El 1 de septiembre de 2023 marcó un punto de inflexión en Suiza con la entrada en vigor de la nueva Ley Federal de Protección de Datos (LFPD), que reforma la anterior de 1992, ya claramente obsoleta ante los avances de la economía digital. Hasta el año 2024, se esperaba con expectación la decisión definitiva de la Comisión Europea sobre si reconocería la Ley Federal de Protección de Datos (FAPD) de Suiza como equivalente al Reglamento General de Protección de Datos (RGPD). Finalmente, el pasado 15 de enero, este esperado reconocimiento llegó, lo que representa un hito significativo para la economía suiza.
La importancia de esta equivalencia se refleja en el hecho de que empresas suizas ahora pueden disfrutar de la libre circulación de datos con la UE. El proceso de reconocimiento se vio afectado por demoras atribuibles a recursos legales, específicamente los recursos del activista Max Schrems, quien había demandado al Tribunal de Justicia de la UE (TJUE) contra los acuerdos de protección de datos entre la UE y EE. UU. Desde Bruselas se quiso esperar primero a la decisión del TJUE sobre este caso antes de decidir sobre la equivalencia recientemente aprobada de otros 10 países y territorios: Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda y Uruguay.
La actualización de la ley suiza garantiza no solo nuevos derechos a los ciudadanos suizos y su adaptación a los nuevos avances tecnológicos (nube, RR. SS, la IA, el Big Data y el IoT) y a la realidad social actual, sino que también asigna responsabilidades adicionales a las organizaciones en términos de privacidad y seguridad de datos. Esta ley fue diseñada para ser compatible con el RGPD y otras normativas europeas para así prevenir a las empresas suizas de potenciales trabas administrativas, pérdida de fluidez y de oportunidades económicas con el espacio económico europeo, su mayor región de negocio.
Asimismo, la FADP introduce requisitos específicos para el tratamiento de datos, donde el consentimiento del sujeto de datos es fundamental en ciertos escenarios. Esto incluye datos sensibles, perfiles de alto riesgo y transferencias internacionales de datos a países sin acuerdos equivalentes. Aunque como ya se ha citado la FADP comparte similitudes con el RGPD, existen diferencias regulatorias notables, como la recomendación, pero no obligación, de designar a un delegado de protección de datos. Y la aplicación de multas específicas que pueden llegar hasta 250.000 CHF para individuos y hasta 50.000 CHF para empresas por diversas infracciones contra la protección de datos, entre los que se encuentran: falta de transparencia o de política de privacidad; falta de acuerdos contractuales con los procesadores de datos; fallos en la seguridad de los datos, como medidas técnicas y organizativas inadecuadas; transferencia de datos personales a países sin suficiente protección de datos, sin garantías adicionales o sin una excepción válida, como el consentimiento; incumplimiento del deber de información; y desconocimiento del llamado «secreto profesional menor».
Por último, es importante destacar que esta ley no solo mantiene la competitividad de las empresas suizas, sino que también tiene un alcance transfronterizo, lo que significa que las empresas, incluso aquellas que no operan directamente en el mercado suizo, podrían verse afectadas si procesan datos personales de individuos en Suiza, independientemente de su ubicación.
FUENTES:
https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-99695.html
Protection des données: l’UE reconnaît la loi suisse comme équivalente | Allnews
https://ec.europa.eu/commission/presscorner/detail/es/ip_24_161
https://www.avanet.com/es/blog/nueva-ley-suiza-de-proteccion-de-datos-ndsg-2023/
https://www.iubenda.com/es/help/76664-actualizaciones-de-la-fadp