A nova lei de proteção de dados suíça, adaptada essencialmente aos padrões europeus GDPR com um "acabamento suíço" em certas áreas, a TrevFADP, entra em vigor em 1º de setembro de 2023 e revisa substancialmente a lei suíça de proteção de dados de 1992. Ela fortalece os direitos dos consumidores em relação a seus dados. Existem dois decretos correspondentes entrando em vigor junto com o revFADP: as disposições de implementação do Portaria da Lei Federal de Proteção de Dados e a Portaria revisada sobre Certificação de Proteção de Dados.
O Conselho Federal Suíço destacou a abordagem "baseada em risco" que orienta a revisão: ou seja, as empresas devem avaliar os riscos para os titulares de dados durante todo o ciclo de vida dos dados e mitigá-los de acordo. Para empresas já em conformidade com o GDPR, será mais fácil implementar a lei revisada, mas o revFADP vem com um "acabamento suíço" em certas áreas.
O âmbito de aplicação coincide agora com o RGPD: a lei aplica-se ao tratamento de dados pessoais de pessoas singulares. Os dados de pessoas jurídicas não são mais incluídos. A definição de dados sensíveis foi ampliada para incluir dados genéticos e biométricos, cujo processamento agora também requer consentimento explícito.
Foram introduzidos recentemente os princípios de privacidade por design, proteção de dados por meio de design de tecnologia, por exemplo, por meio do uso de dados sintéticos de preservação da privacidade ou outras tecnologias de aprimoramento da privacidade, e o princípio de privacidade por padrão, que significa processar apenas os dados necessários para atender a um determinado propósito. As empresas precisam revisar seus aplicativos e serviços para fazer ajustes quando necessário. À luz de possíveis solicitações de informações do titular dos dados, é aconselhável estruturar os dados do cliente de forma a permitir que uma empresa cumpra, por exemplo, fornecendo cópias de dados pessoais, sem ter que editar dados pessoais de outros clientes.
RevFADP
Sob o revFADP, as empresas privadas podem designar um consultor de proteção de dados (DPA). Isso pode trazer uma vantagem: onde as empresas optam por fazê-lo e onde o DPA é suficientemente independente, as empresas podem confiar apenas em aconselhamento interno sem ter que consultar o Federal Data Protection and Information Commissioner (FDPIC) em alguns casos, por exemplo, quando realização de uma Avaliação de Impacto de Proteção de Dados (DPIA). Embora opcional, as empresas devem considerar a possibilidade de nomear um DPA para sua organização e pesar os prós e contras. As empresas devem então alterar as políticas internas para refletir as respectivas funções e responsabilidades de um DPA.
O revFADP agora exige que todos os controladores e processadores de dados mantenham registros das atividades de processamento (ROPA). Embora as empresas com menos de 250 funcionários com atividades de processamento de baixo risco estejam isentas, todas as outras devem manter e revisar regularmente seu ROPA. O ROPA do controlador deve, entre outras coisas, incluir a finalidade do processamento, as categorias de dados processados, mas também o período de armazenamento ou os critérios para determinar esse período. Um ROPA bem-organizado e atualizado pode servir como a peça central da estratégia de dados de uma organização que oferece suporte à conformidade com vários outros requisitos de privacidade (por exemplo, o fornecimento de avisos de privacidade transparentes para os consumidores).
De acordo com o revFADP, deve ser realizada uma DPIA sempre que o tratamento de dados pretendido possa conduzir a um elevado risco para a personalidade ou para os direitos fundamentais do titular dos dados; nesse caso, o controlador deve realizar um DPIA antes de iniciar o processamento. Se uma DPIA revelar que o tratamento resulta em risco elevado, apesar de terem sido tomadas medidas de salvaguarda, o responsável pelo tratamento deve obter um parecer da FDPIC. Embora as opiniões do FDPIC não precisem ser publicadas, elas estão sujeitas à Lei de Liberdade de Informação e, portanto, podem se tornar parcialmente de conhecimento público. Porém, conforme já mencionado, esta consulta pode ser dispensada caso a organização tenha indicado um DPA.
Além disso, as violações de dados agora devem ser relatadas às autoridades supervisoras competentes. Consequentemente, todas as violações de dados devem ser documentadas e deve ser avaliado se a violação resulta em alto risco para os titulares dos dados. Se for esse o caso, o controlador deve comunicar a violação ao FDPIC o mais rápido possível. Em comparação com o GDPR, esse é um limite reduzido, pois riscos simples também devem ser relatados e a violação deve ser notificada em 72 horas sob o GDPR. À luz do revFADP, recomenda-se atualizar as políticas e procedimentos internos de gerenciamento de incidentes de violação de dados para refletir os requisitos adicionais.
Sob o perfil revFADP agora é explicitamente regulamentado. Profiling é definido como qualquer forma de processamento automatizado de dados pessoais para avaliar aspectos pessoais sobre uma pessoa física. Quando envolver um alto risco ou, se for feito por um órgão federal, o consentimento deve ser dado explicitamente. Os titulares dos dados podem ser informados sobre perfis (de alto risco) em avisos de privacidade, a fim de garantir a transparência. Uma comunicação separada ou perguntas frequentes em um site podem aumentar ainda mais a confiança.
O revFADP multa pessoas físicas responsáveis em até CHF 250.000 por atos dolosos ou omissões que violem a lei. A violação do dever de informação, bem como a violação do sigilo profissional, é autuadas mediante denúncia. O descumprimento das decisões da FDPIC é processado de ofício.
O que o revFADP significa para transferências de dados internacionais? Assim como no GDPR, os dados só podem ser transferidos para o exterior quando um nível adequado de proteção de dados é garantido. O Conselho Federal Suíço publica uma lista revisada periodicamente de países que garantem um nível adequado de proteção de dados. Se um país não constar dessa lista, os dados ainda podem ser transferidos se a proteção adequada for garantida por outros meios, como cláusulas contratuais padrão. Quando os dados são transferidos para o exterior, uma lista desses países deve ser adicionada ao aviso de privacidade. É aconselhável revisar os acordos de processamento de dados com fornecedores externos para determinar se os acordos de processamento de dados refletem os requisitos atualizados.
DATA PROTECTION FORUM
Para se atualizar sobre as prioridades do cenário regulatório, participe do DATA PROTECTION FORUM, promovido pela TI Inside no dia 14 de agosto, presencialmente no WTC-SP. Veja a grade e faça já sai inscrição com desconto promocional.