán, y la existencia de sistemas automatizados de toma de decisiones individuales.
• Limitación de la finalidad– Los responsables del tratamiento sólo pueden tratar los datos personales de los interesados para fines específicos que hayan sido notificados o que, de otro modo, serían evidentes para los interesados. Los responsables del tratamiento sólo pueden tratar los datos de un interesado de forma compatible con estos fines, y la información relativa a los fines de este tratamiento debe ser específica. Los responsables del tratamiento también deben garantizar que cualquier tratamiento posterior de datos personales que reciban de otros responsables del tratamiento también sea compatible con los fines específicos que se hayan determinado y comunicado a los interesados en el momento de la recogida de datos.
• Proporcionalidad– En virtud del FADP, todas las actividades de tratamiento de datos deben ser proporcionadas, lo que significa que el tratamiento de datos debe limitarse a lo necesario para alcanzar el fin específico del responsable del tratamiento, teniendo en cuenta los tipos de datos personales de que se trate, así como el alcance de dicho tratamiento. Los principios de limitación del almacenamiento y minimización de datos son también aspectos clave del principio de proporcionalidad del FADP. Esto significa que los responsables del tratamiento también deben limitar el alcance de los datos personales recogidos y tratados a lo que sea necesario para los fines previstos por el responsable del tratamiento, así como suprimir todos los datos personales aplicables cuando dichos datos ya no sean necesarios para los fines previstos.
• Exactitud– Los responsables del tratamiento deben garantizar que sólo tratan datos personales que son exactos y se mantienen actualizados en todo momento. Los responsables del tratamiento también son responsables de adoptar medidas razonables para garantizar que los datos personales que se haya demostrado que son inexactos o incompletos se supriman o rectifiquen, en relación con los fines específicos para los que se trataron dichos datos en primer lugar.
• Seguridad de los datos– En virtud de la FADP, tanto los responsables como los encargados del tratamiento tienen la obligación de garantizar que se mantiene en todo momento un nivel adecuado de seguridad de los datos. Esto implica proteger la integridad, confidencialidad y disponibilidad de los datos personales mediante medidas de seguridad organizativas y técnicas adecuadas. Al evaluar el nivel adecuado de seguridad, los responsables y encargados del tratamiento deben tener en cuenta también el tipo, la finalidad y el alcance de las actividades de tratamiento de datos, evaluar los riesgos potenciales para los interesados y desarrollar soluciones de seguridad de vanguardia.

¿Cuáles son los derechos de los ciudadanos suizos en virtud de la FADP?

En virtud de la FADP, los ciudadanos suizos gozan de una serie de derechos legales en relación con la recopilación, el uso y la divulgación de sus datos e información personales. Estos derechos incluyen

• El derecho a ser informado– La FADP exige que la recogida y el tratamiento de los datos personales del interesado sean transparentes en todo momento.
• Derecho de acceso– En virtud de la FADP, los interesados conservan el derecho de acceso a los datos personales que hayan sido objeto de tratamiento y que posteriormente puedan estar relacionados con dicho interesado, incluido el derecho a recibir una copia de los datos personales que hayan sido objeto de tratamiento.
• Derecho de rectificación– Los interesados tienen derecho a solicitar que un responsable del tratamiento que posea información inexacta o incompleta relativa a ellos rectifique dicha información. Sin embargo, los responsables del tratamiento también pueden denegar dichas solicitudes por motivos de obligación legal o por prevalecer intereses públicos y privados.
• Derecho de supresión– De forma similar al derecho de rectificación, los interesados también tienen derecho a solicitar que un responsable del tratamiento suprima los datos personales que les conciernen. En consonancia con las similitudes con el derecho de rectificación, los responsables del tratamiento también pueden negarse a suprimir los datos personales de un interesado por motivos de obligación legal o intereses públicos o privados prevalentes.
• Derecho de oposición/exclusión voluntaria: el FADP otorga a los interesados el derecho de oposición o de exclusión voluntaria del tratamiento de sus datos personales. A pesar de este derecho, los responsables del tratamiento pueden hacer caso omiso de la solicitud de exclusión voluntaria de un interesado en determinadas circunstancias. Por ejemplo, si el mantenimiento de los datos de un interesado es necesario en relación con el cumplimiento de la ley, la ejecución de un contrato o intereses públicos o privados prevalentes.
• Derecho a la portabilidad de los datos– Los interesados tienen derecho a solicitar a los responsables del tratamiento que les faciliten una copia de los datos personales que obren en su poder, en un formato de uso común.
• Derecho a no ser objeto de decisiones automatizadas: en virtud de la Directiva, los responsables del tratamiento deben informar a los interesados si utilizan mecanismos automatizados de toma de decisiones durante el tratamiento de sus datos.

¿Cuáles son las sanciones por infringir la FADP?

En virtud del FADP, las empresas y organizaciones que infrinjan la ley están sujetas a sanciones pecuniarias de hasta 10.000 francos suizos (10.672 dólares). Además, hay una serie de sanciones administrativas y penales que también pueden derivarse de la violación de la FADP, incluida la obligación de una empresa u organización de corregir, suspender, cesar o eliminar datos personales, ya sea parcial o totalmente. También hay sanciones monetarias adicionales relacionadas con delitos penales, incluyendo multas que van desde 50.000 CHF (53.248 $) a 250.000 CHF (266.201 $). La FADP también contiene disposiciones que permiten a los ciudadanos suizos interponer una demanda de derecho privado contra organismos y particulares que violen sus derechos conforme a la ley.

Como Suiza es uno de los pocos países de Europa que no forma parte de la Unión Europea, la FADP es la normativa más importante en lo que respecta a la protección de los derechos de privacidad de los datos de los ciudadanos suizos. Como el FADP es similar en su naturaleza al Reglamento General de Protección de Datos o GDPR, los ciudadanos suizos pueden estar seguros de que sus derechos de privacidad de datos están protegidos al más alto nivel, a pesar de que el país no cae bajo la jurisdicción del GDPR. Al modificar el FADP por primera vez en 29 años, Suiza se ha unido a uno de los muchos países de todo el mundo que han aprobado una legislación actualizada en materia de privacidad en la última década.