Inicio / Lectura Larga / Compliance
ComplianceLectura Larga

Transferencias de datos transfronterizas entre Suiza y Francia: guía de cumplimiento

Los datos personales circulan libremente entre Suiza y Francia en ambos sentidos, sin CCT requeridas. Descubre cuándo aplican las CCT y las evaluaciones de impacto, cómo se compara el art. 9 nLPD con el art. 28 RGPD, y qué obligaciones sectoriales financieras se aplican.

Publicado Actualizado Tiempo de lectura 18 minPalabras 4,031
Contenido del artículo
  1. Lo esencial
  2. ¿Se pueden transferir datos personales entre Suiza y Francia?
  3. El marco legal en ambas direcciones
  4. ¿Cuándo se necesitan realmente las CCT?
  5. ¿Cuándo se requiere una evaluación de impacto de las transferencias (EIT)?
  6. Art. 9 nLPD vs art. 28 RGPD: las obligaciones del encargado
  7. Transferencias ulteriores hacia EE. UU.: los Data Privacy Frameworks
  8. Escenarios reales
  9. Sanciones: por qué el modelo suizo es diferente
  10. Una hoja de ruta práctica de cumplimiento
  11. Preguntas frecuentes
  12. Domina estos aspectos en toda tu cadena de proveedores
TL;DR

Los datos personales circulan libremente entre Suiza y Francia en ambos sentidos, sin CCT requeridas. Descubre cuándo aplican las CCT y las evaluaciones de impacto, cómo se compara el art. 9 nLPD con el art. 28 RGPD, y qué obligaciones sectoriales financieras se aplican.

Transferencias de datos transfronterizas entre Suiza y Francia: guía de cumplimiento para DPO y responsables de terceros

Los datos personales pueden transferirse en ambas direcciones entre Suiza y Francia sin cláusulas contractuales tipo (CCT). Las transferencias hacia Suiza se basan en el reconocimiento de adecuación de la UE respecto de Suiza; las transferencias hacia Francia se basan en que Suiza considera adecuados a todos los Estados de la UE/EEE. Ambos flujos se rigen tanto por la nLPD suiza como por el RGPD europeo. Las CCT, la evaluación de impacto de las transferencias y los contratos de encargo solo resultan decisivos para las transferencias ulteriores hacia países no adecuados.

Lo esencial

  • Francia → Suiza: transferencia libre. Francia se apoya en la decisión de adecuación de la UE respecto de Suiza. Sin CCT, sin garantías adicionales.
  • Suiza → Francia: transferencia libre. Francia figura en la lista suiza de países con protección adecuada (Anexo 1 de la Ordenanza de Protección de Datos). Sin CCT.
  • Las CCT y una evaluación de impacto de las transferencias (EIT) solo importan para las transferencias ulteriores hacia países terceros no adecuados, lo más habitual: subencargados en EE. UU. no certificados bajo un Data Privacy Framework.
  • El contrato de encargo sigue siendo obligatorio cuando interviene un encargado. El art. 28 RGPD fija un estándar detallado; el art. 9 nLPD es más escueto. Un contrato conforme al RGPD satisface ambos regímenes.
  • Las sanciones difieren de raíz. La nLPD multa a la persona física responsable con hasta CHF 250 000. El RGPD multa a la empresa con hasta 20 millones de euros o el 4 % del volumen de negocio anual mundial.
  • Los datos del sector financiero implican obligaciones añadidas. El secreto bancario (art. 47 LB) y la Circular FINMA 2018/3 son capas distintas que la adecuación por sí sola no resuelve.

¿Se pueden transferir datos personales entre Suiza y Francia?

Sí. Los datos personales circulan libremente entre Suiza y Francia en ambos sentidos, sin CCT ni garantías de transferencia adicionales para el tramo directo. Cada país reconoce al otro un nivel de protección adecuado, de modo que una transferencia Suiza–Francia se trata, a efectos del mecanismo de transferencia, casi como una transferencia interna. Las obligaciones que subsisten son las ordinarias: una base jurídica para el tratamiento, transparencia, seguridad y un contrato en debida forma siempre que intervenga un encargado.

El matiz que confunde a los equipos no es el tramo directo, sino lo que ocurre después. En cuanto los datos continúan su recorrido desde Francia o Suiza hacia un país sin adecuación (un proveedor de analítica en EE. UU., un centro de soporte deslocalizado), el análisis del mecanismo de transferencia vuelve a activarse.

Las transferencias Suiza–Francia se sitúan en la intersección de dos regímenes. La Ley Federal suiza de Protección de Datos (nLPD) —la ley revisada, en vigor desde el 1 de septiembre de 2023— rige el lado suizo. El Reglamento General de Protección de Datos (RGPD) rige el lado francés. La comunicación transfronteriza se regula en los artículos 16 a 18 de la nLPD y en el capítulo V (artículos 44 a 50) del RGPD.

Francia → Suiza

Francia puede transmitir datos personales a Suiza sin garantías adicionales, porque la UE reconoce a Suiza como país adecuado. La Comisión Europea concedió la adecuación a Suiza por primera vez mediante la Decisión 2000/518/CE, de 26 de julio de 2000. Ese reconocimiento sigue siendo la base operativa actual: en su informe de revisión de 15 de enero de 2024, la Comisión confirmó que Suiza continúa garantizando un nivel de protección adecuado. Ninguna nueva decisión de adecuación basada en el RGPD la ha sustituido: el texto de 2024 es una confirmación, no una nueva decisión en el sentido del artículo 45. Como Estado miembro de la UE, Francia se apoya en esta adecuación a escala europea, de modo que una transferencia Francia → Suiza no requiere ninguna CCT.

Suiza → Francia

Suiza puede transmitir datos personales a Francia sin garantías adicionales, porque Francia figura en la lista suiza de países adecuados. Con arreglo al artículo 16 ap. 1 de la nLPD, el Consejo Federal mantiene una lista de Estados que garantizan un nivel de protección adecuado en el Anexo 1 de la Ordenanza de Protección de Datos (OPDat). Todos los Estados de la UE y del EEE, incluida Francia, figuran en ella. Los datos personales pueden comunicarse a los países incluidos sin un mecanismo de transferencia específico.

Un punto propio del Derecho suizo que conviene recordar: conceder desde el extranjero un acceso remoto a datos almacenados en Suiza constituye, en sí mismo, una comunicación al extranjero. Un equipo francés que se conecta a un sistema alojado en Suiza realiza una transferencia, aunque los datos nunca «se muevan».

¿Cuándo se necesitan realmente las CCT?

Las CCT solo son necesarias cuando los datos se transfieren a —o son accesibles desde— un país que no está cubierto por una decisión de adecuación, y no se aplica ningún otro mecanismo válido. Para Suiza y Francia, las CCT no se activan por el tramo directo, sino por:

  • las transferencias ulteriores hacia países no adecuados —por ejemplo, un proveedor francés o suizo cuyo subencargado se encuentra en un país sin adecuación—;
  • los encargados o subencargados ubicados en países no adecuados, aunque el proveedor contratante esté establecido en Francia o en Suiza;
  • los accesos de soporte o administración a distancia desde un país no adecuado.

Cuando se requieren CCT para una salida de la UE, el instrumento aplicable es el conjunto modular de cláusulas contractuales tipo de la UE (Decisión de Ejecución (UE) 2021/914, de 4 de junio de 2021). Las alternativas previstas en el art. 16 ap. 2 de la nLPD y en el art. 46 RGPD incluyen las normas corporativas vinculantes (BCR) y, en supuestos limitados, las excepciones legales (consentimiento, ejecución de un contrato, ejercicio de acciones judiciales).

El «Swiss Finish» sobre las CCT de la UE

Para utilizar las CCT de la UE en una transferencia con salida desde Suiza, hay que adaptarlas al Derecho suizo: el llamado «Swiss Finish». El 27 de agosto de 2021, el Encargado Federal de Protección de Datos y Transparencia (FDPIC) reconoció las CCT de la UE con las adaptaciones necesarias. En la práctica:

  • las referencias al RGPD se leen como referencias a la nLPD cuando solo es aplicable el Derecho suizo;
  • el FDPIC se designa como autoridad de control competente (junto a la autoridad europea cuando ambos regímenes son aplicables);
  • la noción de «Estado miembro» no debe privar a los interesados suizos del derecho a hacer valer sus pretensiones en su lugar de residencia habitual;
  • la ley aplicable y el foro se adaptan para que Suiza pueda designarse cuando solo rige la nLPD.

Suiza no dispone de CCT nacionales propias; se apoya en las cláusulas de la UE adaptadas (y reconoce las cláusulas tipo del Consejo de Europa).

¿Cuándo se requiere una evaluación de impacto de las transferencias (EIT)?

Una EIT se requiere siempre que se recurra a CCT o BCR para transferir datos a un país no adecuado, y no para el tramo directo Suiza–Francia. La obligación deriva de la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (asunto C-311/18, de 16 de julio de 2020), que estableció que el exportador que recurre a garantías contractuales debe verificar si el Derecho del país de destino ofrece una protección esencialmente equivalente, y añadir medidas complementarias cuando no sea así. El FDPIC adoptó la misma lógica para Suiza y publicó una guía de evaluación de transferencias, acompañada de un cuestionario específico para EE. UU.

Para Suiza–Francia, una EIT sobre la transferencia directa es innecesaria, al ser ambas partes adecuadas. La EIT pasa a ser obligatoria en cuanto una transferencia ulterior alcanza un país no adecuado, y un programa de gestión de riesgos de proveedores debería exigir una por cada subencargado, documentada y reproducible.

Art. 9 nLPD vs art. 28 RGPD: las obligaciones del encargado

El contrato de encargo es obligatorio siempre que un responsable del tratamiento recurre a un encargado, pero ambos regímenes fijan exigencias muy distintas. El art. 28 RGPD es prescriptivo y detallado; el art. 9 nLPD es breve y basado en principios. Si te encuentras bajo ambos regímenes, construir según el estándar del art. 28 RGPD satisface automáticamente la nLPD.

Exigencia Art. 28 RGPD Art. 9 nLPD
Contrato escrito Obligatorio (incl. forma electrónica) Recomendado; no estrictamente impuesto
Contenido mínimo prescrito Sí — lista detallada en el art. 28 ap. 3 Ningún contenido prescrito
Tratamiento según instrucciones documentadas Implícito (tratar solo como podría el responsable)
Medidas de seguridad Remisión al art. 32 Exigidas (art. 8 nLPD / OPDat)
Autorización de subencargo Escrita y previa, específica o general Autorización previa exigida (art. 9 ap. 3)
Derecho de auditoría / inspección Expreso No prescrito
Confidencialidad Exigida Exigida — y sin vulnerar un secreto legal

Conforme al art. 28 ap. 3 RGPD, el contrato debe precisar el objeto, la duración, la naturaleza y la finalidad del tratamiento, los tipos de datos y las categorías de interesados, e imponer el conjunto de obligaciones del encargado: actuar solo según instrucciones, garantizar la confidencialidad, aplicar las medidas de seguridad del art. 32, respetar las reglas de subencargo, asistir con los derechos de los interesados y con los arts. 32 a 36, suprimir o devolver los datos al término de la prestación, y someterse a auditorías.

Conforme al art. 9 nLPD, el responsable puede encomendar el tratamiento a un encargado siempre que (i) este solo trate los datos como el propio responsable estaría facultado para hacerlo, y (ii) ningún deber legal o contractual de confidencialidad lo prohíba. El art. 9 ap. 3, nuevo en la nLPD revisada, obliga al encargado a obtener la autorización previa del responsable antes de recurrir a un subencargado. La nLPD no prescribe ni un contenido contractual mínimo ni un derecho de auditoría explícito, razón por la cual un contrato de nivel RGPD constituye el mínimo común denominador más seguro.

Transferencias ulteriores hacia EE. UU.: los Data Privacy Frameworks

Los subencargados estadounidenses son el motivo más frecuente por el que un flujo de datos Suiza–Francia acaba necesitando un mecanismo de transferencia. Dos marcos resultan aplicables:

  • DPF Suiza–EE. UU.: operativo desde el 15 de septiembre de 2024, fecha en que EE. UU. se añadió al Anexo 1 de la OPDat. Las organizaciones suizas pueden transferir datos a destinatarios estadounidenses certificados bajo el DPF sin garantías adicionales.
  • DPF UE–EE. UU.: adoptado por la Comisión Europea el 10 de julio de 2023 (Decisión de Ejecución (UE) 2023/1795). Los exportadores de la UE, incluidos los franceses, pueden transferir datos a destinatarios certificados sin garantías adicionales.

Verifica la certificación antes de apoyarte en cualquiera de los dos marcos. El destinatario estadounidense debe estar activamente autocertificado, y la certificación debe cubrir el tipo de datos correspondiente (RR. HH. o no RR. HH.). Para un destinatario estadounidense no certificado bajo el DPF, se recae en las CCT (con el «Swiss Finish» para el tramo suizo), una EIT y, en su caso, medidas complementarias.

Un dato de situación que conviene seguir: el DPF UE–EE. UU. fue impugnado y posteriormente confirmado por el Tribunal General de la Unión Europea el 3 de septiembre de 2025 (asunto T-553/23, Latombe c. Comisión), sobre la base de los hechos existentes al adoptarse la decisión de 2023. Un recurso de casación está ahora pendiente ante el Tribunal de Justicia (interpuesto el 31 de octubre de 2025). El marco sigue siendo válido y utilizable, pero los programas prudentes mantienen CCT en reserva para los flujos hacia EE. UU.

Escenarios reales

Un proveedor SaaS establecido en Francia que da servicio a clientes suizos

El flujo Francia↔Suiza está cubierto por la adecuación mutua: sin CCT para ese tramo. El riesgo se aloja en los subencargados del proveedor: prestadores estadounidenses de analítica, soporte o infraestructura. Cartografíalos, confirma la certificación DPF o establece CCT «Swiss Finish» acompañadas de una EIT, y asegúrate de que el contrato refleja la autorización previa del art. 9 ap. 3. Es el escenario en que el trabajo real recae en la diligencia debida sobre el proveedor, y no en la transferencia principal.

Un banco suizo que recurre a un encargado francés

El Derecho de protección de datos trata esta operación como una transferencia libre basada en la adecuación, pero se aplican dos capas distintas, y la adecuación no resuelve ninguna de ellas:

  • El secreto bancario (art. 47 LB). Comunicar datos identificativos del cliente a un proveedor en el extranjero exige, por regla general, o bien el consentimiento expreso de cada cliente (habitualmente recabado mediante las condiciones generales del banco), o bien medidas técnicas —cifrado o seudonimización, conservando el banco las claves— para que el proveedor no pueda reidentificar a los clientes. Las garantías de protección de datos no sustituyen al consentimiento que exige el Derecho del secreto bancario.
  • La Circular FINMA 2018/3 («Externalización – bancos y aseguradoras»), en vigor desde el 1 de abril de 2018. Para una externalización transfronteriza, el banco debe garantizar que él mismo, su auditor y la FINMA puedan ejercer sus derechos de inspección y auditoría, y que los datos almacenados en el extranjero sigan siendo accesibles desde Suiza en todo momento, a efectos de continuidad y liquidación.

Deberes de secreto profesional equivalentes se aplican a los gestores de patrimonios, fiduciarios y sociedades de valores en virtud del art. 69 de la Ley de Establecimientos Financieros (LEFin).

Una empresa suiza que utiliza alojamiento en la nube francés

Transferencia libre al amparo de la adecuación mutua, y el alojamiento francés/europeo suele elegirse precisamente para evitar la exposición a EE. UU. La salvedad: si el proveedor está bajo control estadounidense o sus subencargados pueden acceder a los datos, la exposición al acceso de las autoridades estadounidenses (por ejemplo, la CLOUD Act) puede reintroducir consideraciones de país tercero, aun cuando los servidores se encuentren en Francia.

Transferencias ulteriores hacia otros países terceros

Toda transferencia ulterior hacia un país sin adecuación exige un mecanismo: certificación DPF (solo EE. UU.), CCT acompañadas de una EIT y medidas complementarias, o una excepción legal restringida en el sentido del art. 17 nLPD / art. 49 RGPD.

Sanciones: por qué el modelo suizo es diferente

La nLPD sanciona a la persona física responsable, no a la empresa. Las infracciones intencionadas —en particular la comunicación ilícita al extranjero, el recurso a un encargado no conforme o el incumplimiento de las exigencias mínimas de seguridad— se castigan con multas penales de hasta CHF 250 000, impuestas a la persona física responsable y perseguidas por las autoridades penales cantonales. Solo son punibles las infracciones intencionadas; no existe multa por negligencia al amparo de estas disposiciones. Cuando identificar a la persona responsable exigiera medidas desproporcionadas y la multa no excediera de CHF 50 000, podrá sancionarse a la empresa en su lugar.

En cambio, el RGPD prevé multas administrativas a cargo de la empresa de hasta 20 millones de euros o el 4 % del volumen de negocio anual mundial total, optándose por la cuantía superior. Para una organización sujeta a ambos regímenes, esto implica presupuestar dos tipos de exposición muy distintos: un riesgo financiero a escala de empresa en el lado de la UE, y una responsabilidad penal personal de personas concretas en el lado suizo.

Una hoja de ruta práctica de cumplimiento

Días 0–30 — Cartografiar. Inventaría cada flujo de datos Suiza–Francia y, sobre todo, cada transferencia ulterior y cada subencargado. Documenta que el tramo directo se basa en la adecuación (reconocimiento de Suiza por la UE; Francia en el Anexo 1 de la OPDat). Señala todo subencargado situado en un país no adecuado.

Días 30–60 — Cerrar las brechas contractuales. Para los subencargados estadounidenses, verifica la certificación DPF; en su defecto, celebra CCT de la UE «Swiss Finish» acompañadas de una EIT. Establece contratos de encargo al nivel del art. 28 RGPD (que satisfacen también el art. 9 nLPD, incluida la autorización de subencargo del art. 9 ap. 3).

Días 60–90 — Superponer las reglas sectoriales. Para los datos del sector financiero, añade controles de secreto bancario (consentimiento del cliente y/o claves de cifrado en poder del banco) y las cláusulas de auditoría, inspección y accesibilidad desde Suiza de la Circular FINMA 2018/3, por encima del contrato de encargo.

De forma continua — Vigilar. Sigue el recurso Latombe ante el Tribunal de Justicia y cualquier nueva decisión de adecuación de la UE respecto de Suiza; mantén CCT en reserva para los flujos hacia EE. UU.; vuelve a realizar las EIT cada vez que cambie una ley o un subencargado.

Preguntas frecuentes

¿Es Suiza un país adecuado en el sentido del RGPD?

Sí. La Comisión Europea reconoció la adecuación de Suiza mediante la Decisión 2000/518/CE (2000) y confirmó, en su revisión de 15 de enero de 2024, que Suiza continúa garantizando un nivel de protección adecuado. Francia, como Estado miembro de la UE, se apoya en este reconocimiento.

¿Hacen falta CCT para transferir datos personales de Francia a Suiza?

No. Francia se apoya en el reconocimiento de adecuación de la UE respecto de Suiza; la transferencia no requiere ni CCT ni garantías adicionales, solo las obligaciones ordinarias de tratamiento y de contrato.

¿Hacen falta CCT para transferir datos personales de Suiza a Francia?

No. Francia figura en la lista suiza de países con protección adecuada (Anexo 1 de la Ordenanza de Protección de Datos), de modo que la transferencia está exenta de CCT.

¿Es la nLPD igual que el RGPD?

No. La nLPD está ampliamente alineada con el RGPD, pero es más escueta. Sus reglas de encargo son más ligeras, y sus sanciones recaen sobre la persona física responsable (hasta CHF 250 000) en lugar de imponer multas calculadas sobre el volumen de negocio de la empresa.

¿Cuáles son las sanciones por transferencias ilícitas en el Derecho suizo?

Las infracciones intencionadas se castigan con multas penales de hasta CHF 250 000, impuestas a la persona física responsable y perseguidas por las autoridades cantonales. La empresa solo puede ser sancionada (hasta CHF 50 000) cuando identificar a la persona responsable exigiera medidas desproporcionadas.

¿Son válidas en Suiza las cláusulas contractuales tipo de la UE?

Sí, con adaptaciones. El FDPIC reconoce las CCT de la UE a reserva de un «Swiss Finish»: designación del FDPIC como autoridad de control, aplicación de la nLPD y protección de los derechos de acción de los interesados suizos.

¿Constituye un acceso remoto desde el extranjero una transferencia en el Derecho suizo?

Sí. Conceder desde el extranjero un acceso a datos almacenados en Suiza constituye una comunicación al extranjero, aunque los datos no se copien ni se desplacen.

¿Puede un banco suizo recurrir a un encargado en Francia?

Sí, pero la adecuación en materia de protección de datos no basta. El secreto bancario (art. 47 LB) y la Circular FINMA 2018/3 se aplican por separado e imponen, por regla general, el consentimiento del cliente o un cifrado con claves en poder del banco, además de garantías de auditoría y de accesibilidad desde Suiza.

¿Es válido el DPF Suiza–EE. UU.?

Sí. El DPF Suiza–EE. UU. está operativo desde el 15 de septiembre de 2024 y permite las transferencias a destinatarios estadounidenses certificados sin garantías adicionales. Los destinatarios no certificados siguen requiriendo CCT y un análisis de la transferencia.

¿Qué es una evaluación de impacto de las transferencias y cuándo se necesita?

Una EIT es una verificación documentada de si el país de destino ofrece una protección esencialmente equivalente. Se requiere cuando se recurre a CCT o BCR para transferir a un país no adecuado, y no para el tramo directo Suiza–Francia.

Domina estos aspectos en toda tu cadena de proveedores

La mayoría de los incumplimientos Suiza–Francia no tienen que ver con la transferencia principal, sino con el subencargado situado tres niveles más abajo. Supplier Shield cartografía tus flujos de datos, valida los mecanismos de transferencia de tus proveedores y somete tus contratos de encargo a la prueba tanto de la nLPD como del RGPD.

Reserva una consulta con un DPO →

Lecturas relacionadas: La nLPD explicada · Art. 28 RGPD: las obligaciones del encargado

Este artículo ofrece información general y no constituye asesoramiento jurídico. Verifica tu situación concreta con las fuentes primarias —la nLPD y la Ordenanza de Protección de Datos (Fedlex), las directrices del FDPIC, la CNIL y las páginas de adecuación de la Comisión Europea— o consulta a un asesor cualificado.

¿Qué hacer a continuación?

¿Quiere aplicar esto a su ecosistema de proveedores? Vea la plataforma en acción y mapee sus principales riesgos de proveedores en vivo en una demostración.