August 17, 2025
3 min read
Legea federală revizuită privind protecția datelor (FADP), în vigoare de la 1 septembrie 2023, reprezintă o evoluție semnificativă în legislația elvețiană privind protecția datelor, aliniind-o mai strâns cu European General Data Protection Regulation (GDPR). Discuția următoare rezumă principalele modificări și implicațiile acestora pentru organizațiile care prelucrează date cu caracter personal în Elveția sau care afectează Elveția.
Domeniul de aplicare al protecției:
nFADP își limitează acoperirea exclusiv la datele cu caracter personal ale persoanelor fizice, excluzând în mod explicit datele referitoare la persoanele juridice (Art. 2 nFADP). Această modificare restrânge aplicarea legii în comparație cu versiunea anterioară, concentrând eforturile de reglementare asupra confidențialității individuale.
Aplicare extrateritorială:
Legea se aplică tuturor prelucrărilor de date cu caracter personal care „au un efect” în Elveția, indiferent de locul unde are loc fizic prelucrarea. Această „doctrină a efectelor” reflectă extrateritorialitatea GDPR, asigurând protecția rezidenților elvețieni chiar și atunci când datele lor sunt prelucrate în străinătate (Bühler & Pärli, 2023).
Obligații de transparență:
Operatorii trebuie să furnizeze complete notificări de confidențialitate persoanelor vizate, detaliind natura și scopul prelucrării, destinatarii datelor și divulgările transfrontaliere (Art. 19 nFADP). Această cerință sporește sarcinile administrative pentru organizații, îmbunătățind în același timp gradul de conștientizare și controlul individual asupra datelor lor.
Confidențialitate prin proiectare și în mod implicit:
Legea introduce oficial principiile confidențialității prin proiectare și confidențialității în mod implicit (Art. 7 nFADP). Organizațiile sunt acum obligate legal să integreze protecția datelor în activitățile de prelucrare și în sistemele IT încă de la început și să se asigure că, în mod implicit, sunt prelucrate doar datele cu caracter personal necesare.
Evaluarea impactului asupra protecției datelor (DPIA):
DPIA devin obligatorii atunci când prelucrarea preconizată este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor vizate (Art. 22 nFADP). Acest lucru reflectă Art. 35 din GDPR și are ca scop identificarea și atenuarea proactivă a riscurilor.
Proces decizional automatizat:
Dacă deciziile sunt luate exclusiv pe baza prelucrării automate, persoanele vizate trebuie să fie informate și să li se ofere posibilitatea de a-și exprima punctul de vedere sau de a contesta decizia (Art. 21 nFADP). Această dispoziție consolidează drepturile individuale în contextul procesului decizional algoritmic și bazat pe inteligență artificială.
Legea nFADP aduce astfel legislația elvețiană privind protecția datelor mai aproape de standardele europene, în special de GDPR, introducând în același timp anumite caracteristici distinctive adaptate contextului elvețian. Cerințele sale ridică standardul de conformitate pentru organizații și sporesc securitatea juridică pentru transferurile transfrontaliere de date, ceea ce este esențial pentru menținerea statutului de adecvare al Elveției față de UE (European Commission, 2023).
