Ir al contenido
Avanet
Nueva Ley de Protección de Datos de Suiza (nDSG) – ¿Qué es extremadamente importante desde el 01.09.2023?

Nueva Ley de Protección de Datos de Suiza (nDSG) – ¿Qué es extremadamente importante desde el 01.09.2023?

La nueva Ley de Protección de Datos (nDSG) y sus ordenanzas asociadas entraron en vigor en Suiza el 1 de septiembre de 2023. La reforma adapta la protección de datos a la tecnología y a la sociedad actuales. Las personas deben poder comprender y controlar mejor cómo se utilizan sus datos. Esto era ya más que necesario si se tiene en cuenta que la antigua Ley de Protección de Datos databa de 1992. Google se fundó en 1998 y Facebook (Meta) salió online en 2004. A partir de ahí, como muy tarde, comenzó la recopilación de datos a gran escala 🐙. El RGPD también está en vigor desde mayo de 2018, y Suiza se ha puesto ahora al día, aunque con una diferencia esencial en materia de sanciones.

A continuación explicaré por qué la seguridad informática se vuelve aún más importante por este motivo y por qué muchos están reaccionando solo ahora.

¿Por qué era necesaria una nueva ley?

La nueva Ley de Protección de Datos de Suiza tiene dos objetivos principales:

  • Actualiza las normas para adaptarlas a las tecnologías actuales como la nube, las redes sociales, la IA, el Big Data y el IoT. De este modo, se pretende que las personas tengan más control sobre sus propios datos.
  • Asegura que la protección de datos en Suiza se eleve al nivel de la UE. Esto es importante para que el intercambio de datos entre Suiza 🇨🇭 y la UE 🇪🇺 pueda seguir siendo posible sin problemas. La ley también tiene en cuenta las regulaciones de la UE y los acuerdos internacionales de protección de datos.

¿Datos personales? ¡A mí no me concierne!

Afecta a cualquiera que trabaje con datos personales. Tanto en el trabajo como en una asociación o en la vida privada, salvo el ámbito de amigos y familia. En cuanto una información se refiere directa o indirectamente a una persona física determinada, se considera dato personal. Esto incluye no solo el nombre y la dirección, sino también datos como una dirección IP o una dirección de correo electrónico. Si estos datos se recopilan, almacenan, utilizan, modifican o eliminan, hablamos de tratamiento de datos y se aplica la Ley de Protección de Datos actualizada.

Privacidad desde el diseño y Privacidad por defecto

Privacy by Default” y “Privacy by Design” significan que las empresas deben incorporar la protección de datos en su tecnología y configuración desde el principio. Es decir, al desarrollar aplicaciones o sitios web, las reglas de protección de datos deben tenerse en cuenta ya en la fase de planificación. Además, los ajustes predeterminados deben ser siempre la opción más respetuosa con la privacidad. Por ejemplo, si una web tiene un área de miembros, el nombre del usuario no debería ser visible por defecto.

Minimizar la recopilación de datos a lo estrictamente necesario

Cuando se construye algo nuevo (Privacy by Default), naturalmente es más fácil tenerlo en cuenta; hacerlo a posteriori siempre resulta algo más laborioso. Es importante que los datos solo se utilicen para el fin para el que se recopilaron originalmente. Solo pueden utilizarse para otros fines si existe una razón sólida, como cumplir un contrato, o si la persona afectada da su consentimiento expreso.

Si los datos ya no son necesarios para el propósito original, deben eliminarse o anonimizarse sin demora.

Cookies 🍪

Lo molesto de las cookies y los banners de cookies asociados.

Las cookies son pequeños archivos de texto que los sitios web almacenan en el ordenador o dispositivo móvil del usuario. A menudo se utilizan para mejorar la experiencia del usuario, guardando configuraciones o rastreando el comportamiento del usuario. En la nueva Ley de Protección de Datos, las cookies son relevantes porque a menudo recopilan datos personales. Por lo tanto, la ley exige que los usuarios sean informados de forma clara y concisa sobre qué cookies se utilizan y con qué finalidad. Además, los usuarios deben dar su consentimiento antes de que se puedan establecer cookies. Las configuraciones predeterminadas que se ven en el banner de cookies deben ser respetuosas con la privacidad. Esto significa que solo las cookies absolutamente necesarias deben activarse automáticamente.

Sin embargo, operar un sitio web sin cookies que recopilen datos de usuario ya no es difícil. Gracias al RGPD, existen varias herramientas nuevas disponibles como alternativas que se toman en serio la protección de datos. Nuestro sitio web no utiliza cookies.

Política de privacidad

La declaración de privacidad es un documento esencial que debería estar presente en cualquier web corporativa. Informa a visitantes y clientes sobre qué datos personales se recopilan, cómo se utilizan y almacenan, y qué derechos tienen las personas afectadas respecto a sus datos. Además, una declaración de privacidad clara y comprensible no es solo una buena práctica empresarial, sino también una obligación legal, especialmente a la luz de las nuevas leyes de protección de datos. Debe actualizarse periódicamente para reflejar nuevos requisitos legales o cambios en las prácticas de tratamiento de datos.

El derecho sobre sus datos

Toda persona tiene derecho de acceso a los datos almacenados sobre ella. Esta información debe facilitarse, por regla general, en un plazo de 30 días y sin coste para la persona afectada. Las personas tienen derecho a solicitar la corrección de datos incorrectos o la eliminación de datos. Sin embargo, estos derechos no son absolutos y están sujetos a limitaciones, como las obligaciones de conservación.

Seguridad informática

Pasemos ahora al tema real de este artículo: cómo proteger los datos. Como puede ver, hay varias áreas en una empresa donde se recopilan y, por lo tanto, también se almacenan datos. Todo lo que se almacena en algún lugar puede ser robado, cifrado, modificado o eliminado. Con los medios técnicos necesarios, ahora tiene la oportunidad de evitar cambios no deseados.

La introducción de la nueva Ley de Protección de Datos (nDSG) en Suiza ha aumentado significativamente la importancia de la seguridad informática en las empresas, especialmente en las pequeñas y medianas empresas (PYMES). Aunque la seguridad informática siempre ha sido un factor crítico, la nDSG ha intensificado aún más la urgencia de este tema. Desde la entrada en vigor de la ley el 1 de septiembre de 2023, hemos recibido un aumento significativo de consultas de PYMES que buscan fortalecer sus medidas de seguridad informática.

Que se encargue otra persona

Muchas de las solicitudes que recibimos se referían al servicio Managed Detection and Response (MDR). Las empresas quieren delegar responsabilidades y reconocen que la seguridad informática no se resuelve simplemente instalando un firewall y el Windows Defender ya existente.

Por lo tanto, tiene sentido delegar esta tarea en proveedores externos que se dedican a tiempo completo al threat hunting, que no hacen otra cosa y que conocen muy bien este entorno. Es una decisión inteligente, porque MDR ofrece supervisión y respuesta proactivas ante incidentes de seguridad, algo alineado con los requisitos del nDSG. Si además existen otros sistemas en la empresa, también se pueden enviar estos datos de telemetría de terceros a Sophos. Esto significa que esos datos también pueden tenerse en cuenta para un análisis de seguridad completo.

Sin embargo, todavía se oye a gente que cree que puede hacerlo por su cuenta y subestima el alcance de este tema. Aquí recomiendo este artículo con los vídeos; probablemente cambie de opinión rápidamente: The Ransomware Documentary

Me refiero aquí principalmente al endpoint, pero lo mismo se aplica, por supuesto, también al firewall. La configuración, el mantenimiento, la auditoría y las pruebas de penetración deben ser realizadas por personal capacitado o, si no se dispone de él, subcontratadas a un proveedor de servicios externo como nosotros.

Auditoría de seguridad - Probar una y otra vez

Si bien la mayoría de las personas dan por sentadas las inspecciones y el mantenimiento regulares de sus automóviles, ya que así lo exige la ley, la seguridad informática a menudo se descuida. Sin embargo, precisamente en la actualidad, en la que el panorama de amenazas no deja de crecer y cambiar, es indispensable someter los sistemas informáticos a pruebas una y otra vez.

Un paso importante hacia una seguridad informática robusta son las auditorías y las pruebas de penetración periódicas. Mientras que las auditorías comprueban el cumplimiento de las directrices de seguridad, las pruebas de penetración simulan ciberataques para identificar vulnerabilidades en el sistema. Ambos métodos son importantes para garantizar que las medidas de seguridad cumplen los requisitos actuales.

Algunas de las mejores prácticas de ciberseguridad

En nuestra entrada de blog publicada recientemente “Recomendaciones de Sophos – Cybersecurity Best Practices”, destacamos varios puntos importantes para la seguridad informática. Muchos de estos puntos podrían entrar en la categoría de “negligencia” si no se tienen en cuenta, especialmente a la luz del nuevo nDSG.

Obligación de informar

El EDÖB es el Comisionado Federal de Protección de Datos y Transparencia de Suiza. Es una autoridad independiente que supervisa y hace cumplir la protección de datos a nivel federal. En la nueva Ley de Protección de Datos (nDSG), el EDÖB desempeña un papel importante, ya que es responsable de supervisar el cumplimiento de la ley. En caso de violaciones de la protección de datos que supongan un alto riesgo para las personas afectadas, deben notificarse al EDÖB. También puede emitir instrucciones e imponer sanciones si no se cumplen las disposiciones de protección de datos.

Centro Nacional de Ciberseguridad (NCSC) Reportar incidente
report.ncsc.admin.ch

En el marco del nDSG, los ciberataques que den lugar a una violación de la seguridad de los datos deben notificarse al EDÖB. Esto aplica especialmente cuando el ataque supone un alto riesgo para los derechos de la personalidad o los derechos fundamentales de las personas afectadas.

Se produce una violación de la seguridad de los datos cuando datos personales se pierden, eliminan, destruyen, modifican o hacen accesibles a personas no autorizadas de forma accidental o ilícita. Esto debe notificarse al EDÖB sin demora. La notificación debe realizarse lo antes posible, normalmente dentro de las 72 horas posteriores al conocimiento del ataque. El EDÖB es la autoridad competente para recibir estas notificaciones y seguir supervisando la situación. El incidente también debe notificarse al NCSC: Notificar un incidente al Centro Nacional de Ciberseguridad (NCSC)

Un escenario así debería ser considerado de antemano y no solo cuando se presente la emergencia.

Responsabilidad penal

En caso de infracciones intencionadas del nDSG, como el incumplimiento de obligaciones de información, acceso, cooperación o diligencia, las personas físicas pueden ser sancionadas con multas de hasta 250.000 CHF. En caso de infracciones en empresas, estas pueden ser multadas con hasta 50.000 CHF si identificar a las personas responsables implicara un esfuerzo desproporcionado y si para ellas solo se contemplara una multa máxima de 50.000 CHF.

Esta es también la diferencia esencial frente al RGPD. En relación con la responsabilidad penal, debe tenerse especialmente en cuenta que, desde el 1 de septiembre de 2023, la infracción de determinadas obligaciones puede dar lugar a una sanción que no recae en la empresa, sino en la persona física responsable. Las personas responsables pueden ser tanto miembros de la dirección como otras personas con poder de decisión en la empresa, o también aquellas personas que hayan cometido un incumplimiento de deberes, por ejemplo una violación de la confidencialidad. En el derecho suizo, sin embargo, solo se sanciona la conducta consciente.

En Suiza se puede imponer una multa de hasta 250.000 CHF por diversas infracciones en materia de protección de datos, entre ellas:

  • Falta de transparencia o política de privacidad ausente
  • Falta de acuerdos contractuales con los encargados del tratamiento de datos
  • Fallos en la seguridad de los datos, como medidas técnicas y organizativas (TOM) insuficientes
  • Transferencia de datos personales a países sin una protección de datos adecuada, sin precauciones de seguridad adicionales o sin una excepción válida, como un consentimiento
  • Incumplimiento de la obligación de proporcionar información
  • Incumplimiento del llamado “pequeño secreto profesional”

La Ley de Protección de Datos suiza revisada también prevé consecuencias penales para las personas responsables de tales delitos.

Preguntas frecuentes sobre la nueva nDSG

¿Qué es la nueva Ley de Protección de Datos de Suiza?

Es una revisión de la Ley de Protección de Datos de 1992, que entró en vigor el 1 de septiembre de 2023, para fortalecer la protección de datos en Suiza y adaptarla al Reglamento General de Protección de Datos de la UE.

¿Cuáles son las sanciones por infracciones de la nDSG?

Las sanciones pueden ascender hasta 250.000 CHF, siendo también posibles sanciones penales contra personas físicas.

¿Qué significa "Privacidad desde el Diseño"?

Es un principio en el que la protección y seguridad de los datos se integran desde el principio en la planificación y desarrollo de proyectos.

¿Las empresas deben informar a los usuarios sobre el tratamiento de sus datos?

Sí, las empresas deben informar a sus usuarios de forma clara y concisa sobre qué datos se recopilan y con qué finalidad.

¿La nDSG también se aplica a empresas fuera de Suiza?

Sí, la ley tiene un ámbito de aplicación transfronterizo y se aplica a cualquier sitio web que procese datos personales de personas en Suiza, independientemente de su ubicación.

¿Qué requisitos establece la nueva nDSG para el consentimiento?

El consentimiento debe ser específico, informado y voluntario, y los usuarios deben tener la opción de dar su consentimiento para diferentes categorías de cookies.

¿Quién se ve afectado por la nueva Ley de Protección de Datos?

Cualquier persona que trabaje con datos personales se ve afectada por la ley. Esto se aplica a empresas, asociaciones, pero también a personas privadas, siempre que el uso de los datos vaya más allá del ámbito privado, como la familia y los amigos.

Descargo de responsabilidad ⚖️

Tenga en cuenta que esta publicación de blog es solo un breve resumen de los aspectos de la nueva Ley de Protección de Datos que consideramos importantes. No somos expertos legales ni abogados. Para obtener un asesoramiento legal completo, debe consultar a un abogado calificado para asegurarse de que cumple con todos los requisitos legales. Nuestra fuente principal aquí fue Admin.ch :: Comunicado de prensa :: Nueva ley de protección de datos a partir del 1 de septiembre de 2023

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.