Structura revFADP în 2026

revFADP a înlocuit regimul elvețian de protecție a datelor din 1992 cu un cadru care, în majoritatea aspectelor operaționale, urmează îndeaproape GDPR, păstrând câteva poziții distinctiv elvețiene. Ordonanța revizuită privind protecția datelor (rev-OPDP) și Ordonanța privind certificările de protecție a datelor, ambele în vigoare alături de revFADP, completează detaliile operaționale.

Ce a Schimbat Revizuirea

Revizuirea a introdus: notificarea obligatorie a încălcărilor către FDPIC, o cerință de evidență a prelucrărilor pentru majoritatea operatorilor, evaluări ale impactului asupra protecției datelor pentru prelucrările cu risc ridicat, o sferă de aplicare cu adevărat extrateritorială similară articolului 3 alineatul (2) din GDPR, drepturi consolidate ale persoanelor vizate și un mecanism de răspundere penală aplicabil persoanelor fizice, nu doar organizației responsabile. Definiția datelor cu caracter personal, temeiurile prelucrării legale și structura drepturilor persoanelor vizate sunt toate strâns aliniate la GDPR, ceea ce simplifică semnificativ conformitatea elvețiană pentru editorii care derulează deja un program GDPR — dar nu o elimină.

Cine Este Reglementat

revFADP se aplică prelucrării datelor în Elveția și prelucrării în afara Elveției care afectează persoane din Elveția. Editorii străini care deservesc traficul elvețian prin intermediul site-urilor localizate, al unui domeniu .ch, al conținutului în germană-franceză-italiană-romanșă adaptat publicului elvețian sau al inventarului programatic achiziționat pentru IP-uri elvețiene se încadrează de obicei în domeniu de aplicare, iar FDPIC a confirmat interpretarea extrateritorială în actualizările sale de îndrumare din 2025.

Amenzi Administrative și Mecanismul Penal

Cea mai discutată abatere a revFADP de la GDPR este că arhitectura sa de sancțiuni este în principal penală, nu administrativă. Amenzile individuale — aplicate de obicei persoanelor fizice responsabile, cum ar fi directorii, responsabilii cu protecția datelor sau responsabilii cu conformitatea — pot ajunge până la 250.000 CHF per încălcare pentru infracțiunile intenționate, cu răspundere penală paralelă pentru comportamentele cele mai grave. Plafonul maxim este mai mic decât plafonul de patru procente din cifra de afaceri al GDPR în termeni absoluți, dar direcția răspunderii — asupra persoanei nominalizate, nu doar a organizației — schimbă în practică calculul riscului. Mai mulți editori au restructurat fluxurile de lucru interne de aprobare în 2025, în mod specific pentru a distribui expunerea.

Ce Se Consideră Date cu Caracter Personal în temeiul revFADP

Definiția datelor cu caracter personal din revFADP urmează îndeaproape GDPR. Datele cu caracter personal sunt informații referitoare la o persoană identificată sau identificabilă, iar FDPIC a tratat în mod consecvent cookie-urile, identificatorii de publicitate, adresele IP, amprentele dispozitivelor și profilurile comportamentale drept date cu caracter personal atunci când pot fi asociate cu o persoană direct sau prin combinare cu alte informații.

Date cu Caracter Personal Deosebit de Sensibile

revFADP desemnează o categorie numită date cu caracter personal deosebit de sensibile, care este oarecum mai largă decât categoriile speciale din GDPR. Aceasta include: date privind opiniile și activitățile religioase, filosofice, politice sau sindicale, date privind sănătatea, date privind sfera intimă sau originea rasială ori etnică, date genetice și biometrice care identifică în mod unic o persoană, date privind procedurile sau sancțiunile administrative și penale, și date privind măsurile de asistență socială. Prelucrarea datelor cu caracter personal deosebit de sensibile declanșează cerințe sporite de consimțământ și transparență.

De ce Contează Acest Lucru pentru Cookie-uri

Un cookie care stochează un identificator de publicitate obișnuit reprezintă date cu caracter personal ordinare. Un cookie care alimentează un segment de audiență care atinge lista deosebit de sensibilă — interese legate de sănătate, tendințe politice, afiliere religioasă — constituie prelucrare de date cu caracter personal deosebit de sensibile și necesită consimțământ explicit, separat de fluxul general de consimțământ pentru publicitate. Direcționarea audiențelor în limbă elvețiană care se suprapune cu această listă ar trebui auditată specific în raport cu limita, care este trasată ușor diferit față de linia categoriilor speciale din GDPR.

Consimțământul pentru Cookie-uri în temeiul revFADP în 2026

revFADP permite mai multe temeiuri legale pentru prelucrare și, spre deosebire de Directiva ePrivacy aplicată în statele membre ale UE, dreptul elvețian nu impune o bază statutară exclusivă de consimțământ pentru cookie-urile neeseniale. În practică, însă, îndrumările FDPIC din 2024 și 2025 și cele mai recente decizii de aplicare au converge spre o poziție foarte apropiată de standardul UE pentru cookie-urile legate de publicitate, analiză și profilare inter-contextuală.

Poziția Operațională a FDPIC

Poziția publicată a FDPIC este că cookie-urile neeseniale — inclusiv publicitate, retargeting, analize inter-site și personalizare — necesită un consimțământ prealabil, informat, acordat liber și specific, obținut înainte de activarea cookie-ului. Cookie-urile strict necesare și cookie-urile care susțin un serviciu solicitat explicit de utilizator pot fi setate pe baza interesului legitim sau a executării contractuale fără o solicitare prealabilă de consimțământ, dar sarcina de a clasifica un cookie drept strict necesar revine operatorului și a fost contestată în mai multe plângeri din 2025.

Elementele Consimțământului Valid

Consimțământul în temeiul revFADP trebuie să fie:

• Acordat liber — fără constrângere, grupare cu furnizarea de servicii esențiale sau un zid de cookie-uri care condiționează accesul la conținutul de bază de acceptarea unui cookie neesenial
• Informat — persoana vizată înțelege ce date sunt prelucrate, de cine, în ce scop și către care destinatari
• Specific — legat de scopuri de prelucrare clar identificate, nu de un consimțământ generic
• Neechivoc — exprimat printr-un act afirmativ clar, nu dedus din derulare, navigare continuă sau inactivitate
• Explicit în cazurile care implică date cu caracter personal deosebit de sensibile, cu consimțământ separat pentru prelucrarea sensibilă

Cum Arată o CMP Conformă pentru Traficul Elvețian

O CMP configurată pentru Elveția în 2026 ar trebui să prezinte:

• Un banner afișat în limba utilizatorului — germană, franceză, italiană sau romanșă — înainte ca orice cookie neesenial să fie activat, cu selectarea limbii corespunzând localizării site-ului .ch, nu implicit englezei
• Proeminență vizuală egală pentru acțiunile Acceptați, Refuzați și Setări — îndrumările FDPIC din 2025 critică explicit designurile de banner în care Refuzați este vizual diminuat față de Acceptați
• Butoane de comutare granulare pe scop: analiză, publicitate, personalizare, transfer transfrontalier și orice categorie deosebit de sensibilă
• Un flux de consimțământ separat pentru orice prelucrare de date cu caracter personal deosebit de sensibile, plasat în spatele propriei acțiuni, nu agrupat în consimțământul general
• Un mecanism persistent și ușor de găsit pentru retragerea consimțământului după alegerea inițială, cu paritate de fricțiune față de acordarea consimțământului
• Un aviz de confidențialitate complet în limbă elvețiană, care divulgă identitatea operatorului, procesatorii, scopurile, destinatarii, perioadele de retenție, mecanismele de transfer și calea de exercitare a drepturilor persoanelor vizate

Evidențele Consimțământului

Operatorii trebuie să mențină dovezi ale consimțământului — cine a consimțit, când, pentru care scopuri specifice și prin care interfață. Evidențe inadecvate ale consimțământului au apărut în mai multe scrisori de investigare ale FDPIC din 2025, iar jurnalele exportabile cu marcaj temporal, păstrate pentru perioada aplicabilă a termenelor de prescripție, constituie așteptarea de bază.

Transferuri Transfrontaliere după Realinierea Adecvării din 2024

Transferurile transfrontaliere de date reprezintă zona revFADP în care poziția elvețiană se îndepărtează cel mai clar de, și rămâne ușor în urma, poziției UE. Realinierea din 2024, ulterior adoptării de către UE a EU-US Data Privacy Framework, a produs un Swiss-US Data Privacy Framework paralel, dar sfera de aplicare și condițiile acestuia nu sunt identice.

Mecanismele de Transfer Recunoscute

revFADP și rev-OPDP recunosc mai multe căi:

• Decizii de adecvare emise de Consiliul Federal Elvețian pentru țările evaluate ca asigurând o protecție adecvată — lista actuală include SEE, Regatul Unit și câteva alte jurisdicții
• Swiss-US Data Privacy Framework pentru transferurile către organizații americane autocertificate în temeiul cadrului, care a înlocuit Swiss-US Privacy Shield după 2024
• Clauze contractuale standard recunoscute de FDPIC, inclusiv EU SCC-urile cu un addendum elvețian publicat de FDPIC
• Reguli corporatiste obligatorii aprobate de FDPIC
• Derogări specifice, inclusiv consimțământul explicit cu divulgare adecvată, necesitatea contractuală, interesul vital și interesul public substanțial

Swiss-US DPF în Practică

Swiss-US DPF acoperă transferurile către organizații americane care s-au autocertificat și și-au menținut certificarea. Editorii ar trebui să verifice statutul activ al certificării fiecărui furnizor american de ad-tech sau analiză în lista DPF, mai degrabă decât să se bazeze pe o verificare unică, deoarece certificările expirate nu invalidează retroactiv transferurile anterioare, dar necesită remediere imediată pentru fluxurile în curs. Acolo unde un furnizor nu este certificat DPF, EU SCC-urile cu addendum-ul elvețian al FDPIC rămân alternativa funcțională.

Abordarea Practică pentru 2026

Pentru majoritatea editorilor, abordarea funcțională este de a cartografia fiecare flux de date transfrontalier din traficul elvețian către țara de destinație și mecanismul aferent, de a executa SCC-urile adecvate cu addendum elvețian acolo unde certificarea DPF nu acoperă furnizorul, de a documenta mecanismul în avizul de confidențialitate în limbă elvețiană și de a suplimenta cu autorizarea bazată pe consimțământ doar acolo unde mecanismele structurate nu se potrivesc clar cu prelucrarea.

Drepturile Persoanelor Vizate în temeiul revFADP

revFADP acordă un set de drepturi care urmează îndeaproape GDPR, cu câteva contururi specifice elvețiene:

• Dreptul de acces la datele cu caracter personal deținute de operator, cu primul acces gratuit pe an și un plafon de recuperare a costurilor pentru cererile ulterioare sau de mare amploare
• Dreptul la rectificarea datelor inexacte sau incomplete
• Dreptul la ștergere
• Dreptul la restricționarea prelucrării
• Dreptul la portabilitatea datelor prelucrate prin mijloace automatizate pe baza consimțământului sau contractului
• Dreptul de a se opune prelucrării
• Dreptul de a retrage consimțământul
• Dreptul de a nu face obiectul unui proces decizional individual automatizat care produce efecte juridice sau efecte similare semnificative, cu o măsură de protecție pentru revizuirea manuală
• Dreptul de a depune o plângere la FDPIC sau de a intenta acțiuni civile

Termenele de Răspuns

Operatorii trebuie să răspundă solicitărilor persoanelor vizate în termen de 30 de zile în temeiul cadrului general, termen ce poate fi prelungit printr-o notificare motivată în cazuri complexe. Disponibilitatea operațională pentru această fereastră — cu instrumente în limbă elvețiană și manuale de proceduri în germană, franceză și italiană — reprezintă o lacună frecventă pentru editorii străini care și-au adaptat programul la o singură limbă europeană.

Sancțiuni și Postura de Aplicare în 2026

Activitatea de aplicare a FDPIC s-a intensificat semnificativ de-a lungul anilor 2024 și 2025, iar 2026 continuă această traiectorie în loc să o stagneze.

Structura Amenzilor

Amenzile sunt în principal de natură penală și vizează persoane nominalizate — directori, DPO, responsabili cu conformitatea — cu un plafon de 250.000 CHF per încălcare intenționate. Categoriile cel mai frecvent citate în aplicarea din 2025 au fost: informații insuficiente furnizate persoanelor vizate, încălcarea obligației de diligență în transferurile transfrontaliere, nerespectarea obligației de a notifica FDPIC cu privire la încălcările de date în termenul impus, și nerespectarea deciziilor sau ordinelor FDPIC.

Mecanismul de Răspundere Penală

Spre deosebire de GDPR, calea de răspundere penală prevăzută de revFADP vizează persoana fizică responsabilă, nu doar entitatea juridică, ceea ce a determinat o restructurare internă substanțială a fluxurilor de lucru de aprobare în 2025. Efectul practic este că atestările de conformitate și pistele de audit contează nu doar pentru expunerea organizației, ci și pentru cea a persoanei — iar DPO, în special, și-au adaptat practica de documentare pentru a reflecta acest lucru.

Temele de Aplicare

Acțiunile FDPIC din 2025 și de la începutul anului 2026 se grupează în jurul: bannerelor de cookie-uri care diminuează vizual acțiunea Refuzați sau folosesc căsuțe pre-bifate, avizelor de confidențialitate indisponibile în limba națională elvețiană a utilizatorului, transferurilor transfrontaliere către furnizori americani necertificați DPF și lipsiți de un mecanism alternativ, nerespectării termenului de 30 de zile pentru răspunsul la solicitările persoanelor vizate și notificărilor de încălcare întârziate sau absente. Editorii străini au fost citați în toate cele cinci categorii, categoriile de design al bannerelor și transferuri transfrontaliere conducând dosarul.

Lista de Verificare a Auditului pentru Traficul Elvețian în 2026

• Bannerul CMP este afișat în limba națională elvețiană a utilizatorului (DE, FR, IT sau RM), cu acțiunile Acceptați, Refuzați și Setări cu proeminență vizuală egală
• Scopurile consimțământului sunt granulare și separă prelucrarea deosebit de sensibilă în spatele propriului flux de consimțământ
• Avizul de confidențialitate este disponibil în fiecare limbă elvețiană relevantă, cu divulgarea completă a operatorului, procesatorilor, scopurilor, retenției, drepturilor și căii de plângere la FDPIC
• Fiecare flux transfrontalier din traficul elvețian este cartografiat la destinația și mecanismul său — adecvare, certificare Swiss-US DPF, SCC-uri cu addendum elvețian FDPIC, BCR-uri sau o derogare documentată
• Statutul de certificare DPF al furnizorului american este reverificat în lista publicată, nu verificat o singură dată și uitat
• Jurnalele de consimțământ au marcaj temporal, sunt exportabile și păstrate pentru perioada aplicabilă a termenelor de prescripție
• Fluxul de lucru pentru solicitările persoanelor vizate poate răspunde în termen de 30 de zile de la un capăt la altul, în germană, franceză și italiană
• Manualul de notificare a încălcărilor este adaptat termenelor revFADP și integrat în procesul intern de răspuns la incidente
• Fluxurile de lucru de aprobare reflectă arhitectura răspunderii penale la nivel individual, cu aprobatori nominalizați și pistă de documentare
• Segmentele de audiență din categoria deosebit de sensibilă sunt protejate de consimțământul explicit obținut separat
• Clasificarea cookie-urilor a fost revizuită cu ochi critic privind care cookie-uri se califică efectiv ca strict necesare conform îndrumărilor FDPIC

Perspectiva pentru 2026

Regimul elvețian de protecție a datelor a evoluat de la un statut mai vechi respectat, dar tăcut, la un instrument funcțional cu specificitatea operațională, capacitatea de aplicare și arhitectura de răspundere penală necesare pentru a modela prioritățile de conformitate în mod independent, nu doar pentru a se sprijini pe programul UE. Realinierea adecvării din 2024 a închis cel mai consecvent decalaj structural privind transferurile către SUA, iar postura de aplicare escaladantă a FDPIC din 2025 este consecventă cu un regulator care se extinde în mod susținut, nu cu unul care desfășoară o campanie punctuală. Pentru editorii care derulează deja o stivă de consimțăminte de nivel GDPR, decalajul față de conformitatea cu revFADP este mai îngust decât față de orice altă jurisdicție din afara UE — dar este real și există în detalii: bannere și avize în limbă elvețiană, maparea DPF față de SCC pentru fiecare furnizor american, linia ușor diferită a categoriei deosebit de sensibile, cadența de răspuns de 30 de zile în trei sau patru limbi și arhitectura de răspundere penală care face din documentarea aprobării individuale un artefact de conformitate de primă clasă, nu un element opțional. Decalajul poate fi eliminat în câteva săptămâni dacă este prioritizat, iar CPM-urile editorilor elvețieni fac prioritizarea justificată economic. Editorii care au tratat în liniște Elveția ca pe un tranzit GDPR până în 2024 descoperă că 2026 este semnificativ mai solicitant, iar tendința este clară.