Suisse

Publicado a 18 de março de 2026

RGPD vs nLPD para os leads: o que muda na Suíça

RGPD e nLPD regem ambos os seus leads, mas não da mesma forma: âmbito de aplicação, base jurídica, consentimento, sanções. O ponto claro para quem compra leads B2B na Suíça.

Desde a entrada em vigor da nova lei federal de proteção de dados (nLPD) a 1 de setembro de 2023, muitas empresas suíças presumem que, por operarem apenas na Suíça, só a nLPD lhes diz respeito. A realidade é mais matizada: consoante a origem dos contactos e os mercados visados, o Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD) também pode aplicar-se a leads tratados a partir da Suíça. Para uma empresa que compra ou revende pedidos de clientes, saber que lei governa os dados recebidos não é uma formalidade jurídica abstrata: é o que determina como o consentimento deve ser recolhido, como os dados podem circular e quem assume a responsabilidade em caso de incumprimento.

Este dossiê compara os dois quadros na perspetiva precisa da compra de leads qualificados, sem jargão inútil. Não substitui o parecer de um jurista sobre a sua situação específica, mas dá-lhe as referências para colocar as perguntas certas a um fornecedor e verificar que a cadeia de dados que chega até si está conforme. Completa o nosso dossiê dedicado à nLPD e à compra de leads B2B, bem como os dossiês sobre a qualidade dos leads e sobre a escolha de um fornecedor, onde a vertente contratual é aprofundada.

Porque as duas leis podem dizer respeito à sua empresa

O primeiro erro consiste em raciocinar pela nacionalidade da empresa em vez de pela situação de tratamento. A nLPD aplica-se aos tratamentos de dados que produzem efeitos na Suíça, independentemente do local onde são efetuados. O RGPD, por seu lado, tem um alcance extraterritorial: aplica-se assim que uma empresa, mesmo estabelecida fora da União, oferece bens ou serviços a pessoas situadas na UE ou monitoriza o seu comportamento. Em concreto, uma empresa suíça que compra leads correspondentes exclusivamente a residentes suíços permanece principalmente sob a nLPD; mas assim que um lead diz respeito a uma pessoa residente na UE, ou a sua atividade visa clientes transfronteiriços, o RGPD entra em jogo em paralelo.

Para quem compra leads, isto tem uma consequência prática: é preciso saber de onde vêm os contactos que recebe. Um fornecedor que recolhe pedidos através de formulários acessíveis a partir da vizinha França ou destinados a trabalhadores transfronteiriços trata potencialmente dados abrangidos pelo RGPD. Não é um obstáculo em si — os dois regimes são amplamente compatíveis — mas obriga a verificar que o fornecedor aplica o mais exigente dos dois padrões, em vez de supor que «como estamos na Suíça, basta a nLPD». Na dúvida, é mais prudente tratar todos os leads segundo o padrão mais rigoroso.

A base comum aos dois regimes

Apesar das suas diferenças, a nLPD e o RGPD assentam nos mesmos grandes princípios, e isso é uma boa notícia para quem compra leads: cumprir seriamente um aproxima muito do outro. Ambos os textos impõem a transparência (a pessoa deve saber quem recolhe os seus dados e para quê), a limitação à finalidade (os dados recolhidos para uma ligação entre partes não podem ser desviados para um uso sem relação), a minimização (recolher apenas o necessário), a segurança dos dados e o respeito pelos direitos das pessoas: acesso, retificação, apagamento, oposição.

Para a empresa recetora, estes princípios traduzem-se em obrigações concretas. Deve poder dizer a um cliente, se este o pedir, de onde vem o seu pedido e porque o contacta. Deve estar em condições de apagar os seus dados se ele se opuser ou se já não tiver uma razão legítima para os conservar. Deve proteger o ficheiro de leads recebidos como quaisquer outros dados pessoais. Estes requisitos são idênticos ou muito próximos nos dois regimes; as diferenças reais, as que contam no momento de escolher um fornecedor ou redigir um contrato, situam-se noutro lado.

O que muda realmente: base jurídica, consentimento e sanções

A diferença mais estrutural incide sobre a base jurídica do tratamento. O RGPD exige, para cada tratamento, uma base jurídica explícita de entre uma lista fechada: consentimento, execução de um contrato, obrigação legal, interesse legítimo, e assim por diante. A nLPD raciocina de forma diferente: para uma empresa privada, o tratamento de dados não sensíveis é em princípio lícito enquanto não constituir uma ofensa ilícita à personalidade do titular. O consentimento não é sistematicamente exigido; torna-se necessário nomeadamente para levantar uma ofensa, para os dados sensíveis ou para certas comunicações. Na prática, a nLPD deixa um pouco mais de margem no tratamento de contactos profissionais, mas essa flexibilidade nunca dispensa de informar as pessoas nem de respeitar o seu direito de oposição.

A segunda diferença importante reside nas sanções e em quem elas visam. O RGPD prevê coimas administrativas dirigidas contra a empresa responsável, calculadas em proporção do seu volume de negócios mundial. A nLPD, por seu lado, prevê sanções penais que visam prioritariamente a pessoa singular responsável dentro da empresa (por exemplo o dirigente que infringiu certas obrigações), e não a entidade enquanto tal. Esta lógica muito diferente explica porque a conformidade com a nLPD se joga muito ao nível das responsabilidades internas claramente atribuídas. Existem outras divergências — prazo de notificação de uma violação de dados, limiares de isenção para o registo de tratamentos das PME, designação de um representante na Suíça para os responsáveis estabelecidos no estrangeiro — mas base jurídica e regime de sanções são os dois pontos que quem compra leads deve ter em mente.

Consentimento, prospeção e o papel da LCD

Sobre os leads, a questão do consentimento junta-se a uma regra frequentemente esquecida: na Suíça, a prospeção comercial em massa não é regida apenas pela nLPD, mas também pela lei contra a concorrência desleal (LCD). Esta sujeita o envio de publicidade em massa por via eletrónica (e-mail, SMS) a um regime de opt-in: em princípio exige o consentimento prévio do destinatário, uma identificação correta do remetente e uma possibilidade de recusa simples. Esta regra visa a empresa que explora o lead, não apenas a que o recolheu. Por outras palavras, comprar um lead não o dispensa de verificar em que base está autorizado a contactá-lo, e por que canal.

O ponto tranquilizador para o comprador é que um lead corretamente qualificado resolve o essencial do problema: a pessoa preencheu um formulário pedindo explicitamente para ser recontactada por um profissional do seu setor. Esse consentimento, desde que documentado e rastreável, constitui uma base sólida tanto face à nLPD como ao RGPD, e cobre o primeiro contacto previsto pela LCD. É precisamente por isso que a rastreabilidade do consentimento — marca temporal, formulação exata do formulário, endereço IP se for o caso — é o critério mais importante a exigir de um fornecedor. Um lead sem prova de consentimento é um risco jurídico disfarçado de oportunidade comercial, qualquer que seja o regime aplicável.

O que quem compra leads deve verificar concretamente

No momento de escolher um fornecedor, algumas verificações simples permitem proteger toda a cadeia. Peça primeiro a prova do consentimento: o fornecedor deve poder mostrar-lhe, para um dado lead, aquilo a que a pessoa consentiu, quando e como. Certifique-se depois de que o contrato que o vincula precisa os papéis de cada um em termos de proteção de dados — quem decide as finalidades, quem trata por conta de quem — pois é este documento que determinará a sua responsabilidade em caso de controlo ou de reclamação. Verifique a forma como os leads lhe são transmitidos e armazenados, e durante quanto tempo o fornecedor conserva os dados depois de lhos ter cedido.

Dois pontos merecem uma atenção particular se existir uma dimensão europeia. Primeiro, as transferências de dados: a Suíça dispõe do seu próprio regime para os fluxos transfronteiriços, e a UE reconhece à Suíça uma proteção adequada, o que fluidifica as trocas — mas um fornecedor que aloja ou subcontrata fora deste espaço deve poder justificá-lo. Segundo, a existência de um ponto de contacto claro para os pedidos das pessoas em causa (acesso, apagamento), que terá de poder honrar. Uma vez reunidos estes elementos, a sua exposição jurídica torna-se controlada: trabalha a partir de pedidos consentidos, num quadro contratual claro, com um fornecedor capaz de documentar a conformidade da sua recolha. É este rigor a montante, muito mais do que a escolha entre nLPD e RGPD, que protege duradouramente a empresa recetora.

Perguntas frequentes

O RGPD aplica-se à minha empresa suíça?

Não automaticamente, mas também não nunca. Se só tratar pedidos de residentes suíços, prevalece a nLPD. Assim que um lead diz respeito a uma pessoa residente na UE, ou visa clientes da UE, o RGPD pode aplicar-se em paralelo. Na dúvida, é prudente alinhar as suas práticas pelo padrão mais rigoroso.

Qual é a principal diferença entre nLPD e RGPD para os leads?

A base jurídica. O RGPD exige uma base jurídica explícita para cada tratamento. A nLPD considera lícito o tratamento de dados não sensíveis enquanto não constituir uma ofensa ilícita à personalidade. As sanções também diferem: coimas contra a empresa no RGPD, sanções penais visando sobretudo a pessoa responsável na nLPD.

Preciso de consentimento para recontactar um lead comprado?

Um lead corretamente qualificado já inclui um consentimento explícito para ser recontactado, o que constitui uma base sólida nos dois regimes e cobre o primeiro contacto face à LCD. O que importa é que esse consentimento seja documentado e rastreável: exija sempre do fornecedor a prova daquilo a que a pessoa consentiu.

Quem é responsável em caso de não conformidade, o fornecedor ou eu?

Ambos podem ser, cada um pela sua parte. O fornecedor responde pela licitude da recolha; você, pelo uso que faz dos dados depois de recebidos. O contrato que precisa os papéis de cada um é determinante: sem ele, é difícil delimitar as responsabilidades perante um controlo ou uma reclamação.

Tenho de manter um registo dos tratamentos?

Tanto o RGPD como a nLPD preveem um registo das atividades de tratamento, com isenções para as pequenas estruturas cujos tratamentos apresentam um risco limitado. Mesmo dispensado, manter um inventário simples dos seus ficheiros de leads (origem, finalidade, prazo de conservação) continua a ser uma boa prática que facilita qualquer verificação posterior.

Pronto para encher o seu pipeline comercial?

Indique o seu setor, a sua zona e o seu volume: colocamo-lo em contacto com pedidos de clientes prontos a serem contactados.