Suitzako FADP Berrikusitua 2026an: Cookieen Baimena, FDPIC Betearazpena eta Suitza-EB Datu Fluxuei buruzko Argitalpen eta Iragarleen Gida
Suitzako Datu Babesa Federaleko Lege Berrikusitua — revFADP, frantses eta alemanezko materialetan nFADP gisa ere ezagutzen dena — 2023ko irailaren 1ean indarrean sartu zen beste jurisdikzioek emandako urte anitzeko grazia-aldirako epea gabe, eta lehen hemezortzi hilabeteak Datu Babesa eta Informazio Komisario Federalak (FDPIC) publikoki behaketa-aldi gisa deskribatu zuen fase batean igaro zituen. Aldi hori amaitu da. 2025ean zehar FDPICk Suitzako eta atzerriko kontrolatzaileei buruzko ikerketa formal ikusgarrien multzo bat ireki zuen, lege berrikusituaren pean lehen argitaratutako erabakiak eman zituen, eta bere jarraibide operatiboak GDPRarekin lerrokatu zituen alderdi gehienetan, aldi berean Suitzaren posizio bereizgarriak zaintzen zituen gai zehatzetan — batez ere Estatu Batuetarako transferentzietan, ez-funtsezko cookieentzako baimenaren eginkizunean, eta erregimen administratiboaren ondoan dagoen erantzukizun penalaren ziurtapenean. 2026aren hasieran revFADP ez da jada GDPRren ahizpa isil bat, argitalpengileek beren EB programan biribilketa-akats gisa trata zezaketena. Suitzako pertsonen datu pertsonalak prozesatzen dituen edozein argitalpengilearentzat, iragarlearentzat edo plataformarentzat — Suitzar oinarrituta ala atzerritik Suitzako trafikoa zerbitzatzen den — 2026 urte da revFADP betebehar betebetarazi independente bihurtzen dena, bere auditua behar duena. Gida honek revFADP 2026an dagoen bezala aztertzen du, cookieen baimenaren suitzar legearen pean benetan zer eskatzen duen, 2024ko egokitasunaren birmoldaketaren ondoren trans-mugako transferentziak nola funtzionatzen duten, eta FDPICren betearazpen-gaiaren goiztiarrak 2026ko lehentasunei buruz zer agerian uzten duen.
RevFADPren Egitura 2026an
RevFADPk Suitzako 1992ko datu-babeseko araubidea ordezkatu zuen marko batekin, zeinak GDPRri estuki jarraitzen dion alderdi operatibo gehienetan, Suitzaren posizio bereizgarri batzuk gordez. Datu Babeseko Erregelamendu Berrikusitua (rev-OPDP) eta Datu Babeseko Ziurtagiriei buruzko Erregelamendua, biak revFADPrekin batera indarrean, xehetasun operatiboa osatzen dute.
Berrikusteek Zer Aldatu Zuen
Berrikuspena honako hauek sartu zituen: FDPICrako derrigorrezko hauste-jakinarazpena, kontrolatzaile gehienentzako prozesatze-erregistroaren betekizuna, arrisku handiko prozesatzerako datu-babesearen eraginen ebaluazioak, GDPRren 3(2) artikuluari antzeko lurralde-kanpoko irismena, indartu diren datu-subjektuen eskubideak, eta kontrolatze-erakundeari soilik ez, norbanakoengan aplikagarri den erantzukizun penalaren ziurtapena. Datu pertsonalen definizioa, legezko prozesatzearen oinarriak, eta datu-subjektuen eskubideen egitura guztiak GDPRrekin estuki lerrokatuta daude, zeinak GDPR programa batean jadanik ari diren argitalpengileentzat Suitzako betearazpena nabarmen errazten duen — baina ez du ezabatzen.
Nork Dago Araututa
RevFADP Suitzako datu-prozesatzeari eta Suitzako banakako pertsonak eragiten dituen Suitzatik kanpoko prozesatzeari aplikatzen zaio. Suitzako trafikoa zerbitzatzen duten atzerriko argitalpengileek tokalizatutako guneen bidez, .ch domeinu baten bidez, Suitzako ikuslego gaituetarako egindako alemanez-frantsesez-italieraz-erromantxez edukiaren bidez, edo Suitzako IPen aurka erositako programatikoaren bidez normalean aplikazio-eremuan daude, eta FDPICk 2025eko jarraibideen eguneratzeetan lurralde-kanpoko irakurketa baieztatu du.
Administrazio-Isuriak eta Erantzukizun Penalaren Ziurtapena
RevFADPren GDPRtiko gehien eztabaidatutako aldea da bere zigor-arkitektura batez ere administratiboa ez, kriminala dela. Norbanakoen isunak — normalean zuzendarietan, datu-babese arduradunengan edo betearazpen-burutan bezalako pertsona fisiko arduratsuan — borondatezko hausteen kasuan rikkumiko 250.000 CHF-ra iri daitezke, jokabide larrienari dagokionez erantzukizun penalarekin batera. Titular-muga absolutu terminoetan GDPRren lau-ehuneko zirkulazio-sabaipean dago, baina erantzukizunaren norabidea — izendatutako norbanakorantz soilik ez erakundea — arriskuen kalkulu praktikoan aldatzen du. Hainbat argitalpengile barne-sinadura-fluxuak berregituratu ditu 2025ean espesifiko esposizioa banatzeko.
Zer Zenbatzen Da Datu Pertsonal gisa RevFADPren Arabera
RevFADPren datu pertsonalen definizioak GDPRrena estuki jarraitzen du. Datu pertsonalak identifikatuta edo identifikagarria den pertsona bati erlazionatutako informazioa dira, eta FDPICk jarraiki tratatu ditu cookieak, publizitate-identifikatzaileak, IP helbideak, gailuen aztarnak eta jokabide-profilak datu pertsonal gisa, norbanako batekin zuzenean edo beste informazioarekin konbinaturik lotuta daitezkeenean.
Bereziki Sentikorra den Datu Pertsonalak
RevFADPk bereziki sentikorrak diren datu pertsonalak izeneko kategoria bat ezartzen du, GDPRren kategoria bereziak baino zertxobait zabalagoa dena. Honako hauek biltzen ditu: datu erlijiosoei, filosofikoei, politikoei edo sindikalgintzako ikuspegi eta jardueretan, osasun-datuak, intimitatearen esparruari edo arraza edo etnia jatorriari buruzko datuak, pertsona bakarka identifikatzen duten datu genetikoak eta biometrikoak, administrazio- eta zigor-prozedura edo -zigorrei buruzko datuak, eta gizartelaguntza-neurriei buruzko datuak. Bereziki sentikorrak diren datu pertsonalen prozesatzeak baimen eta gardentasun-betekizun handituak aktibatzen ditu.
Zergatik Cookieentzat Garrantzitsua Den
Ohiko publizitate-identifikatzaile bat gordetzen duen cookie bat ohiko datu pertsonalak dira. Bereziki sentikorra diren zerrendan ukitzen duen ikuslego-segmentu bat elikatzen duen cookie bat — osasun-interesak, joera politikoak, erlijio-afiliazioa — bereziki sentikorra diren datu pertsonalen prozesatzea da eta baiemen esplizitua eskatzen du, publizitate-orokorreko baimenaren fluxutik bereizita. Lista honekin gainjartzen den Suitzako hizkuntzako ikuslego-zehaztapenak zehaztasunez auditatu beharko lirateke mugarren aurka, zeinak GDPRren kategoria berezi mugaketa baino zertxobait desberdina baita.
Cookieen Baimena RevFADPren arabera 2026an
RevFADPk prozesatzearen hainbat oinarri legal onartzen ditu, eta EBko kide diren estatu berezietan aplikatutako ePrivacy Zuzentarauen ez bezala, Suitzar legeak ez du ez-funtsezko cookieen bakarrik-baimenean oinarritutako oinarri estatutorioa ezartzen. Praktikan, ordea, FDPICren 2024 eta 2025eko jarraibideak eta azken betearazpen-erabakiek publizitate, analitika eta testuinguru-arteko profilen lotutako cookieei dagokienez EB oinarriaren oso hurbil dagoen posizio batera elkartu dira.
FDPICren Posizio Operatiboa
FDPICren argitaratutako posizioa da ez-funtsezko cookieak — publizitate, birdeskubrimendua, gune arteko analitika eta pertsonalizazioa barne — cookie piztu baino lehen lortutako aldez aurreko, informatua, askatasunez emandako eta espezifikoa den baimenak eskatzen dituztela. Zorrozki beharrezkoak diren cookieak eta erabiltzaileak berariaz eskatu duen zerbitzu bat sostengatzen duten cookieak legezko interesaren oinarrian edo kontratuaren betearazpenaren oinarrian jar daitezke aldez aurreko baimen-galdeketa gabe, baina cookie bat zorrozki beharrezkotzat sailkatzeko karga kontrolatzailean dago eta 2025eko hainbat kexatan zalantzan jarri da.
Baimen Baliodunaren Elementuak
RevFADPren arabera baimena honako hau izango da:
- Askatasunez emandakoa — derrigortzerik, zerbitzu ezinbestekoaren hornidurarekin lotzarik edo cookieen horma baten bidez eduki nagusiaren sarbidea ez-funtsezko-cookieen onarpena baldintza gisa jartzea gabe
- Informatua — datu-subjektuak ulertzen du zer datu prozesatzen diren, nork, zein xedetan eta zein hartzailerekin
- Espezifikoa — argi identifikatutako prozesatze-xedeetara lotua, aterki-baimena ez
- Anbiguoa gabea — ekintza afirmatibo argi baten bidez adierazia, ez korritzetik, araketa jarraitutatik edo gelditasun egoeratatik ondorioztatua
- Esplizitua bereziki sentikorrak diren datu pertsonalei dagozkienetan, prozesatze sentikorraren baiemen bereiziekin
Suitzako Trafikorako CMP Bateragarri Batek Nolakoa Behar Duen Izan
Suitzarentzat konfiguratutako CMPak 2026an honakoa aurkeztu beharko luke:
- Erabiltzailearen hizkuntzan zerbitzatutako banner bat — alemanez, frantsesez, italieraz edo erromantxez — ez-funtsezko cookierik piztu baino lehen, hizkuntzaren hautaketak .ch guneko tokalizazioarekin bat datorrela, ez ingelesez lehenespenez
- Onartu, Ukatu eta Ezarpenak ekintzetarako ikusmen-nabarmentasun berdina — FDPICren 2025eko jarraibideek espresuki kritikatzen dituzte bannerren diseinuak non Ukatu Onartu baino ikusmen-dezago nagusitzen den
- Xede bakoitzeko granulatze-txandagailuak: analitika, publizitatea, pertsonalizazioa, trans-mugako transferentzia eta bereziki sentikorra diren kategoria guztiak
- Bereziki sentikorra diren datu pertsonalen prozesatze orokorentzako baimen-fluxu bereizi bat, bere ekintza baten bidez irekia eta orokorreko baimenetik ez bildua
- Hasierako aukeraketaren ondoren baimena erretiratzeko iraunkorra eta erraz aurkigarria den mekanismo bat, baimena emateko marruskadurarekin berdintasunez
- Kontrolatzailearen identitatea, prozesatzaileak, xedeak, hartzaileak, gordeketa-epeak, transferentzia-mekanismoak eta datu-subjektuen eskubideen bidea agerian uzten duen Suitzako hizkuntza osoko pribatutasun-oharra
Baimen Erregistroak
Kontrolatzaileek baimenaren froga mantendu behar dute — nork baimendu zuen, noiz, zein xede zehatzetarako eta zein interfazeren bidez. Baimenaren erregistro desegokiak 2025eko hainbat FDPICren ikerketa-gutunetan ageri ziren, eta aplikagarria den preskripzio-epearen iraupenerako gordeak dauden denbora-zigilua duten esportatu daitezkeen erregistroak oinarrizko itxaropena dira.
Trans-Mugako Transferentziak 2024ko Egokitasunaren Birmoldaketaren Ondoren
Trans-mugako datu-transferentziak revFADP arloa da non Suitzaren posizioak EB posiziotik gehien aldentzen den eta zertxobait atzeratzen den. 2024ko birmoldaketak EU-US Data Privacy Framework-aren EBren adoptazioaren ondoren Swiss-US Data Privacy Framework paralelo bat ekarri zuen, baina bere irismena eta baldintzak ez dira berdinak.
Aitorturiko Transferentzia-Mekanismoak
RevFADPk eta rev-OPDPk hainbat bide aitortzen dituzte:
- Egokitasun-erabakiak Suitzako Federazio Kontseiluak babes egokia ematen duten gisa ebaluatutako herrialdeetarako — uneko zerrendak EEA, Erresuma Batua eta beste jurisdikzio gutxi batzuk biltzen ditu
- Swiss-US Data Privacy Framework markopean auto-ziurtagiria duten AEBetako erakundeei transferentzietarako, zeinak Swiss-US Privacy Shield-a ordezkatu zuen 2024aren ondoren
- FDPICk aintzatetsi diren klausula kontraktoralak, FDPICk argitaratu zuen Suitzako gehigarrietako EU SCCak barne
- FDPICk onarturiko lotesleak diren arau korporatiboak
- Salbuespen zehatzak, agerian uztearekin baiemen esplizitua, kontratu-beharra, interes bizia eta interes publiko substantziala barne
Swiss-US DPF Praktikan
Swiss-US DPFk auto-ziurtagiriztatu diren eta ziurtagiria mantentzen duten AEBetako erakundeei transferentziak estaltzen ditu. Argitalpengileek DPF zerrendan AEBetako publizitate-teknologia edo analitika-saltoki bakoitzaren ziurtagiri-egoera aktiboa egiaztatu beharko lukete, behin egindako egiaztapenean fidatu beharrean, ziurtagiri iraungiek transferentzia lehenagokoak ez dituztelako erreten atzera-begira baliogabetzen baina jarraiko fluxuentzat berehalako konponketa eskatzen dute. Saltoki bat DPFren ziurtagiri gabea bada, EU SCCak FDPICren Suitzako gehigarriarekin lan-alternatiba izaten jarraitzen dute.
2026ko Ikuspegi Praktikoa
Argitalpengineen gehienentzat, lan-ikuspegia da Suitzako trafikotik bere heldu-herrialdea eta mekanismora trans-mugako datu-fluxu bakoitza mapatzea, DPF ziurtagiriak saltokia estaltzen ez duen lekuan SCCak-Suitzako-gehigarriarekin egokietan betearaztea, mekanismoa Suitzako hizkuntzako pribatutasun-oharrean dokumentatzea, eta egiturako mekanismoak prozesatzearekin garbi egokitzen ez diren lekuan soilik baimenean oinarritutako baimenekin osatzea.
Datu-Subjektuen Eskubideak RevFADPren Arabera
RevFADPk GDPRri estuki jarraitzen dioten eskubide multzo bat ematen du, Suitzaren kontorno batzuekin:
- Kontrolatzaileak duen datu pertsonaletarako sarbide-eskubidea, urteko lehen sarbide doainarekin eta hurrengo edo eskala handiko eskaeraren kostuak berreskuratzeko sabairekin
- Datu zehaztugabe edo osagabeak zuzentzeko eskubidea
- Ezabatzeko eskubidea
- Prozesatzea mugatzeko eskubidea
- Baimenaren edo kontratuaren arabera bide automatizatuen bidez prozesatutako datuen eramangarritasun-eskubidea
- Prozesatzearen aurka egiteko eskubidea
- Baimena erretiratzeko eskubidea
- Ondorio juridikoak edo antzeko garrantzitsuak sortzen dituen banakako erabaki automatizatupean egon ez izateko eskubidea, eskuzko berrikuspenaren babesekin
- FDPICri kexua aurkezteko edo prozedura zibila jartzeko eskubidea
Erantzun-Epeak
Kontrolatzaileek datu-subjektuen eskaerei erantzun behar diete oinarrizko markoan 30 eguneko epean, kasu konplexuetan arrazoizko jakinarazpenaren bidez luzagarria. Leiho honetarako operazional-prest egotea — alemanez, frantsesez eta italierazko Suitzako hizkuntza-tresnen eta exekuzio-gidaliburuekin — atzerriko argitalpengile-entzat ohiko hutsa da, zeinak bere programa Europako hizkuntza bakar batera doitu baitu.
Zigorrak eta Betearazpen-Jarrera 2026an
FDPICren betearazpen-jarduerak esanguratsuki eskalatu zuen 2024 eta 2025ean zehar, eta 2026ak ibilbidea jarraitzen du, plateatu beharrean.
Isun-Egitura
Isunak izaera penalekoak dira batez ere eta izendatutako norbanakoenganako zuzenduta — zuzendariak, DPOak, betearazpen-buruak — borondatezko rikkumiko 250.000 CHF-ko mugarekin. 2025eko betearazpenean gehien aipatutako kategoriak honakoak ziren: datu-subjektuei informazio nahikorik ez, trans-mugako transferentzietan ardura-hausteen arau-haustea, FDPICri datu-hauste-jakinarazpen eginbeharra ez betetzea beharrezko leihoan, eta FDPIC erabaki edo aginduekin ez-betetzea.
Erantzukizun Penalaren Ziurtapena
GDPRen ez bezala, revFADPren erantzukizun penalaren bidea soilik entitate juridikoa ez, erantzule den pertsona fisikoaren aurka da, zeinak 2025ean sinadura-fluxuen barne-berregiturapen handia bultzatu baitu. Efektu praktikoa da betetze-ziurtagiriak eta ikuskatze-pisten garrantzia ez dela soilik erakundearen esposizioa baizik eta norbanakoaren esposizioa ere — eta DPOak bereziki dokumentazio-praktikak egokitu dituzte hori islatzeko.
Betearazpen-Gaiak
FDPICren 2025 eta 2026 hasierako ekintzak honakoen inguruan biltzen dira: Ukatu ekintza gutxiesten duten edo aurrez markatutako koadroak erabiltzen dituzten cookie bannerrak, erabiltzailearen Suitzako hizkuntza nazionalean eskuragarri ez dauden pribatutasun-oharak, DPF ziurtagiria ez duten eta alternatibo mekanismorik gabeko AEBetako saltokiei trans-mugako transferentziak, 30 eguneko leihoan datu-subjektuen eskaeretara erantzunez huts egitea, eta atzeratutako edo falta diren hauste-jakinarazpenak. Atzerriko argitalpengileek bost kategorietatik guztietan aipatu dira, banner-diseinuaren eta trans-mugako transferentzen kategoriak lehenbizikoak direlarik.
Suitzako Trafikorako 2026an Auditatu Zerrenda
- CMP bannerra erabiltzailearen Suitzako hizkuntza nazionalean (DE, FR, IT edo RM) zerbitzatzen da, Onartu, Ukatu eta Ezarpenak ikusmen-nabarmentasun berdinarekin
- Baimen-xedeak granularrak dira eta bereziki sentikorra diren prozesatzea bere baimen-fluxuaren atzean bereizita
- Pribatutasun-oharra Suitzako hizkuntza garrantzitsu bakoitzean eskuragarri da kontrolatzaileari, prozesatzaileei, xedeei, gordeketa-epeari, eskubideei eta FDPICren kexarako bideari buruzko agerian uztearekin
- Suitzako trafikotiko trans-mugako fluxu bakoitza bere helmugara eta mekanismora mapatuta dago — egokitasuna, Swiss-US DPF ziurtagiria, FDPIC-Suitzako-gehigarriarekin SCCak, BCRak edo dokumentatutako salbuespena
- AEBetako saltokiaren DPF ziurtagiri-egoera berriz egiaztatzen da argitaratutako zerrendan, behin hartu eta ahaztu beharrean
- Baimen-erregistroak denbora-zigilua dute, esportatu daitezkeenak dira eta aplikagarria den preskripzio-epearako gordeak daude
- Datu-subjektuen eskaera-fluxuak 30 egun barruan alemanez, frantsesez eta italieraz erantzun dezake
- Hauste-jakinarazpenaren gidaliburua revFADPren denbora-tarteetara doitua eta barne-intzidenteen erantzun-prozesuarekin integratua dago
- Sinadura-fluxuak norbanakoen erantzukizun penalaren arkitektura islatzen dute izendatutako onartzaileekin eta dokumentazio-pista
- Bereziki-sentikorra-kategoriako ikuslego-segmentuak berariaz jasotako baiemen esplizituaren atzean gordeak daude
- Cookieen sailkapena FDPICren jarraibideen arabera zein cookieak zorrozki beharrezko gisa egiazki sailkatzen diren ikuspegi kritikoa izan duen berrikuspen batekin
2026ko Perspektiba
Suitzako datu-babeseko araubidea errespetatutako-baina-isil lehenagoko estatututik betearazpen-gaitasuna, arauzko zehaztasun operatiboa eta norbanakoen erantzukizun penalaren arkitektura dituen lan-tresna batera hazi da, zeinek bere EB programan bakarrik ez, baizik eta bere kabuz betearazpen-lehentasunak moldatzen dituen. 2024ko egokitasunaren birmoldaketak AEBetako transferentziei buruzko egitura-hutsune garrantzitsuena itxi zuen, eta FDPICren eskalatutako 2025eko betearazpen-jarrera modu iraunkorrean gorantz eskalatzen ari den erregulatzaile batekin koherentea da, kanpaina bakarra exekutatu beharrean. GDPR-kalitatearen baimen-pila bat jadanik exekutatzen ari diren argitalpengileentzat, revFADP betetzearen arrakala beste ez-EB jurisdikziotan baino estuagoa da — baina erreala da, eta zehatzetan bizi da: Suitzako hizkuntza bannerrak eta oharrak, DPF-versus-SCC AEBetako saltoki bakoitzeko mapaketa, bereziki sentikorra diren kategorien lerroa zertxobait desberdina, hiru edo lau hizkuntzetan 30 eguneko erantzun-erritmoa, eta norbanakoen sinadura-dokumentazioa derrigorrezko betebehartzat bilakatzen duen erantzukizun penalaren arkitektura. Arrakala astean itxi daiteke lehentasuna emanez, eta Suitzako argitalpengileen CPMek lehentasuna ekonomikoki bideragarri egiten dute. 2024ra arte Suitza GDPR pasabide gisa tratatu zuten argitalpengileek 2026 nabarmen eskatuagoa aurkitzen ari dira, eta joera argia da.