A estrutura da revFADP en 2026

A revFADP substituíu o réxime de protección de datos suízo de 1992 por un marco que segue de preto o RGPD na maioría dos aspectos operativos ao tempo que preserva un puñado de posicións distintamente suízas. O Regulamento revisado de Protección de Datos (rev-OPDP) e o Regulamento de Certificacións en materia de Protección de Datos, ambos en vigor xunto á revFADP, completan o detalle operativo.

O que a revisión cambiou

A revisión introduciu: notificación obrigatoria de infraccións ao FDPIC, un requisito de rexistro de actividades de tratamento para a maioría dos controladores, avaliacións de impacto sobre a protección de datos para tratamentos de alto risco, un ámbito de aplicación extraterritorial efectivo similar ao artigo 3(2) do RGPD, dereitos reforzados dos interesados, e un respaldo de responsabilidade penal aplicable a persoas físicas en lugar de só á organización controladora. A definición de datos persoais, as bases para o tratamento lícito e a estrutura dos dereitos dos interesados están todas estreitamente aliñadas co RGPD, o que simplifica materialmente o cumprimento suízo para os editores que xa contan cun programa RGPD, sen eliminalo.

Quen está regulado

A revFADP aplícase ao tratamento de datos en Suíza e ao tratamento fóra de Suíza que afecta a persoas en Suíza. Os editores estranxeiros que serven tráfico suízo mediante sitios localizados, un dominio .ch, contido en alemán-francés-italiano-romanche adaptado aos públicos suízos, ou inventario programático adquirido fronte a IP suízas están tipicamente no ámbito, e o FDPIC confirmou a lectura extraterritorial nas súas actualizacións de orientacións de 2025.

Multas administrativas e o respaldo penal

A divergencia máis comentada da revFADP con respecto ao RGPD é que a súa arquitectura sancionadora é principalmente penal e non administrativa. As multas individuais — típicamente sobre as persoas físicas responsables, como directores, delegados de protección de datos ou responsables de cumprimento — poden alcanzar ata 250 000 CHF por infración intencional, con responsabilidade penal paralela para as condutas máis graves. O límite máximo é inferior en termos absolutos ao límite do catro por cento do volume de negocio do RGPD, pero a dirección da responsabilidade — cara á persoa nomeada en vez de só á organización — modifica o cálculo do risco na práctica. Varios editores reestruturaron os fluxos de traballo internos de aprobación en 2025 especificamente para distribuír a exposición.

Que conta como datos persoais conforme á revFADP

A definición de datos persoais da revFADP segue de preto o RGPD. Os datos persoais son información relativa a unha persoa identificada ou identificable, e o FDPIC tratou consistentemente as cookies, os identificadores publicitarios, os enderezos IP, as pegadas de dispositivos e os perfís de comportamento como datos persoais cando poden vincularse a un individuo directamente ou por combinación con outra información.

Datos persoais especialmente sensibles

A revFADP designa unha categoría denominada datos persoais especialmente sensibles, algo máis ampla que as categorías especiais do RGPD. Inclúe: datos sobre opinións e actividades relixiosas, filosóficas, políticas ou sindicais, datos de saúde, datos sobre a esfera íntima ou a orixe racial ou étnica, datos xenéticos e biométricos que identifican de xeito único a unha persoa, datos sobre procedementos e sancións administrativos e penais, e datos sobre medidas de asistencia social. O tratamento de datos persoais especialmente sensibles desencadea requisitos reforzados de consentimento e transparencia.

Por que isto importa para as cookies

Unha cookie que almacena un identificador publicitario ordinario é un dato persoal ordinario. Unha cookie que alimenta un segmento de audiencia que toca a lista especialmente sensible — intereses de saúde, tendencias políticas, afiliación relixiosa — constitúe tratamento de datos persoais especialmente sensibles e require consentimento explícito, separado do fluxo xeral de consentimento publicitario. O dirixido de audiencias en lingua suíza que se solapa con esta lista debería ser auditado específicamente en relación co límite, que está trazado de xeito lixeiramente diferente ao da liña de categoría especial do RGPD.

Consentimento de cookies conforme á revFADP en 2026

A revFADP permite varias bases xurídicas para o tratamento, e a diferenza da Directiva ePrivacy tal como se aplica nos estados membros da UE, o dereito suízo non impón unha base legal exclusivamente baseada no consentimento para as cookies non esenciais. Na práctica, porén, as orientacións do FDPIC de 2024 e 2025 e as decisións de aplicación máis recentes converxeron nunha posición moi próxima á liña base da UE para as cookies vinculadas á publicidade, a analítica e a creación de perfís cruzados.

A posición operativa do FDPIC

A posición publicada do FDPIC é que as cookies non esenciais — incluída a publicidade, o retargeting, a analítica entre sitios e a personalización — requiren un consentimento previo, informado, libremente prestado e específico recollido antes de que a cookie se active. As cookies estritamente necesarias e as cookies que dan soporte a un servizo que o usuario solicitou explicitamente poden establecerse sobre a base do interese lexítimo ou sobre a base da execución do contrato sen un aviso previo de consentimento, pero a carga de clasificar unha cookie como estritamente necesaria recae no controlador e foi cuestionada en varias reclamacións de 2025.

Os elementos do consentimento válido

O consentimento conforme á revFADP debe ser:

• Prestado libremente — sen coerción, vinculación á prestación de servizos esenciais, nin un muro de cookies que condicione o acceso ao contido principal á aceptación dunha cookie non esencial
• Informado — o interesado comprende qué datos se tratan, por quen, con que finalidade e a qué destinatarios
• Específico — vinculado a finalidades de tratamento claramente identificadas en vez dun consentimento global
• Non ambiguo — expresado mediante un acto afirmativo claro, non inferido do desprazamento, da navegación continuada ou da inactividade
• Explícito nos casos que impliquen datos persoais especialmente sensibles, con consentimento separado para o tratamento sensible

Como debe ser un CMP conforme para o tráfico suízo

Un CMP configurado para Suíza en 2026 debe presentar:

• Un banner servido no idioma do usuario — alemán, francés, italiano ou romanche — antes de que se active calquera cookie non esencial, cunha selección de idioma que coincida coa localización do sitio .ch en vez de adoptar o inglés por defecto
• Igual prominencia visual para as accións Aceptar, Rexeitar e Configuración — as orientacións do FDPIC de 2025 critican explicitamente os deseños de banners nos que Rexeitar está visualmente deenfatizado en relación con Aceptar
• Controis granulares por finalidade: analítica, publicidade, personalización, transferencia transfronteiriza e calquera categoría especialmente sensible
• Un fluxo de consentimento separado para calquera tratamento de datos persoais especialmente sensibles, protexido detrás da súa propia acción en vez de agrupado no consentimento xeral
• Un mecanismo permanente e fácil de atopar para retirar o consentimento tras a elección inicial, coa mesma fricción que a prestación do consentimento
• Un aviso de privacidade completo en lingua suíza que divulgue a identidade do responsable, os encargados, as finalidades, os destinatarios, os prazos de conservación, os mecanismos de transferencia e a vía dos dereitos dos interesados

Rexistros de consentimento

Os responsables do tratamento deben manter evidencias do consentimento — quen consintiu, cando, para qué finalidades específicas e a través de qué interface. Os rexistros de consentimento insuficientes apareceron en varias cartas de investigación do FDPIC en 2025, e os rexistros exportables con marca temporal conservados durante o período de estatuto de limitacións aplicable son a expectativa de referencia.

Transferencias transfronteirizas tras o realineamento de adecuación de 2024

As transferencias transfronteirizas de datos son a área da revFADP onde a posición suíza se aparta máis claramente, e con certo retraso, da posición da UE. O realineamento de 2024 tras a adopción pola UE do EU-US Data Privacy Framework produciu un Swiss-US Data Privacy Framework paralelo, mais a súa alcance e condicións non son idénticos.

Os mecanismos de transferencia recoñecidos

A revFADP e a rev-OPDP recoñecen varias vías:

• Decisións de adecuación do Consello Federal Suízo para países avaliados como que proporcionan protección adecuada — a lista actual inclúe o EEE, o Reino Unido e un puñado doutras xurisdicións
• O Swiss-US Data Privacy Framework para transferencias a organizacións estadounidenses autocertificadas ao abeiro do marco, que substituíu o Swiss-US Privacy Shield despois de 2024
• Cláusulas contractuais estándar recoñecidas polo FDPIC, incluídas as SCC da UE cun anexo suízo publicado polo FDPIC
• Normas corporativas vinculantes aprobadas polo FDPIC
• Exencións específicas incluído o consentimento explícito con divulgación adecuada, a necesidade contractual, o interese vital e o interese público substancial

O Swiss-US DPF na práctica

O Swiss-US DPF cobre as transferencias a organizacións estadounidenses que se autocertificaron e mantiveron a súa certificación. Os editores deben verificar o estado de certificación activa de cada provedor estadounidense de tecnoloxía publicitaria ou analítica na lista DPF en vez de confiar nunha comprobación única, porque as certificacións caducadas non invalidan retroactivamente as transferencias anteriores pero requiren remediación inmediata para os fluxos en curso. Cando un provedor non está certificado no DPF, as SCC da UE co anexo suízo do FDPIC seguen sendo a alternativa operativa.

O enfoque práctico para 2026

Para a maioría dos editores, o enfoque operativo consiste en mapear cada fluxo de datos transfronteirizo procedente do tráfico suízo ao seu país de destino e mecanismo, executar as SCC-con-anexo-suízo apropiadas onde a certificación DPF non cobre o provedor, documentar o mecanismo no aviso de privacidade en lingua suíza, e complementar coa autorización baseada no consentimento só onde os mecanismos estruturados non encaixan limpiamente co tratamento.

Dereitos dos interesados conforme á revFADP

A revFADP outorga un conxunto de dereitos que seguen de preto o RGPD, con algúns contornos específicamente suízos:

• Dereito de acceso aos datos persoais mantidos polo controlador, cun primeiro acceso gratuíto ao ano e un límite de recuperación de custos para solicitudes posteriores ou de gran alcance
• Dereito de rectificación de datos inexactos ou incompletos
• Dereito de supresión
• Dereito a limitar o tratamento
• Dereito á portabilidade dos datos para datos tratados por medios automatizados sobre a base do consentimento ou dun contrato
• Dereito a opoñerse ao tratamento
• Dereito a retirar o consentimento
• Dereito a non ser obxecto de toma de decisións individual automatizada que produza efectos xurídicos ou similares, cunha salvagarda para a revisión manual
• Dereito a presentar una reclamación ante o FDPIC ou a iniciar procedementos civís

Prazos de resposta

Os responsables do tratamento deben responder ás solicitudes dos interesados nun prazo de 30 días conforme ao marco xeral, ampliable mediante notificación motivada en casos complexos. A preparación operativa para esta ventá — con ferramentas en lingua suíza e manuais en alemán, francés e italiano — é un déficit habitual nos editores estranxeiros que calibraron o seu programa para un único idioma europeo.

Sancións e postura de aplicación en 2026

A actividade de aplicación do FDPIC intensificouse significativamente ao longo de 2024 e 2025, e 2026 continúa a traxectoria en vez de estabilizarse.

A estrutura das multas

As multas son principalmente de natureza penal e dirixidas a persoas nomeadas — directores, DPO, responsables de cumprimento — cun límite de 250 000 CHF por infración intencional. As categorías máis citadas na aplicación de 2025 foron: información insuficiente aos interesados, incumprimento do deber de dilixencia nas transferencias transfronteirizas, incumprimento da obriga de notificar ao FDPIC as infraccións de datos dentro da ventá requirida, e incumprimento das decisións ou ordes do FDPIC.

O respaldo de responsabilidade penal

A diferenza do RGPD, a vía de responsabilidade penal da revFADP vai contra a persoa física responsable e non só contra a entidade xurídica, o que provocou unha reestruturación interna substancial dos fluxos de aprobación en 2025. O efecto práctico é que as certificacións de cumprimento e as rastros de auditoría importan non só para a exposición da organización senón tamén para a do individuo — e os DPO en particular adaptaron a súa práctica de documentación para reflectir isto.

Temas de aplicación

As accións do FDPIC de 2025 e principios de 2026 agrúpanse en torno a: banners de cookies que desenfatizan a acción Rexeitar ou usan caixas premarcadas, avisos de privacidade non dispoñibles no idioma nacional suízo do usuario, transferencias transfronteirizas a provedores estadounidenses non certificados no DPF e sen mecanismo alternativo, incapacidade de responder ás solicitudes dos interesados dentro da ventá de 30 días, e notificacións de infración tardías ou inexistentes. Os editores estranxeiros foron citados nas cinco categorías, sendo o deseño de banners e as transferencias transfronteirizas as categorías líderes do expediente.

Lista de verificación de auditoría para o tráfico suízo en 2026

• O banner do CMP sérvese no idioma nacional suízo do usuario (DE, FR, IT ou RM) con Aceptar, Rexeitar e Configuración cunha prominencia visual igual
• As finalidades do consentimento son granulares e o tratamento especialmente sensible está separado detrás do seu propio fluxo de consentimento
• O aviso de privacidade está dispoñible en cada idioma suízo pertinente coas divulgacións completas do controlador, encargados, finalidades, conservación, dereitos e vía de reclamación ante o FDPIC
• Cada fluxo transfronteirizo procedente do tráfico suízo está mapeado ao seu destino e mecanismo — adecuación, certificación Swiss-US DPF, SCC con anexo suízo do FDPIC, BCR ou exención documentada
• O estado de certificación DPF do provedor estadounidense verifícase de novo na lista publicada en vez de tomarse dunha vez e esquecerse
• Os rexistros de consentimento están marcados temporalmente, son exportables e consérvanse durante o período de estatuto de limitacións aplicable
• O fluxo de traballo de solicitudes dos interesados pode responder dentro de 30 días de extremo a extremo, en alemán, francés e italiano
• O manual de notificación de infraccións está adaptado aos prazos da revFADP e integrado co proceso interno de resposta a incidentes
• Os fluxos de aprobación reflicten a arquitectura de responsabilidade penal individual, con aprobadores nomeados e rasto documental
• Os segmentos de audiencia de categoría especialmente sensible están protexidos detrás dun consentimento explícito captado por separado
• A clasificación de cookies foi revisada cun ollo crítico sobre cales cookies se cualifican realmente como estritamente necesarias conforme ás orientacións do FDPIC

As perspectivas de 2026

O réxime de protección de datos de Suíza madurou desde un texto antigo respectado pero silencioso ata un instrumento operativo coa especificidade operativa, a capacidade de aplicación e a arquitectura de responsabilidade penal necesarias para determinar as prioridades de cumprimento de forma autónoma, en vez de limitarse a seguir o programa da UE. O realineamento de adecuación de 2024 pechou a brecha estrutural máis importante arredor das transferencias a Estados Unidos, e a postura de aplicación escalante do FDPIC en 2025 é coherente cun regulador que escala dunha maneira sostida en vez de executar unha campaña puntual. Para os editores que xa operan unha pila de consentimento de nivel RGPD, a brecha ata o cumprimento da revFADP é máis estreita que a brecha para calquera outra xurisdición non-UE — pero é real, e vive nos detalles: banners e avisos en lingua suíza, mapeo DPF fronte a SCC para cada provedor estadounidense, a liña lixeiramente diferente da categoría especialmente sensible, a cadencia de resposta de 30 días en tres ou catro idiomas, e a arquitectura de responsabilidade penal que fai da documentación individual de aprobación un artefacto de cumprimento de primeiro nivel en vez dun complemento opcional. A brecha pode pecharse en semanas se se prioriza, e os CPM dos editores suízos fan que a priorización sexa economicamente evidente. Os editores que trataron silenciosamente Suíza como un paso de tránsito RGPD ata 2024 están comprobando que 2026 é significativamente máis esixente, e a tendencia é clara.