A Estrutura da revFADP em 2026

A revFADP substituiu o regime suíço de proteção de dados de 1992 por um marco regulatório que, na maioria dos aspectos operacionais, segue de perto o GDPR, preservando alguns posicionamentos distintamente suíços. A Portaria Revisada sobre Proteção de Dados (rev-OPDP) e a Portaria sobre Certificações de Proteção de Dados, ambas em vigor junto com a revFADP, preenchem os detalhes operacionais.

O que a Revisão Mudou

A revisão introduziu: notificação obrigatória de violação ao FDPIC, um requisito de registro de processamento para a maioria dos controladores, avaliações de impacto de proteção de dados para processamento de alto risco, um escopo genuinamente extraterritorial semelhante ao artigo 3.º(2) do GDPR, direitos reforçados dos titulares de dados e um sustentáculo de responsabilidade criminal aplicável a indivíduos e não apenas à organização controladora. A definição de dados pessoais, as bases para o processamento lícito e a estrutura dos direitos dos titulares de dados estão todos estreitamente alinhados com o GDPR, o que simplifica materialmente a conformidade suíça para editores que já executam um programa do GDPR — mas não a elimina.

Quem Está Sujeito à Regulação

A revFADP aplica-se ao processamento de dados na Suíça e ao processamento fora da Suíça que afeta indivíduos na Suíça. Editores estrangeiros que atendem tráfego suíço por meio de sites localizados, um domínio .ch, conteúdo em alemão-francês-italiano-romanche direcionado a públicos suíços ou inventário programático adquirido contra IPs suíços estão tipicamente dentro do escopo, e o FDPIC confirmou a leitura extraterritorial em suas atualizações de orientações de 2025.

Multas Administrativas e o Sustentáculo Criminal

A diferença mais discutida da revFADP em relação ao GDPR é que sua arquitetura de sanções é primariamente criminal em vez de administrativa. Multas individuais — tipicamente sobre as pessoas físicas responsáveis, como diretores, encarregados de proteção de dados ou líderes de conformidade — podem chegar a CHF 250.000 por violação em caso de infrações intencionais, com responsabilidade criminal paralela para as condutas mais graves. O teto nominal é menor do que o teto de quatro por cento do faturamento do GDPR em termos absolutos, mas a direção da responsabilidade — sobre o indivíduo nomeado e não apenas a organização — altera o cálculo de risco na prática. Vários editores reestruturaram fluxos de trabalho de aprovação interna em 2025 especificamente para distribuir a exposição.

O que Conta como Dados Pessoais sob a revFADP

A definição de dados pessoais da revFADP segue de perto o GDPR. Dados pessoais são informações relativas a uma pessoa identificada ou identificável, e o FDPIC tratou consistentemente cookies, identificadores de publicidade, endereços IP, impressões digitais de dispositivos e perfis comportamentais como dados pessoais quando podem ser vinculados a um indivíduo diretamente ou por combinação com outras informações.

Dados Pessoais Particularmente Sensíveis

A revFADP designa uma categoria chamada dados pessoais particularmente sensíveis que é um pouco mais ampla do que as categorias especiais do GDPR. Inclui: dados sobre opiniões e atividades religiosas, filosóficas, políticas ou sindicais, dados de saúde, dados sobre a esfera íntima ou a origem racial ou étnica, dados genéticos e biométricos que identificam uma pessoa de forma única, dados sobre processos ou sanções administrativas e criminais, e dados sobre medidas de assistência social. O processamento de dados pessoais particularmente sensíveis desencadeia requisitos elevados de consentimento e transparência.

Por que Isso Importa para os Cookies

Um cookie que armazena um identificador de publicidade de rotina é dado pessoal comum. Um cookie que alimenta um segmento de audiência que toca a lista particularmente sensível — interesses de saúde, tendências políticas, filiação religiosa — é processamento de dados pessoais particularmente sensíveis e requer consentimento explícito, separado do fluxo geral de consentimento de publicidade. O direcionamento de audiência em língua suíça que se sobrepõe a essa lista deve ser especificamente auditado em relação ao limite, que é traçado de forma ligeiramente diferente da linha de categorias especiais do GDPR.

Consentimento de Cookies sob a revFADP em 2026

A revFADP permite várias bases legais para o processamento e, ao contrário da Diretiva ePrivacy conforme aplicada nos estados-membros da UE, o direito suíço não impõe uma base estatutária de consentimento exclusivo para cookies não essenciais. Na prática, contudo, as orientações do FDPIC de 2024 e 2025 e as mais recentes decisões de execução convergiram para um posicionamento muito próximo da base da UE para cookies vinculados a publicidade, análise e criação de perfis de contexto cruzado.

O Posicionamento Operacional do FDPIC

O posicionamento publicado pelo FDPIC é que cookies não essenciais — incluindo publicidade, retargeting, análise entre sites e personalização — exigem um consentimento prévio, informado, livremente dado e específico obtido antes de o cookie ser ativado. Cookies estritamente necessários e cookies que apoiam um serviço explicitamente solicitado pelo usuário podem ser definidos com base no interesse legítimo ou na base de execução contratual sem um aviso de consentimento prévio, mas o ônus de classificar um cookie como estritamente necessário recai sobre o controlador e tem sido contestado em várias reclamações de 2025.

Os Elementos do Consentimento Válido

O consentimento sob a revFADP deve ser:

• Livremente dado — sem coerção, agrupamento com a prestação de serviços essenciais ou um muro de cookies que condicionasse o acesso ao conteúdo principal à aceitação de um cookie não essencial
• Informado — o titular dos dados entende quais dados são processados, por quem, para qual finalidade e para quais destinatários
• Específico — vinculado a finalidades de processamento claramente identificadas, e não a um consentimento genérico
• Inequívoco — expresso por meio de um ato afirmativo claro, não inferido de rolagem, navegação contínua ou inatividade
• Explícito em casos que envolvam dados pessoais particularmente sensíveis, com consentimento separado para o processamento sensível

Como é uma CMP Compatível para Tráfego Suíço

Uma CMP configurada para a Suíça em 2026 deve apresentar:

• Um banner exibido no idioma do usuário — alemão, francês, italiano ou romanche — antes que qualquer cookie não essencial seja ativado, com a seleção de idioma correspondendo à localização do site .ch, e não utilizando o inglês como padrão
• Proeminência visual igual para as ações Aceitar, Recusar e Configurações — as orientações do FDPIC de 2025 criticam explicitamente designs de banner em que Recusar é visualmente desenfatizado em relação a Aceitar
• Alternâncias granulares por finalidade: análise, publicidade, personalização, transferência transfronteiriça e qualquer categoria particularmente sensível
• Um fluxo de consentimento separado para qualquer processamento de dados pessoais particularmente sensíveis, colocado atrás de sua própria ação em vez de agrupado no consentimento geral
• Um mecanismo persistente e de fácil localização para retirar o consentimento após a escolha inicial, com paridade de atrito com o ato de dar consentimento
• Um aviso de privacidade completo em língua suíça divulgando a identidade do controlador, processadores, finalidades, destinatários, períodos de retenção, mecanismos de transferência e o caminho de direitos dos titulares de dados

Registros de Consentimento

Os controladores devem manter evidências de consentimento — quem consentiu, quando, para quais finalidades específicas e por meio de qual interface. Registros de consentimento inadequados apareceram em diversas cartas investigativas do FDPIC em 2025, e logs exportáveis com carimbo de data/hora retidos pelo período de prescrição aplicável são a expectativa de base.

Transferências Transfronteiriças Após o Realinhamento de Adequação de 2024

As transferências transfronteiriças de dados são a área da revFADP em que a posição suíça mais claramente difere da posição da UE, ficando ligeiramente para trás. O realinhamento de 2024, após a adoção pela UE do EU-US Data Privacy Framework, produziu um Swiss-US Data Privacy Framework paralelo, mas seu escopo e condições não são idênticos.

Os Mecanismos de Transferência Reconhecidos

A revFADP e a rev-OPDP reconhecem várias vias:

• Decisões de adequação do Conselho Federal Suíço para países avaliados como fornecendo proteção adequada — a lista atual inclui o EEA, o Reino Unido e algumas outras jurisdições
• O Swiss-US Data Privacy Framework para transferências para organizações dos EUA que se autocertificaram sob o framework, que substituiu o Swiss-US Privacy Shield após 2024
• Cláusulas contratuais padrão reconhecidas pelo FDPIC, incluindo as EU SCCs com um adendo suíço publicado pelo FDPIC
• Regras corporativas vinculantes aprovadas pelo FDPIC
• Isenções específicas incluindo consentimento explícito com divulgação adequada, necessidade contratual, interesse vital e interesse público substancial

O Swiss-US DPF na Prática

O Swiss-US DPF cobre transferências para organizações dos EUA que se autocertificaram e mantiveram sua certificação. Os editores devem verificar o status de certificação ativa de cada fornecedor de tecnologia de publicidade ou análise dos EUA na lista DPF, em vez de se basear em uma verificação única, pois certificações expiradas não invalidam retroativamente transferências anteriores, mas exigem remediação imediata para fluxos em andamento. Quando um fornecedor não é certificado pelo DPF, as EU SCCs com o adendo suíço do FDPIC permanecem como a alternativa funcional.

A Abordagem Prática para 2026

Para a maioria dos editores, a abordagem funcional é mapear cada fluxo de dados transfronteiriço do tráfego suíço para seu país de destino e mecanismo, executar as SCCs adequadas com adendo suíço onde a certificação DPF não cobre o fornecedor, documentar o mecanismo no aviso de privacidade em língua suíça e complementar com autorização baseada em consentimento apenas onde os mecanismos estruturados não se encaixam claramente no processamento.

Direitos dos Titulares de Dados sob a revFADP

A revFADP concede um conjunto de direitos que seguem de perto o GDPR, com alguns contornos específicos da Suíça:

• Direito de acesso aos dados pessoais mantidos pelo controlador, com acesso gratuito na primeira vez por ano e um teto de recuperação de custos para solicitações subsequentes ou de grande escopo
• Direito de retificação de dados imprecisos ou incompletos
• Direito de apagamento
• Direito de restrição do processamento
• Direito à portabilidade dos dados processados por meios automatizados com base em consentimento ou contrato
• Direito de se opor ao processamento
• Direito de retirar o consentimento
• Direito de não estar sujeito a decisões individuais automatizadas que produzam efeitos jurídicos ou efeitos igualmente significativos, com uma salvaguarda para revisão manual
• Direito de apresentar reclamação ao FDPIC ou de intentar ações cíveis

Prazos de Resposta

Os controladores devem responder às solicitações dos titulares de dados dentro de 30 dias nos termos do quadro geral, prorrogável por notificação fundamentada em casos complexos. A prontidão operacional para essa janela — com ferramentas em língua suíça e manuais de procedimentos em alemão, francês e italiano — é uma lacuna comum para editores estrangeiros que ajustaram seu programa a um único idioma europeu.

Penalidades e Postura de Execução em 2026

A atividade de execução do FDPIC escalou significativamente ao longo de 2024 e 2025, e 2026 está continuando a trajetória em vez de estabilizar.

A Estrutura de Multas

As multas são primariamente de natureza criminal e direcionadas a indivíduos nomeados — diretores, DPOs, líderes de conformidade — com um teto de CHF 250.000 por violação intencional. As categorias mais frequentemente citadas nas execuções de 2025 foram: informações insuficientes aos titulares de dados, violação do dever de diligência nas transferências transfronteiriças, não cumprimento da obrigação de notificar violações de dados ao FDPIC dentro do prazo exigido, e não conformidade com as decisões ou ordens do FDPIC.

O Sustentáculo de Responsabilidade Criminal

Diferentemente do GDPR, a via de responsabilidade criminal da revFADP é contra a pessoa física responsável e não apenas contra a entidade jurídica, o que motivou substancial reestruturação interna dos fluxos de trabalho de aprovação em 2025. O efeito prático é que as attestações de conformidade e as trilhas de auditoria importam não apenas para a exposição da organização, mas também para a do indivíduo — e os DPOs, em particular, adaptaram a prática de documentação para refletir isso.

Temas de Execução

As ações do FDPIC de 2025 e início de 2026 se agrupam em torno de: banners de cookies que desenfatizam a ação Recusar ou usam caixas pré-marcadas, avisos de privacidade não disponíveis no idioma nacional suíço do usuário, transferências transfronteiriças para fornecedores dos EUA que não são certificados pelo DPF e não têm mecanismo alternativo, falha em responder a solicitações dos titulares de dados dentro da janela de 30 dias, e notificações de violação atrasadas ou ausentes. Editores estrangeiros foram citados em todas as cinco categorias, com as categorias de design de banner e transferência transfronteiriça liderando o registro.

Lista de Verificação de Auditoria para Tráfego Suíço em 2026

• O banner da CMP é exibido no idioma nacional suíço do usuário (DE, FR, IT ou RM) com as ações Aceitar, Recusar e Configurações com igual proeminência visual
• As finalidades do consentimento são granulares e separam o processamento particularmente sensível por trás de seu próprio fluxo de consentimento
• O aviso de privacidade está disponível em cada idioma suíço relevante com divulgação completa do controlador, processadores, finalidades, retenção, direitos e o caminho para reclamação ao FDPIC
• Cada fluxo transfronteiriço do tráfego suíço está mapeado para seu destino e mecanismo — adequação, certificação Swiss-US DPF, SCCs com adendo suíço do FDPIC, BCRs ou uma isenção documentada
• O status de certificação DPF do fornecedor dos EUA é reavaliado na lista publicada, em vez de verificado uma vez e esquecido
• Os registros de consentimento têm carimbo de data/hora, são exportáveis e retidos pelo período de prescrição aplicável
• O fluxo de trabalho de solicitação de titular de dados pode responder dentro de 30 dias de ponta a ponta, em alemão, francês e italiano
• O manual de notificação de violação está ajustado aos prazos da revFADP e integrado ao processo interno de resposta a incidentes
• Os fluxos de trabalho de aprovação refletem a arquitetura de responsabilidade criminal no nível individual, com aprovadores nomeados e trilha de documentação
• Os segmentos de audiência de categorias particularmente sensíveis estão protegidos por consentimento explícito obtido separadamente
• A classificação de cookies foi revisada com olhar crítico sobre quais cookies realmente se qualificam como estritamente necessários segundo as orientações do FDPIC

A Perspectiva para 2026

O regime de proteção de dados da Suíça amadureceu de um estatuto mais antigo respeitado, mas silencioso, para um instrumento funcional com a especificidade operacional, a capacidade de execução e a arquitetura de responsabilidade criminal para moldar as prioridades de conformidade por conta própria, em vez de simplesmente aproveitar o programa da UE. O realinhamento de adequação de 2024 fechou a lacuna estrutural mais consequente em torno das transferências para os EUA, e a postura de execução crescente do FDPIC em 2025 é consistente com um regulador escalando de forma sustentada, e não executando uma campanha única. Para editores que já executam uma pilha de consentimento de nível GDPR, a lacuna para a conformidade com a revFADP é mais estreita do que para qualquer outra jurisdição fora da UE — mas é real, e reside nos detalhes: banners e avisos em língua suíça, mapeamento DPF-versus-SCC para cada fornecedor dos EUA, a linha ligeiramente diferente da categoria particularmente sensível, a cadência de resposta de 30 dias em três ou quatro idiomas e a arquitetura de responsabilidade criminal que torna a documentação de aprovação individual um artefato de conformidade de primeira classe, e não uma conveniência. A lacuna pode ser fechada em semanas se priorizada, e os CPMs de editor da Suíça tornam essa priorização economicamente direta. Os editores que silenciosamente trataram a Suíça como um passthrough do GDPR até 2024 estão descobrindo que 2026 é significativamente mais exigente, e a tendência é clara.