O que é o DSG?
A Lei Suíça de Proteção de Dados (FADP) é agora uma versão revista do primeiro FADP, que entrou em vigor em 1992. A partir de 1º de setembro de 2023, a nova lei entrará em vigor com as alterações revisadas e atualizadas para levar em conta os requisitos atuais do ambiente atual da Internet. O objetivo do presente regulamento é proteger a privacidade e os direitos fundamentais das pessoas cujos dados são tratados.
«A presente lei tem por objeto proteger a personalidade e os direitos fundamentais das pessoas singulares relativamente às quais são objeto de tratamento de dados pessoais.»
As alterações mais importantes em relação à primeira publicação são que as empresas devem agora explicar por que razão recolhem dados pessoais dos seus clientes e que devem indicar claramente quais os terceiros envolvidos na partilha dos seus dados pessoais. As pessoas têm agora também o direito de saber durante quanto tempo os seus dados serão conservados e com que finalidade.
A quem se aplica o DSG?
O FADP aplica-se a pessoas singulares (anteriormente pessoas coletivas) e a organizações comerciais e não comerciais que tratam dados pessoais de cidadãos suíços.
O âmbito territorial do APD funciona de forma semelhante ao do RGPD. A definição exata aqui é que este regulamento se aplica a questões de proteção de dados que “têm repercussões na Suíça, mesmo que sejam iniciadas no exterior”.
…”que têm impacto na Suíça, mesmo que sejam iniciados no estrangeiro”.
Obrigações de acordo com a FADP
Obrigações dos responsáveis pelo tratamento e dos subcontratantes
Comparável aos requisitos do RGPD, o FADP exige agora que as empresas criem uma “lista de atividades de tratamento” (Art. 12 FADP). Esta responsabilidade incumbe, em primeiro lugar, ao responsável pelo tratamento e ao subcontratante. Tal deve incluir o seguinte:
- Identidade das pessoas responsáveis
- Finalidade do tratamento de dados
- Descrição das categorias de titulares de dados e de dados pessoais
- Categoria de destinatários
- Sempre que possível, o período de conservação dos dados pessoais ou os critérios utilizados para determinar esse período;
- se possível, uma descrição geral das medidas tomadas para garantir a segurança dos dados
- se os dados forem transferidos para o estrangeiro, o país e as garantias que garantem uma proteção adequada dos dados.
Direitos do titular dos dados
Como mencionado anteriormente, esta lei centra-se na proteção dos dados pessoais do titular dos dados. Assim, o titular dos dados está protegido com os seguintes direitos:
- o direito de obter informações sobre o tratamento dos seus dados pessoais (art.º 25.º-27.º revDSG),
- o direito de obter do responsável pelo tratamento a transferência dos seus dados pessoais ou de os transmitir gratuitamente de forma legível por máquina a outro responsável pelo tratamento. (Art. 28.º e 29.º revDSG),
- o direito de não ter os seus dados utilizados para decisões individuais automatizadas em que os algoritmos são utilizados sem intervenção humana no processo (art.º 21.º revDSG),
- Se forem tratados dados pessoais sensíveis ou criados perfis de personalidade, o consentimento deve ser dado explicitamente. É necessário o consentimento do titular dos dados.
Aplicação da FADP
O papel do Comissário Federal de Proteção de Dados e Informação (FDPIC)
O FDPIC é responsável pela aplicação e cumprimento do FADP. É também responsável pelo esclarecimento, aconselhamento e proteção de dados pessoais na Suíça. A Agência é nomeada pelo Conselho Federal (órgão executivo do Governo Federal Suíço).
Sanções e multas por violações da lei
Se uma pessoa violar as leis do DSG, ela será multada em até CHF 250.000. Tal como acontece com o RGPD, a penalidade não está ligada à empresa, mas à pessoa singular responsável.
O que deve fazer para cumprir a APD
Comece agora e certifique-se de que está pronto antes de o DSG entrar em vigor em setembro de 2023. As empresas sediadas na Suíça, ou se você fizer negócios na Suíça, devem tomar as seguintes medidas:
- Registar todas as suas atividades de tratamento de dados relevantes para a lei.
- Você tem uma declaração de proteção de dados válida que atende a todos os requisitos do DSG.
- Certifique-se de nomear um Encarregado de Proteção de Dados (DPO) que estabeleça políticas e procedimentos de acordo com o FDPIC.
- Certifique-se de que, se precisar de obter consentimento para processar dados pessoais, utiliza um CMP que permite recolher e armazenar consentimentos válidos. O consentimento que deve ser obtido pode ser exibido na forma de um banner de consentimento, que deve aparecer na primeira visita do usuário à sua loja online ou site da empresa.
Resultado
Não surpreendentemente, a versão atual do DSG está sendo revisada para acompanhar os desenvolvimentos tecnológicos. E mesmo que já esteja em conformidade com o RGPD, poderá ter de tomar algumas medidas. Certifique-se de que a sua empresa cumpre os requisitos e instala uma ferramenta de consentimento em conformidade com a lei.
Você não tem certeza se sua empresa atende aos próximos requisitos do DSG? Fale com um dos nossos especialistas ou consulte-o com a nossa ferramenta de gestão de consentimento aqui.
