La protección de datos en Suiza: nueva LPD

La nueva ley de protección de datos (nLPD)

La nueva ley federal de protección de datos (nLPD) entró en vigor el 1 de septiembre de 2023, sustituyendo la ley de 1992 que había quedado obsoleta ante las evoluciones tecnológicas. Esta revisión total alinea el derecho suizo con los estándares internacionales, en particular el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

Los principios generales (art. 6 LPD)

El art. 6 LPD establece los principios fundamentales del tratamiento de datos personales:

1. Licitud: el tratamiento debe ser conforme al derecho
2. Buena fe: el tratamiento debe ser leal y transparente
3. Proporcionalidad: solo pueden recopilarse los datos necesarios para la finalidad anunciada
4. Finalidad: los datos solo pueden tratarse para la finalidad indicada durante la recopilación
5. Exactitud: los datos deben ser exactos y mantenerse actualizados
6. Conservación limitada: los datos deben destruirse o anonimizarse cuando dejen de ser necesarios

Toda violación de estos principios hace ilícito el tratamiento, salvo motivo justificativo (consentimiento, interés preponderante, ley).

Privacidad desde el diseño y por defecto (art. 7 LPD)

El art. 7 LPD introduce dos conceptos fundamentales:

1. Privacy by design: el responsable del tratamiento debe integrar la protección de datos desde la concepción de sus sistemas y procesos
2. Privacy by default: los parámetros por defecto deben garantizar el tratamiento menos intrusivo posible

Concretamente, las aplicaciones, sitios web y sistemas informáticos deben estar configurados para minimizar la recopilación de datos por defecto. El usuario debe consentir activamente un tratamiento más extenso.

El deber de información (art. 19-21 LPD)

El art. 19 LPD impone una obligación reforzada de información. Al recopilar datos personales, el responsable del tratamiento debe comunicar:

1. Su identidad y datos de contacto
2. La finalidad del tratamiento
3. Los eventuales destinatarios de los datos
4. En caso de transferencia al extranjero, el país de destino y las garantías de protección

Esta obligación se aplica a toda recopilación de datos, y no únicamente a los datos sensibles (a diferencia del antiguo derecho). El incumplimiento de este deber de información constituye una infracción penal.

Los derechos de las personas afectadas (art. 25-27 LPD)

La nLPD refuerza considerablemente los derechos de las personas cuyos datos son tratados:

Derecho de acceso (art. 25 LPD): toda persona puede solicitar gratuitamente al responsable del tratamiento si se tratan datos que le conciernen y obtener una copia de dichos datos. El responsable debe responder en un plazo de 30 días.

Derecho a la portabilidad (art. 28 LPD): las personas pueden solicitar que sus datos les sean entregados en un formato electrónico de uso corriente o que se transfieran a otro responsable.

Derecho a la supresión: aunque la nLPD no prevé un "derecho al olvido" tan explícito como el RGPD, el principio de proporcionalidad (art. 6 LPD) impone la destrucción de los datos que hayan dejado de ser necesarios.

Las sanciones penales (art. 60-66 LPD)

Es una de las grandes novedades de la nLPD: las infracciones son sancionables penalmente. El art. 60 LPD prevé una multa de CHF 250'000 como máximo para las personas privadas que:

1. Violen el deber de información (art. 19-21 LPD)
2. No respeten el derecho de acceso (art. 25-27 LPD)
3. Comuniquen datos al extranjero en violación del art. 16-17 LPD
4. Confíen un tratamiento a un subcontratista sin respetar las condiciones legales

A diferencia del RGPD, las sanciones se dirigen a las personas físicas responsables y no a la empresa en cuanto tal. El encargado federal de protección de datos (PFPDT) puede además abrir investigaciones y ordenar medidas administrativas.

Comparación con el RGPD europeo

La nLPD se inspira ampliamente del RGPD pero presenta diferencias notables:

1. Sanciones: multas hasta CHF 250'000 (nLPD) vs 4 % de la facturación mundial (RGPD)
2. Destinatario: personas físicas (nLPD) vs empresas (RGPD)
3. DPO: sin obligación de nombrar delegado de protección de datos (nLPD), obligación bajo condiciones (RGPD)
4. Consentimiento: no requerido sistemáticamente en nLPD (tratamiento lícito si conforme a los principios), frecuentemente requerido bajo el RGPD
5. Base legal: las empresas suizas activas en la UE deben respetar ambas regulaciones