L'estructura de la revFADP el 2026

La revFADP va substituir el règim de protecció de dades suís de 1992 per un marc que segueix de prop el GDPR en la majoria d'aspectes operatius, mantenint alhora un grapat de posicions clarament suïsses. L'Ordenança revisada de protecció de dades (rev-OPDP) i l'Ordenança sobre certificacions de protecció de dades, ambdues en vigor juntament amb la revFADP, omplen els detalls operatius.

Què va canviar la revisió

La revisió va introduir: la notificació obligatòria de violacions al FDPIC, un requisit de registre de tractament per a la majoria de responsables, avaluacions d'impacte de protecció de dades per al tractament d'alt risc, un abast veritablement extraterritorial similar a l'article 3(2) del GDPR, drets dels interessats enfortits i un mecanisme de responsabilitat penal aplicable a persones físiques i no només a l'organització controladora. La definició de dades personals, les bases del tractament legítim i l'estructura dels drets dels interessats estan tots alineats estretament amb el GDPR, la qual cosa simplifica materialment el compliment suís per als editors que ja estan executant un programa GDPR, però no l'elimina.

Qui està regulat

La revFADP s'aplica al tractament de dades a Suïssa i al tractament fora de Suïssa que afecta persones a Suïssa. Els editors estrangers que donen servei al trànsit suís a través de llocs localitzats, un domini .ch, contingut en alemany-francès-italià-romanx adaptat a audiències suïsses o inventari programàtic comprat contra IP suïsses estan normalment dins de l'àmbit, i el FDPIC ha confirmat la lectura extraterritorial en les seves actualitzacions de directrius del 2025.

Multes administratives i el mecanisme penal

La desviació de la revFADP del GDPR més comentada és que la seva arquitectura de sancions és principalment penal i no administrativa. Les multes individuals — normalment a les persones físiques responsables com ara directors, delegats de protecció de dades o responsables de compliment — poden arribar fins a CHF 250.000 per infracció en el cas d'infraccions intencionals, amb responsabilitat penal paral·lela per als actes més greus. El límit és inferior al plafó del quatre per cent del volum de negoci del GDPR en termes absoluts, però la direcció de la responsabilitat — cap a la persona física concreta i no només a l'organització — canvia el càlcul de riscos a la pràctica. Diversos editors van reestructurar els fluxos de treball interns d'aprovació el 2025 específicament per distribuir l'exposició.

Què compta com a dades personals en virtut de la revFADP

La definició de dades personals de la revFADP segueix de prop el GDPR. Les dades personals és la informació relativa a una persona identificada o identificable, i el FDPIC ha tractat de manera consistent les galetes, els identificadors publicitaris, les adreces IP, les empremtes digitals dels dispositius i els perfils de comportament com a dades personals quan es poden vincular a una persona directament o per combinació amb altra informació.

Dades personals especialment sensibles

La revFADP designa una categoria anomenada dades personals especialment sensibles que és una mica més àmplia que les categories especials del GDPR. Inclou: dades sobre opinions i activitats religioses, filosòfiques, polítiques o sindicals, dades de salut, dades sobre l'esfera íntima o l'origen racial o ètnic, dades genètiques i biomètriques que identifiquen de forma única una persona, dades sobre procediments i sancions administratius i penals, i dades sobre mesures d'assistència social. El tractament de dades personals especialment sensibles activa requisits elevats de consentiment i transparència.

Per què això és important per a les galetes

Una galeta que emmagatzema un identificador publicitari rutinari és dades personals ordinàries. Una galeta que alimenta un segment d'audiència que toca la llista especialment sensible — interessos de salut, tendències polítiques, filiació religiosa — és tractament de dades personals especialment sensibles i requereix consentiment explícit, separat del flux de consentiment publicitari general. El disseny d'audiència en llengua suïssa que es superposa a aquesta llista hauria de ser auditat específicament contra el límit, que es traça de manera lleugerament diferent de la línia de categoria especial del GDPR.

Consentiment de galetes en virtut de la revFADP el 2026

La revFADP permet diverses bases legals per al tractament, i a diferència de la Directiva ePrivacy tal com s'aplica als estats membres de la UE, la llei suïssa no imposa una línia de base únicament per consentiment estatutari per a galetes no essencials. A la pràctica, però, les directrius del FDPIC del 2024 i el 2025 i les decisions d'aplicació més recents han convergit en una posició molt propera a la línia de base de la UE per a galetes vinculades a publicitat, analítica i creació de perfils de context creuat.

La posició operativa del FDPIC

La posició publicada del FDPIC és que les galetes no essencials — incloses les de publicitat, retargeting, analítica entre llocs i personalització — requereixen un consentiment previ, informat, lliurement atorgat i específic capturat abans que s'activi la galeta. Les galetes estrictament necessàries i les galetes que suporten un servei que l'usuari ha demanat explícitament es poden establir sobre la base de l'interès legítim o sobre la base del compliment del contracte sense una invitació de consentiment prèvia, però la càrrega de classificar una galeta com a estrictament necessària recau sobre el responsable i ha estat qüestionada en diverses reclamacions del 2025.

Els elements del consentiment vàlid

El consentiment en virtut de la revFADP ha de ser:

• Lliurement atorgat — sense coacció, agrupació amb la provisió essencial de serveis o un mur de galetes que condicioni l'accés al contingut bàsic a l'acceptació d'una galeta no essencial
• Informat — l'interessat entén quines dades es processen, per part de qui, amb quina finalitat i a quins destinataris
• Específic — vinculat a finalitats de tractament clarament identificades en lloc d'un consentiment genèric
• Inequívoc — expressat a través d'un acte afirmatiu clar, no inferit del desplaçament, la navegació continuada o la inactivitat
• Explícit en els casos que involucren dades personals especialment sensibles, amb consentiment separat per al tractament sensible

Com és una CMP compliant per al trànsit suís

Una CMP configurada per a Suïssa el 2026 ha de presentar:

• Un bàner servit en la llengua de l'usuari — alemany, francès, italià o romanx — abans que s'activi qualsevol galeta no essencial, amb la selecció d'idioma que coincideixi amb la localització del lloc .ch en lloc de recórrer per defecte a l'anglès
• Equal visual prominence for Accept, Reject, and Settings actions — les directrius del FDPIC del 2025 critiquen explícitament els dissenys de bàners on Reject es presenta visualment menys destacat en relació a Accept
• Commutadors granulars per finalitat: analítica, publicitat, personalització, transferència transfronterera i qualsevol categoria especialment sensible
• Un flux de consentiment separat per a qualsevol tractament de dades personals especialment sensibles, tancat darrere la seva pròpia acció en lloc d'agrupat en el consentiment general
• Un mecanisme persistent i fàcilment accessible per retirar el consentiment després de l'elecció inicial, amb paritat de fricció amb l'atorgament del consentiment
• Un avís de privacitat complet en llengua suïssa que reveli la identitat del responsable, els encarregats, les finalitats, els destinataris, els períodes de retenció, els mecanismes de transferència i la via dels drets dels interessats

Registres de consentiment

Els responsables han de conservar evidència del consentiment — qui va donar el consentiment, quan, a quines finalitats concretes i a través de quina interfície. Els registres de consentiment inadequats van figurar en diverses cartes d'investigació del FDPIC el 2025, i els registres exportables amb marca de temps retinguts durant el període del termini de prescripció aplicable són l'expectativa de referència.

Transferències transfrontereres després del realiniament d'adequació del 2024

Les transferències de dades transfrontereres són l'àrea de la revFADP on la posició suïssa s'aparta de manera més clara de la posició de la UE, i lleugerament per darrere. El realiniament del 2024 que va seguir l'adopció per part de la UE del EU-US Data Privacy Framework va produir un Swiss-US Data Privacy Framework paral·lel, però el seu abast i condicions no són idèntics.

Els mecanismes de transferència reconeguts

La revFADP i la rev-OPDP reconeixen diverses vies:

• Decisions d'adequació del Consell Federal Suís per a països avaluats com a que proporcionen una protecció adequada — la llista actual inclou l'EEA, el Regne Unit i un grapat d'altres jurisdiccions
• El Swiss-US Data Privacy Framework per a transferències a organitzacions dels EUA autocertificades en virtut del marc, que va substituir el Swiss-US Privacy Shield després del 2024
• Clàusules contractuals tipus (SCC) reconegudes pel FDPIC, incloses les SCC de la UE amb un apèndix suís que el FDPIC va publicar
• Normes corporatives vinculants (BCR) aprovades pel FDPIC
• Exempcions específiques que inclouen el consentiment explícit amb divulgació adequada, la necessitat del contracte, l'interès vital i l'interès públic substancial

El Swiss-US DPF a la pràctica

El Swiss-US DPF cobreix les transferències a organitzacions dels EUA que s'han autocertificat i han mantingut la seva certificació. Els editors haurien de verificar l'estat de certificació activa de cada proveïdor de tecnologia publicitària o d'analítica dels EUA a la llista del DPF en lloc de confiar en una comprovació única, perquè les certificacions caducades no invaliden retroactivament les transferències anteriors però sí requereixen una solució immediata per als fluxos en curs. Quan un proveïdor no té certificació DPF, les SCC de la UE amb l'apèndix suís del FDPIC segueixen sent l'alternativa operativa.

L'enfocament pràctic del 2026

Per a la majoria d'editors, l'enfocament operatiu és mapejar cada flux de dades transfronterer del trànsit suís al seu país de destinació i mecanisme, executar les SCC-amb-apèndix-suís adequades quan la certificació DPF no cobreixi el proveïdor, documentar el mecanisme en l'avís de privacitat en llengua suïssa i complementar amb autorització basada en consentiment únicament quan els mecanismes estructurats no s'ajusten bé al tractament.

Drets dels interessats en virtut de la revFADP

La revFADP atorga un conjunt de drets que segueixen de prop el GDPR, amb alguns contorns específicament suïssos:

• Dret d'accés a les dades personals en poder del responsable, amb un primer accés gratuït per any i un límit de recuperació de costos per a sol·licituds posteriors o d'ampli abast
• Dret de rectificació de dades inexactes o incompletes
• Dret de supressió
• Dret a limitar el tractament
• Dret a la portabilitat de les dades tractades per mitjans automatitzats sobre consentiment o contracte
• Dret d'oposició al tractament
• Dret a retirar el consentiment
• Dret a no ser objecte de presa de decisions individuals automatitzades que produeixin efectes legals o similàriament significatius, amb una salvaguarda per a la revisió manual
• Dret a presentar una reclamació al FDPIC o a iniciar procediments civils

Terminis de resposta

Els responsables han de respondre a les sol·licituds dels interessats en un termini de 30 dies en virtut del marc general, ampliable per una notificació motivada en casos complexos. La preparació operativa per a aquesta finestra — amb eines en llengua suïssa i manuals d'operació en alemany, francès i italià — és una lacuna habitual per als editors estrangers que han adaptat el seu programa a una única llengua europea.

Sancions i postura d'aplicació el 2026

L'activitat d'aplicació del FDPIC es va intensificar significativament durant el 2024 i el 2025, i el 2026 continua la trajectòria en lloc d'estabilitzar-se.

L'estructura de les multes

Les multes són principalment de naturalesa penal i dirigides a persones físiques concretes — directors, DPOs, responsables de compliment — amb un límit de CHF 250.000 per infracció intencional. Les categories més citades en l'aplicació del 2025 eren: informació insuficient als interessats, incompliment del deure de diligència en les transferències transfrontereres, incompliment del deure de notificar violacions de dades al FDPIC dins del termini requerit, i incompliment de decisions o ordres del FDPIC.

El mecanisme de responsabilitat penal

A diferència del GDPR, la via de responsabilitat penal de la revFADP és contra la persona física responsable i no únicament contra l'entitat jurídica, la qual cosa va provocar una reestructuració interna substancial dels fluxos de treball d'aprovació el 2025. L'efecte pràctic és que les atestacions de compliment i els rastres d'auditoria importen no sols per a l'exposició de l'organització sinó també per a l'exposició de la persona física — i els DPOs en particular han adaptat la pràctica de documentació per reflectir-ho.

Temes d'aplicació

Les actuacions del FDPIC del 2025 i principis del 2026 s'agrupen al voltant de: bàners de galetes que minimitzen visualment l'acció Rebutjar o utilitzen caselles preseleccionades, avisos de privacitat no disponibles en la llengua nacional suïssa de l'usuari, transferències transfrontereres a proveïdors dels EUA que no estan certificats pel DPF i no tenen mecanisme alternatiu, no respondre a sol·licituds dels interessats dins del termini de 30 dies, i notificacions de violació tardanes o inexistents. Els editors estrangers han estat citats en les cinc categories, amb les categories de disseny de bàners i transferències transfrontereres liderant el calendari.

Llista de verificació d'auditoria per al trànsit suís el 2026

• El bàner de la CMP es serveix en la llengua nacional suïssa de l'usuari (DE, FR, IT o RM) amb igual prominència visual per a Acceptar, Rebutjar i Configuració
• Les finalitats del consentiment són granulars i separen el tractament especialment sensible darrere del seu propi flux de consentiment
• L'avís de privacitat és accessible en cada llengua suïssa rellevant amb divulgació completa del responsable, encarregats, finalitats, retenció, drets i via de reclamació al FDPIC
• Cada flux transfronterer del trànsit suís està mapejat al seu país de destinació i mecanisme — adequació, certificació Swiss-US DPF, SCC amb apèndix suís del FDPIC, BCR o exempció documentada
• L'estat de certificació DPF del proveïdor dels EUA es re-verifica a la llista publicada en lloc de ser pres una vegada i oblidat
• Els registres de consentiment estan marcats en el temps, exportables i retinguts durant el període del termini de prescripció aplicable
• El flux de treball de sol·licituds dels interessats pot respondre en 30 dies de principi a fi, en alemany, francès i italià
• El manual de notificació de violacions està adaptat als terminis de la revFADP i integrat amb el procés intern de resposta a incidents
• Els fluxos de treball d'aprovació reflecteixen l'arquitectura de responsabilitat-penal-a-l'individual, amb aprovadors nomenats i rastre de documentació
• Els segments d'audiència de categories especialment sensibles estan tancats darrere un consentiment explícit capturat per separat
• La classificació de galetes ha estat revisada amb un ull crític sobre quines galetes es qualifiquen realment com a estrictament necessàries en virtut de les directrius del FDPIC

Les perspectives del 2026

El règim de protecció de dades de Suïssa ha evolucionat d'un estatut antic respectat però silenciós a un instrument de treball amb l'especificitat operativa, la capacitat d'aplicació i l'arquitectura de responsabilitat penal per donar forma a les prioritats de compliment de manera independent en lloc de simplement dependre del programa de la UE. El realiniament d'adequació del 2024 va tancar la lacuna estructural més important al voltant de les transferències als EUA, i la postura d'aplicació creixent del FDPIC del 2025 és coherent amb un regulador que escala de manera sostinguda en lloc de dur a terme una campanya puntual. Per als editors que ja estan executant una pila de consentiment de nivell GDPR, la distància per al compliment de la revFADP és menor que la distància per a qualsevol altra jurisdicció no-UE — però és real, i viu en els detalls: bàners i avisos en llengua suïssa, mapeig DPF versus SCC per a cada proveïdor dels EUA, la línia lleugerament diferent de la categoria especialment sensible, el ritme de resposta de 30 dies en tres o quatre idiomes i l'arquitectura de responsabilitat penal que fa de la documentació d'aprovació individual un artefacte de compliment de primera classe i no una cosa desitjable però opcional. La bretxa es pot tancar en setmanes si es prioritza, i els CPM suïssos de publishers fan que la prioritzat sigui econòmicament clara. Els editors que van tractar silenciosament Suïssa com a passthrough del GDPR fins el 2024 troben el 2026 significativament més exigent, i la tendència és clara.