Shopping Cart

No hay productos en el carrito.

Nueva Ley de Protección de Datos de Suiza (nDSG) – ¿Qué es extremadamente importante a partir del 1.09.2023?

La nueva Ley de Protección de Datos (nDSG) y las ordenanzas asociadas entraron en vigor en Suiza el 1 de septiembre de 2023. La modificación de la ley adapta la protección de datos a la tecnología y la sociedad actuales. Los ciudadanos deben poder entender y controlar mejor cómo se utilizan sus datos. Además, hace tiempo que debería haberse hecho, teniendo en cuenta que la antigua ley de protección de datos data de 1992. Google se fundó en 1998 y Facebook (Meta) empezó a funcionar en 2004. Fue entonces cuando comenzó la recopilación de datos 🐙 a gran escala. El GDPR también está en vigor desde mayo de 2018 y ahora Suiza ha seguido su ejemplo, aunque con una diferencia significativa en términos de sanciones.

Dentro de un momento explicaré por qué la seguridad informática se está volviendo aún más importante como consecuencia de ello y por qué muchos sólo están reaccionando ahora.

¿Por qué era necesaria una nueva ley?

La nueva ley suiza de protección de datos tiene dos objetivos principales:

  • Actualiza las normas para adaptarlas a las tecnologías actuales, como la nube, las redes sociales, la IA, el Big Data y el IoT. Esto debería dar a los ciudadanos más control sobre sus propios datos.
  • Garantiza que la protección de datos en Suiza se eleve al nivel de la UE. Esto es importante para que el intercambio de datos entre Suiza 🇨🇭 y la UE 🇪🇺 siga siendo posible sin problemas. La ley también tiene en cuenta la normativa de la UE y los acuerdos internacionales de protección de datos.

¿Datos personales? ¡No me concierne!

Afecta a todos los que tienen que tratar con datos personales. Tanto en el trabajo como en un club o en la vida privada (excepto amigos y familia). En cuanto la información que se refiere directa o indirectamente a una persona física concreta, se considera datos personales. Esto incluye no sólo el nombre y la dirección, sino también datos como la dirección IP o la dirección de correo electrónico. Si estos datos se recogen, almacenan, utilizan, modifican o suprimen, se habla de tratamiento y se aplica la Ley de Protección de Datos actualizada.

Privacidad por diseño y privacidad por defecto

«Privacy by Default» y«Privacy by Design» significan que las empresas deben incorporar la protección de datos en su tecnología y configuración desde el principio. Esto significa que, al desarrollar aplicaciones o sitios web, las normas de protección de datos deben tenerse en cuenta ya en la fase de planificación. Además, la configuración por defecto debe ser siempre la opción más respetuosa con la privacidad. Por ejemplo, si un sitio web tiene un área de miembros, el nombre del usuario no debe ser visible en la configuración predeterminada.

Reducir la recogida de datos al mínimo necesario

Cuando se construye algo desde cero (privacidad por defecto), por supuesto es más fácil tener esto en cuenta, después siempre es un poco más de trabajo. Es importante que los datos sólo se utilicen para el fin para el que se recogieron originalmente. Sólo puede utilizarla para otras cosas si existe una razón válida, como el cumplimiento de un contrato, o si la persona afectada está explícitamente de acuerdo.

Si los datos ya no son necesarios para la finalidad original, se suprimirán o se harán irreconocibles sin demora.

Cookies 🍪

Lo molesto de las cookies y los banners de cookies asociados.

Las cookies son pequeños archivos de texto que los sitios web almacenan en el ordenador o dispositivo móvil del usuario. A menudo se utilizan para mejorar la experiencia del usuario almacenando ajustes o rastreando su comportamiento. En la nueva ley de protección de datos, las cookies son relevantes porque a menudo recogen datos personales. Por ello, la ley exige que se informe claramente a los usuarios sobre qué cookies se utilizan y para qué. Además, los usuarios deben dar su consentimiento antes de que se puedan instalar cookies. La configuración por defecto, que puede verse en el banner de cookies, debe ser respetuosa con la protección de datos. Esto significa que sólo deben activarse automáticamente las cookies absolutamente necesarias.

Sin embargo, gestionar un sitio web sin cookies que recopilen datos de los usuarios ya no es difícil. Gracias al GDPR, hay varias herramientas nuevas disponibles como alternativa que se toman en serio la protección de datos. Nuestro sitio web no utiliza cookies.

Política de privacidad

La política de privacidad es un documento esencial que debe estar presente en todo sitio web corporativo. Informa a visitantes y clientes sobre qué datos personales se recogen, cómo se utilizan y almacenan y qué derechos tienen los interesados en relación con sus datos. Además, una política de privacidad clara y comprensible no es sólo una buena práctica empresarial, sino también una exigencia legal, especialmente a la luz de la nueva legislación sobre protección de datos. Debe actualizarse periódicamente para reflejar los nuevos requisitos legales o los cambios en las prácticas de tratamiento de datos.

Derecho sobre los datos personales

Toda persona tiene derecho a la información sobre los datos almacenados. Por regla general, esta información debe facilitarse en un plazo de 30 días y sin coste alguno para el interesado. Las personas tienen derecho a que se corrijan los datos inexactos o a solicitar su supresión. Sin embargo, estos derechos no son absolutos y están sujetos a restricciones, como la obligación de llevar registros.

Seguridad informática

Pasemos ahora al tema de este artículo: cómo proteger los datos. Como puede ver, hay varios lugares en una empresa donde se recogen datos y, por tanto, también se almacenan. Todo lo que se almacena en algún lugar puede ser robado, encriptado, cambiado o borrado. Con los medios técnicos necesarios, ahora es posible evitar cambios no deseados.

La introducción de la nueva Ley de Protección de Datos (nDSG) en Suiza ha aumentado significativamente la importancia de la seguridad informática en las empresas, especialmente en las pequeñas y medianas empresas (PYME). Aunque la seguridad informática siempre ha sido un factor crítico, el nDSG ha aumentado la urgencia de esta cuestión. Desde que la ley entró en vigor el 1 de septiembre de 2023, hemos recibido un aumento significativo de solicitudes de PYME que desean reforzar sus medidas de seguridad informática.

Que se ocupe otro

Muchas de las solicitudes que hemos recibido se refieren a la detección y respuesta gestionadas (MDR). Las empresas quieren ceder la responsabilidad y darse cuenta de que la seguridad informática no se hace simplemente con la instalación de un cortafuegos y el ya existente Windows Defender.

Por lo tanto, es obvio delegar esta tarea en proveedores de servicios externos que se ocupan del tema y de la caza de amenazas a tiempo completo, que no hacen otra cosa y que conocen muy bien el panorama. Se trata de una decisión acertada, ya que MDR proporciona una supervisión y respuesta proactivas a los incidentes de seguridad, lo que se ajusta a los requisitos del nDSG. Si ahora tiene otros sistemas en la empresa, también puede enviar estos datos de telemetría de terceros a Sophos. Esto significa que estos datos también pueden tenerse en cuenta para un análisis exhaustivo de la seguridad.

Sin embargo, se oye una y otra vez a personas que creen que pueden hacerlo por sí mismas y subestiman el alcance de este asunto. Aquí puedo recomendar este artículo con los videos y usted cambiará rápidamente de opinión: El documental del ransomware

Estoy hablando principalmente del punto final, pero por supuesto lo mismo se aplica al cortafuegos. La configuración, el mantenimiento, la auditoría y el pentest deben ser llevados a cabo por personal formado o, si no se dispone de él, subcontratado a un proveedor de servicios externo como nosotros.

Auditoría de seguridad – Pruebe una y otra vez

Mientras que la mayoría de la gente da por sentadas las inspecciones y el mantenimiento periódicos de sus coches, tal y como exige la ley, la seguridad informática suele descuidarse. En los tiempos que corren, cuando el panorama de las amenazas crece y cambia constantemente, es esencial poner a prueba constantemente los sistemas informáticos.

Las auditorías y pentests periódicos son un paso importante hacia una seguridad informática sólida. Mientras que las auditorías comprueban el cumplimiento de las políticas de seguridad, los pentests simulan ciberataques para identificar vulnerabilidades en el sistema. Ambos métodos son importantes para garantizar que las medidas de seguridad cumplen los requisitos actuales.

Algunas buenas prácticas de ciberseguridad

En nuestra reciente entrada de blog «Recomendaciones de Sophos – Buenas prácticas de ciberseguridad», destacamos varios puntos importantes para la seguridad informática. Muchos de estos puntos podrían entrar en la categoría de «negligencia» si no se respetan, especialmente a la luz de la nueva nDSG.

Obligación de informar

El FDPIC es el Comisionado Federal de Protección de Datos e Información de Suiza. Es una autoridad independiente que vigila y hace cumplir la protección de datos a nivel federal. En la nueva Ley de Protección de Datos (nDSG), la FDPIC desempeña un papel importante, ya que es responsable de supervisar el cumplimiento de la ley. En caso de violaciones de la protección de datos que supongan un alto riesgo para los interesados, éstas deben comunicarse a la FDPIC. También puede dar instrucciones e imponer sanciones si no se cumplen las disposiciones sobre protección de datos.

En virtud de la nDSG, los ciberataques que provoquen una violación de la seguridad de los datos deben notificarse a la FDPIC. Sobre todo si el ataque supone un alto riesgo para los derechos personales o fundamentales de las personas afectadas.

Se produce una violación de la seguridad de los datos cuando los datos personales se pierden, borran, destruyen, alteran o se hacen accesibles a personas no autorizadas de forma involuntaria o ilícita. Esto debe comunicarse al CIDF sin demora. La denuncia debe hacerse lo antes posible, normalmente en las 72 horas siguientes a que se tenga conocimiento del atentado. El FDPIC es la autoridad competente para recibir estos informes y seguir de cerca la situación. No obstante, el incidente también debe notificarse al NCSC: Notificar el incidente al Centro Nacional de Ciberseguridad (NCSC)

Un escenario de este tipo debe preverse con antelación y no sólo cuando se produce la emergencia.

Responsabilidad penal

En caso de infracciones intencionadas de la nDSG, como violaciones de los deberes de información, divulgación, cooperación o diligencia debida, los particulares pueden ser sancionados con multas de hasta 250.000 francos suizos. En el caso de infracciones en establecimientos comerciales, las empresas pueden ser multadas con hasta 50.000 francos suizos si la identificación de las personas infractoras supone un esfuerzo desproporcionado.

Esta es también la principal diferencia con el GDPR. En cuanto a la responsabilidad penal, hay que tener en cuenta especialmente que, a partir del 1 de septiembre de 2023, el incumplimiento de determinadas obligaciones dará lugar a responsabilidad penal, que no afectará a la empresa, sino a la persona física responsable de la misma. Las personas responsables pueden ser miembros de la dirección, así como otras personas autorizadas a tomar decisiones en la empresa o también aquellas personas que hayan cometido un incumplimiento de sus obligaciones (por ejemplo, violación de la confidencialidad). Sin embargo, según la legislación suiza, sólo es punible la comisión deliberada.

En Suiza pueden imponerse multas de hasta 250.000 francos suizos por diversos delitos contra la protección de datos, entre ellos:

  • Falta de transparencia o de política de privacidad
  • Falta de acuerdos contractuales con los procesadores de datos
  • Fallos en la seguridad de los datos, como medidas técnicas y organizativas inadecuadas.
  • Transferencia de datos personales a países sin suficiente protección de datos, sin garantías adicionales o sin una excepción válida, como el consentimiento.
  • Incumplimiento del deber de información
  • Desconocimiento del llamado «secreto profesional menor

La ley revisada de protección de datos de Suiza también prevé sanciones penales para las personas responsables de tales delitos.

Preguntas frecuentes sobre la nueva nDSG

¿Qué es la nueva Ley suiza de protección de datos?

Se trata de una revisión de la Ley de Protección de Datos de 1992, que entró en vigor el 1 de septiembre de 2023, para reforzar la protección de datos en Suiza y adaptarla al Reglamento General de Protección de Datos de la UE.

¿Cuáles son las sanciones por incumplimiento de las nDSG?

Las sanciones pueden llegar a 250.000 francos suizos, y también es posible imponer sanciones penales a particulares.

¿Qué significa «privacidad desde el diseño»?

Se trata de un principio en el que la protección y la seguridad de los datos se integran en la planificación y el desarrollo de los proyectos desde el principio.

¿Tienen las empresas que informar a los usuarios sobre el tratamiento de sus datos?

Sí, las empresas deben informar claramente a sus usuarios sobre qué datos se recogen y con qué fin.

¿Se aplica la nDSG también a las empresas situadas fuera de Suiza?

Sí, la ley tiene un alcance transfronterizo y se aplica a cualquier sitio web que procese datos personales de particulares en Suiza, independientemente de su ubicación.

¿Qué requisitos impone la nueva nDSG al consentimiento?

El consentimiento debe ser específico, informado y voluntario, y los usuarios deben poder dar su consentimiento para diferentes categorías de cookies.

¿A quién afecta la nueva ley de protección de datos?

La ley afecta a todos los que trabajan con datos personales. Esto se aplica a empresas, asociaciones, pero también a particulares, en la medida en que el uso de los datos vaya más allá de la esfera privada, como la familia y los amigos.

Descargo de responsabilidad ⚖️

Tenga en cuenta que este blogpost es sólo un breve resumen de los aspectos de la nueva ley de protección de datos que consideramos importantes. No somos juristas ni abogados. Para un asesoramiento jurídico completo, debe consultar a un abogado cualificado para asegurarse de que cumple todos los requisitos legales. Nuestra fuente principal aquí fue Admin.ch :: Comunicado de prensa :: Nueva ley de protección de datos a partir del 1 de septiembre de 2023

Patrizio
Patrizio

Suscribirse al boletín

Enviamos un boletín mensual con todas las entradas del blog de ese mes.