Revelando o Lei Suíça de Proteção de Dados (DPA)

Proteção de dados tornou-se uma questão cada vez mais crucial em nosso mundo interconectado. À medida que a tecnologia evolui e os dados pessoais se tornam um bem valioso, governos em todo o mundo estão promulgando leis para garantir a privacidade e a segurança das informações dos indivíduos. Na Suíça, a Lei Suíça de Proteção de Dados (LDP) constitui uma estrutura robusta, concebida para proteger os direitos dos cidadãos em relação aos dados e estabelecer diretrizes para o tratamento responsável de dados. Neste artigo, analisamos as principais características da LDP suíça e comparamos-a com GDPR, e sua importância na preservação da privacidade no coração da Europa.

Fundação de Privacidade de Dados Históricos

A APD Suíça baseia-se numa rica história de leis de proteção de dados na Suíça. As suas raízes remontam à primeira Lei Federal de Proteção de Dados remonta a 1992, quando a tecnologia, a segurança de dados e a privacidade ainda não estavam introduzidas na vida diária dos cidadãos suíços. O Parlamento Suíço elaborou uma nova versão do Lei Federal de Proteção de Dados revisada (revFADP) em 25 de setembro de 2020 — uma revisão completa da lei de proteção de dados. O Conselho Federal Suíço (Bundesrat) reviu a lei para reforçar os direitos dos consumidores relativamente aos seus dados e alinhar as normas suíças de protecção de dados com as regulamentações em evolução da União Europeia, como a Regulamento Geral sobre a Proteção de Dados (GDPR) mantendo ao mesmo tempo a estrutura jurídica única da Suíça.

Essa mudança legislativa traz diversas obrigações para as empresas e entrará em vigor integralmente em 1º de setembro de 2023, sem qualquer período de carência.

DPA Suíço vs. GDPR

A Lei de Proteção de Dados Suíços (LPD) aplica-se a entidades públicas e privadas que processam dados pessoais dentro da jurisdição da Suíça, independentemente da nacionalidade ou localização dos titulares dos dados. A LPD suíça e o RGPD compartilham princípios comuns relativos ao processamento de dados pessoais. Estes incluem os princípios de transparência, limitação da finalidade, minimização de dados, precisão, limitação de armazenamento e segurança. Ambas as regulamentações enfatizam a necessidade de consentimento informado, direitos individuais e responsabilidade no processamento de dados.

É importante esclarecer que as Autoridades Federais Suíças foram inspiradas pelo Regulamento Geral de Proteção de Dados da UE para construir uma base para o DPA, mas há diferenças e semelhanças importantes entre as duas leis de privacidade de dados.

• Base jurídica: Uma grande diferença entre o GDPR e a Lei de Proteção de Dados Suíça (LPD) é a base legal definida para as operações de processamento de dados. A lei suíça não exige uma base legal para o processamento de informações, mas o consentimento explícito é necessário para a criação de perfis de alto risco ou simplesmente para o processamento de dados sensíveis.
• Processamento de dados: A nova DPA exige um registo de cada operação de processamento de dados, semelhante a Artigo 30 do GDPR que requer a documentação de um registro de atividades de processamento (RoPA).
• Minimização de dados: Semelhante ao GDPR, a Lei de Proteção de Dados Suíça (DPA) consagra a minimização de dados como um princípio fundamental para o processamento de dados. Ela exige que as organizações coletem e processem apenas os dados pessoais relevantes, necessários e proporcionais para atingir a finalidade pretendida.
• Consentimento e direitos de dados: Ambos os regulamentos destacam a importância da obtenção consentimento explícito dos titulares dos dados para atividades de tratamento de dados. Os indivíduos têm o direito de acessar, corrigir e excluir seus dados pessoais, tanto no âmbito da Lei de Proteção de Dados (LPD) suíça quanto no GDPR. No entanto, existem algumas variações nos detalhes dos requisitos de consentimento e direitos individuais, refletindo as abordagens diferenciadas de cada regulamentação.
• Transferências de dados transfronteiriças: O GDPR oferece uma estrutura mais ampla para a regulamentação de transferências transfronteiriças de dados. Ele estabelece requisitos rigorosos para a transferência de dados pessoais para países fora da UE, garantindo que tais países ofereçam um nível adequado de proteção de dados. A Lei de Proteção de Dados Suíça, por outro lado, concede maior flexibilidade, permitindo transferências com base no consentimento individual, medidas de proteção como Cláusulas Contratuais Padrão (CCP) ou outros fundamentos legais.
• Notificações de violação de dados: Existem pequenas diferenças nos requisitos de relatórios entre o RGPD e a Lei de Proteção de Dados Suíça (DPA). De acordo com a DPA, as notificações imediatas são necessárias apenas quando o incidente representa um alto risco, devendo ser reportado à Comissário Federal de Proteção de Dados e Informação (FDPIC). A DPA não tem um limite de tempo rigoroso para relatórios, enquanto que, segundo o GDPR, há um limite de 72 horas para relatar uma violação.

Autoridades de Responsabilidade, Fiscalização e Regulamentação

• Autoridades reguladoras: O RGPD designa autoridades de supervisão em cada estado-membro da UE para supervisionar o cumprimento e fazer cumprir a regulamentação. Na Suíça, a Comissário Federal de Proteção de Dados e Informação (FDPIC) é responsável por fazer cumprir a Lei de Proteção de Dados Suíça (DPA). O FDPIC colabora com outras autoridades suíças e organismos internacionais para garantir a proteção eficaz de dados. O FDPIC supervisiona a conformidade, investiga violações de dados e tem autoridade para aplicar multas e sanções em caso de descumprimento. As penalidades podem ser significativas, reforçando a seriedade das obrigações de proteção de dados.
• Encarregado da Proteção de Dados (RPD): De acordo com a Lei de Proteção de Dados (DPA), organizações envolvidas em processamento de dados em larga escala ou que processam dados sensíveis são obrigadas a nomear um Encarregado da Proteção de Dados. Essa função específica garante a conformidade com as leis de proteção de dados, fornece orientação sobre atividades de processamento de dados e serve como ponto de contato para indivíduos e autoridades regulatórias.
• Penalidades e multas: Sob o GDPR, organizações que violarem a regulamentação podem enfrentar multas severas de até 4% de seu faturamento anual global. As sanções do GDPR são contra a pessoa jurídica ou organização, mas a Autoridade de Proteção de Dados Suíça pune os indivíduos da organização responsável pela proteção de dados. A Autoridade de Proteção de Dados Suíça também impõe penalidades por descumprimento, mas normalmente segue uma abordagem mais proporcional, considerando fatores como o porte e os recursos da organização.

Como a BigID cumpre a conformidade com a Lei de Proteção de Dados Suíça (DPA)

Organizações sediadas na Suíça precisam de soluções de gerenciamento de privacidade de dados para cobrir uma variedade de requisitos semelhantes ao GDPR. BigID pode ajudar organizações a atingir a conformidade com a DPA Suíça com recursos importantes como:

• Descoberta precisa de dados: O BigID ajuda organizações a descobrir e inventariar seus dados pessoais e confidenciais.
• Mapeamento de dados eficiente: Automaticamente mapa PII e PI para identidades, entidades e residências para conectar relacionamentos em seus ambientes de dados.
• Cumprimento da solicitação de direitos de dados: Automatize o consentimento e o gerenciamento de direitos de dados com um portal de privacidade que fornece uma experiência de usuário perfeita para gerenciar solicitações de direitos do titular dos dados (DSAR).
• Avaliações Eficazes de Impacto à Privacidade (PIA/DPIA): Crie facilmente fluxos de trabalho e estruturas integrados para avaliações de impacto de privacidade (PIA) para estimar o risco associado a todo o inventário de dados.
• Monitorar transferências de dados: Rastreie transferências de dados internacionais e crie políticas para impor requisitos de residência e localização de dados.
• Resposta simplificada à violação: Identifique com precisão os indivíduos afetados, cumpra os requisitos de cronograma de relatórios de notificação de violação e acelere a resposta da investigação para estar em total conformidade.

Para obter mais informações sobre como BigID pode ajudar sua organização a atingir a conformidade com a Lei de Proteção de Dados Suíça —Obtenha uma demonstração individual com nossos especialistas em privacidade hoje mesmo.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.