Suiza se está adaptando a la rápida digitalización de la sociedad. La nueva Ley de Protección de Datos refuerza la gobernanza de los datos personales y garantiza la compatibilidad de la legislación suiza con la europea. Afecta a todo el ciclo de vida de los datos personales: la recopilación, el almacenamiento (incluido el período de conservación), el uso, la transferencia y, por último, la eliminación de los datos.

  • ¿Cuál es el impacto de la nLPD para Infomaniak, sus socios y los propietarios de sitios web?
  • ¿Cómo cumplir con la nLPD?

Analizamos esta evolución con Tiago Pedro, Data Protection Officer (DPO) de Infomaniak. La información contenida en este artículo se proporciona a título indicativo y no sustituye el asesoramiento de un profesional para tu caso concreto.

Proteger los datos es nuestra primera responsabilidad

La protección de datos está en el corazón de nuestro negocio y de nuestras soluciones. Orienta nuestras decisiones desde las primeras etapas de diseño y durante toda la vida útil de nuestros productos.

Como cliente(a) de Infomaniak, tus datos son tratados y alojados:

  • por una empresa suiza, independiente, de conformidad con la legislación europea, cuyo modelo de negocio no es el análisis ni la venta de datos;
  • por tecnologías y software desarrollados por Infomaniak o basados en tecnologías de código abierto;
  • en centros de datos gestionados exclusivamente por Infomaniak en Suiza.

Nuestra política de privacidad de datos es clara y transparente:

  • Tratamos tu información personal como si fuera nuestra.
  • Utilizamos los datos personales sólo para proporcionar tus servicios y nuestras actividades (facturación, atención al cliente, etc.).
  • Cada proceso de tratamiento de datos se registra y documenta.

Como proveedor de servicios en la nube, tenemos una doble responsabilidad:

  1. Cuando procesamos datos personales relacionados con nuestro propio negocio, somos «Responsable del tratamiento de datos«.
  2. Cuando alojamos los datos que nos confías, somos «encargados del tratamiento«.

Por lo tanto, aplicamos los medios técnicos y organizativos para:

  • Garantizar un alto nivel de protección de tus datos personales.
  • Permitirte cumplir con tus obligaciones legales relacionadas con el uso de nuestros servicios.

Comprender la nueva ley suiza de protección de datos

¿A quién afecta? ¿De qué datos estamos hablando? ¿Qué cambia? ¿Qué hay que saber?

La nLPD se aplica a todas las organizaciones suizas o extranjeras que procesan datos de personas ubicadas en Suiza, en cualquier parte del mundo. Esto incluye empleados, clientes, clientes potenciales, personas gestionadas, subcontratistas, terceros, etc. Se pueden imponer multas a las personas efectivamente responsables de un incumplimiento/violación de la nLPD.

Se aplica a todos los datos personales:

Datos personales

  • Apellido, nombre
  • Dirección de correo
  • Número de teléfono
  • Dirección postal

Datos personales sensibles

  • Huellas biométricas
  • Información médica
  • Antecedentes penales
  • Origen étnico
  • Opinión política

4 conceptos para entender la nueva LPD

  1. Evaluación de impacto: si bien el tratamiento de datos personales puede suponer un alto riesgo de vulneración de los derechos humanos, se requiere una evaluación de impacto en caso de fuga de datos, ataque malicioso, usurpación de identidad, etc.
  2. Proporcionalidad: se requiere destruir los datos que ya no se necesitan. Deberán aplicarse las medidas de seguridad adecuadas (técnicas y organizativas) en relación con los riesgos identificados. Las empresas con 250 o más empleados deben crear un registro de las actividades de tratamiento de datos personales.
  3. Transparencia: se requiere información exhaustiva sobre el tratamiento de todos los datos personales y su posible transferencia. Si existe un alto riesgo de vulneración de los derechos humanos, las violaciones de la seguridad de los datos deben notificarse al Comisionado Federal de Protección de Datos y Transparencia (PFPDT) lo antes posible.
  4. Eficacia: en caso de incumplimiento de la nLPD, el PFPDT puede actuar rápidamente tomando sus propias decisiones. Las disposiciones penales son mucho más estrictas (de 10.000 a 250.000 francos suizos).

¿Cómo cumplir con la nLPD?

Dependiendo de la ubicación de las personas cuyos datos trates, necesitas saber si tu organización debe cumplir con la nLPD, el Reglamento General de Protección de Datos (RGPD) en Europa o ambos.

Si tu organización ya cumple con el RGPD, es razonable suponer que no hay mucho que hacer. Si tu organización solo trata datos personales de personas localizadas en Suiza, se requiere una verificación exhaustiva para garantizar el cumplimiento de la nLPD.

Preguntas frecuentes sobre la nLPD

  1. ¿Es obligatorio nombrar a un responsable del tratamiento de datos personales? Es una pregunta engañosa. El «responsable del tratamiento» (tú) es un término que se refiere a una persona física o un organismo federal que trata datos personales y, por extensión, a sus encargados del tratamiento. No debe confundirse con un «Asesor de Protección de Datos» (equivalente a DPO) cuyo nombramiento es opcional para las empresas.
  2. ¿Es necesario un banner de cookies/consentimiento en un sitio web suizo? Si tu sitio web está dirigido únicamente a visitantes suizos, no es necesario obtener el consentimiento de tus usuarios para el uso de cookies (excepto para datos sensibles, alto riesgo y elaboración de perfiles). En todos los casos, debe informarse sobre el tratamiento de los datos y sobre el derecho a oponerse al tratamiento de los datos.
  3. ¿Se pueden usar herramientas como Hotjar o GA4 con la nLPD? En principio, estas herramientas son similares a las cookies. Están permitidas en el mismo marco que las cookies, siempre y cuando el usuario no las rechace, por ejemplo, a través de la configuración de protección de datos de su navegador web.

Empezar bien el cumplimiento de la nLPD

¿Por dónde empezar? Una buena base para iniciar el proceso de cumplimiento de la nueva Ley de Protección de Datos es la siguiente:

1. Una política de protección de datos transparente

El primer paso es mapear el tratamiento de datos personales para identificar riesgos específicos. Tu organización necesita adquirir un buen conocimiento de sí misma en relación con los datos personales.

No hay un esquema estándar, pero tu política de privacidad de datos debe contener toda la información detallada, por ejemplo: qué datos se tratan, para qué fines, cuánto tiempo se conservan, cómo se protegen, con quién se comparten los datos, en qué país y cómo se utilizan los datos por parte de terceros (por ejemplo, vendedores). En varios casos se requiere el establecimiento de un registro de las actividades de tratamiento que contenga una serie de indicaciones descritas en el art. 12 nLPD. Tal es el caso de las empresas con más de 250 empleados, aquellas que procesan datos sensibles a gran escala o cuyo tratamiento constituye un perfil de alto riesgo.

2. Menos datos, menos riesgos, menos daños

Tu organización debe actuar de manera responsable. Hay que preguntarse si algunos datos son superfluos y eliminarlos. Cuando se identifican y describen los tratamientos, se puede evaluar la seguridad. Se espera que tu organización adopte las medidas técnicas y organizativas adecuadas: privacy by design, by default. Es un proceso de mejora continua.

3. Establecer normas y un marco claro

Tu organización debe establecer reglas y transmitirlas a todos los niveles de la organización. Con la nLPD, la responsabilidad puede ir más allá de la dirección si aparecen fallos. Por lo tanto, la protección de datos debe formar parte de la comunicación interna, la contratación, etc. Esto puede adoptar la forma de juegos de roles, concursos, vídeos informativos, etc. La protección de datos debe integrarse en todos los procesos pertinentes y convertirse en un reflejo en todos los niveles de tu organización.

***

La protección de datos es un tema que debe tomarse muy en serio y esperamos que este artículo te haya ayudado a comprender lo que está en juego en la nLPD y a responder a tus preguntas.

Infomaniak es un proveedor cloud comprometido con la protección de datos y es importante que dediques tiempo a tu organización para asegurarte de que cumple con la nLPD y el RGPD y, en caso de duda, que te asesore un profesional.

Más información