O fim dos debates
O Parlamento vem debatendo há mais de três anos como seria a nova lei suíça de proteção de dados. O decreto original de proteção de dados estava em vigor desde 1992 e não era mais capaz de acompanhar as mudanças tecnológicas e sociais no país. Foi adaptado às novas condições, pelo que se pode ver uma referência aos regulamentos em toda a Europa. Acima de tudo, o Regulamento Geral de Proteção de Dados da União Europeia serviu de base para os debates e para as conclusões deles extraídas. O GDPR está em vigor desde 2018.
A modernização do regulamento de proteção de dados na Suíça tornou-se necessária porque a troca de informações com parceiros internacionais deve continuar a ser possível sem restrições e nenhuma empresa suíça deve experimentar quaisquer desvantagens como resultado. Com o GDPR, a UE criou um padrão que agora também é obrigatório para as empresas suíças.
O pano de fundo da necessária revisão do regulamento foi também que nem sempre é muito claro se uma empresa suíça deve ser incluída no âmbito da União Europeia. Dois padrões foram desenvolvidos: por um lado, o GDPR e, por outro, o regulamento suíço de proteção de dados. Incertezas jurídicas e trabalho administrativo adicional foram o resultado. Ao mesmo tempo, porém, foi exigida uma equivalência da proteção de dados, para que a Suíça e a UE convergissem neste nível.
Problemas e inovações com a regulamentação de proteção de dados
A revisão completa da Lei de Proteção de Dados revelou-se problemática e foi importante para todos os envolvidos que fossem encontradas soluções principalmente inteligentes e não apenas diferentes. As características especiais da economia suíça e das empresas locais tiveram que ser levadas em consideração. Isso deve evitar que a economia seja sobrecarregada mais do que o necessário no futuro e, ao mesmo tempo, garantir que o sistema suíço esteja em pé de igualdade com o da UE.
A novidade, por exemplo, é que o escopo da Lei de Proteção de Dados agora se refere aos dados de pessoas, ou seja, pessoas físicas. Antes se tratava apenas de pessoas jurídicas. Além disso, o novo decreto contém uma lista de dados particularmente sensíveis, bem como possíveis consequências jurídicas ao armazenar e processar esses dados. Os regulamentos se aplicam aqui, por exemplo:
-
- Consentimento para armazenamento de dados
- Avaliação do impacto da proteção de dados
- Repassar os dados a terceiros
- Verificações de crédito
Os dados que identificam uma pessoa com exclusividade são agora considerados particularmente dignos de proteção. Existe também um novo regulamento sobre a definição de perfis, que se aplica sempre quando os dados de uma pessoa são processados automaticamente e uma avaliação da pessoa em causa e da sua personalidade é ou pode ser feita com base nos dados. No caso de perfis de alto risco, uma declaração expressa de consentimento deve estar disponível da pessoa em questão. Por exemplo, existe um alto risco quando se trata de verificar a capacidade de crédito de uma pessoa.
O novo regulamento de proteção de dados exige que as PME mantenham um registo do processamento de dados. Exceções se aplicam a empresas que empregam até 250 pessoas e que apresentam baixo risco de acidentes pessoais ao processar os dados.
? Privacidade por Design? e? Privacidade por padrão? são estabelecidas por lei.
No primeiro caso, isso significa que as normas de proteção de dados devem ser cumpridas durante o processamento de dados desde a fase de planejamento. A segunda variante significa que os padrões do aplicativo e do site devem ser tais que os dados pessoais sejam processados apenas ao mínimo.
De acordo com o novo regulamento, todos têm direito à portabilidade dos dados e assim as pessoas podem solicitar a transferência dos seus próprios dados para outras empresas. Este serviço deve ser possível gratuitamente.
Conclusão: a nova lei de proteção de dados protege as pessoas físicas
No passado, as entidades jurídicas eram particularmente protegidas pela lei de proteção de dados na Suíça. Devido à necessidade de adaptar a própria regulamentação aos requisitos da União Europeia, são agora as pessoas singulares que têm de ser protegidas pelas PME.
A proteção abrangente de pessoas e seus dados destina-se principalmente ao processamento de dados de alto risco. É o caso do pedido de crédito e da verificação de crédito associada. Ao mesmo tempo, as pessoas têm o direito de solicitar que seus dados sejam repassados a outras empresas. Os novos regulamentos provavelmente só entrarão em vigor no final de 2021.
