A medida que evolucionan las regulaciones globales de privacidad, las organizaciones que operan o interactúan con consumidores canadienses deben mantenerse a la vanguardia. Uno de los avances más significativos en la legislación canadiense sobre privacidad es la Ley 25 de Quebec, anteriormente conocida como Proyecto de Ley 64, que reforma el marco de privacidad de la provincia e impone requisitos más estrictos sobre cómo... información personal Se recopila, se utiliza y se protege.
¿Qué es la Ley 25 de Quebec?
Adoptada en septiembre de 2021, la Ley 25 de Quebec (Loi modernisant des dispositions législatives en matière de Protection des renseignements personals) moderniza la legislación de privacidad de Quebec y la alinea más estrechamente con estándares globales como el RGPD de la UE y California CCPA/CPRASus disposiciones se están implementando gradualmente a lo largo de tres años, y las fechas límite de aplicación más críticas llegarán en septiembre de 2023 y septiembre de 2024.
La Ley 25 de Quebec introduce varias mejoras significativas en el marco de privacidad de la provincia, incluyendo derechos de privacidad más sólidos para las personas y nuevas obligaciones para los responsables del tratamiento de datos. Estas incluyen requisitos para mantener políticas de privacidad claras, realizar evaluaciones de riesgos e impacto en la privacidad, y proporcionar notificaciones oportunas en caso de una filtración de datos.
Ley 25 de Quebec vs. PIPEDA
Ley de Quebec 25 y LPRPED (Ley de Protección de la Información Personal y de Documentos Electrónicos) son leyes canadienses de privacidad, pero difieren significativamente en su alcance, aplicación y modernización. La Ley PIPEDA es una ley federal que se aplica a las organizaciones del sector privado en la mayor parte de Canadá y establece estándares básicos de privacidad para la recopilación, el uso y la divulgación de información personal en actividades comerciales. En contraste, la Ley 25 de Quebec es una ley provincial que introduce requisitos más estrictos y completos para las organizaciones que operan en Quebec o que manejan datos de residentes de Quebec. La Ley 25 exige un consentimiento claro e informado, evaluaciones de impacto en la privacidad y transparencia en la toma de decisiones automatizada, e impone sanciones mucho más severas por incumplimiento que la Ley PIPEDA. Si bien la Ley PIPEDA se encuentra actualmente en revisión para su modernización (a través de la propuesta... CPPA), Quebec ya ha implementado un marco más similar al GDPR, posicionándose como líder en regulación de la privacidad dentro de Canadá.
¿A quién se aplica la Ley 25?
La Ley 25 de Quebec, anteriormente conocida como Proyecto de Ley 64, tiene un amplio alcance que trasciende con creces los límites organizacionales tradicionales. A diferencia de algunas leyes de privacidad que se aplican solo a ciertos sectores o tamaños de organizaciones, la Ley 25 está diseñada para proteger la información personal de todos los residentes de Quebec, independientemente de quién gestione sus datos. Esto incluye empresas del sector privado e instituciones públicas.agencias gubernamentales, instituciones educativas y otros organismos públicos), organizaciones sin fines de lucro y personas que actúen en calidad de profesionales (proveedores de atención médica, asesores legales, profesionales financieros o agentes inmobiliarios)
Es importante destacar que la ley es de naturaleza territorial. Su aplicabilidad se basa en la ubicación de la persona cuyos datos se procesan, no de la organización. Esto significa que, incluso si su empresa está ubicada fuera de Quebec, o incluso fuera de Canadá, está sujeta a la Ley 25 si maneja información personal de residentes de Quebec. Este amplio alcance refuerza el objetivo de la ley de defender y hacer cumplir los derechos de privacidad de las personas en toda la provincia.
Requisitos de la Ley 25 de Quebec
Estos son los aspectos más importantes que las empresas deben comprender:
1. Consentimiento y transparencia
Las empresas deben obtener el consentimiento claro, libre e informado de las personas, especialmente cuando recopilan datos confidenciales. Consentimiento Deben ser granulares y específicas para cada propósito del uso de los datos. Además, las políticas de privacidad deben ser fácilmente accesibles y describir claramente las prácticas de procesamiento de datos.
2. Evaluaciones de impacto sobre la privacidad (PIA)
La Ley 25 exige que las organizaciones realicen Evaluaciones de impacto sobre la privacidad en determinadas situaciones, como la recopilación, el uso, la divulgación o la eliminación de información personal, la adquisición, el desarrollo o el lanzamiento de nuevas tecnologías o sistemas de información, la transferencia de información personal fuera de Quebec y la realización de una toma de decisiones automatizada utilizando datos personales.
Una evaluación debe incluir información relacionada con:
- La sensibilidad de la información
- El propósito y los usos de la información
- Las medidas de protección de datos
- La jurisdicción donde se comparte la información y el marco legal aplicable
3. Derechos del titular de los datos
Los derechos del interesado en la Ley 25 son muy similares a los del Reglamento General de Protección de Datos (RGPD) de la UE.
Los derechos del interesado en Quebec incluyen:
- Derecho de acceso
- Derecho a corregir información inexacta
- Derecho de supresión
- Derecho a retirar el consentimiento
- Derecho a restringir el procesamiento
- Derecho a solicitar la portabilidad de datos
- Derecho a ser informado y a oponerse a la toma de decisiones automatizada.
Los equipos de privacidad deben responder dentro de los 30 días posteriores a la recepción de la solicitud, pero existe la posibilidad de una extensión en algunas circunstancias.
4. Notificación de infracciones
La Ley 25 exige que las organizaciones notifiquen a la Comisión de Acceso a la Información (CAI) y a las personas afectadas violaciones de datos, como acceso no autorizado de información personal que podría suponer un “riesgo de daño grave”.
Según la Ley 25, las organizaciones están obligadas a informar rápidamente sobre cualquier violación tan pronto como ocurra y a mantener registros detallados de todos los incidentes de seguridad.
5. Minimización y retención de datos
Las organizaciones destruyen de forma segura los datos que ya no necesitan, y estos deben conservarse solo el tiempo necesario y utilizarse para un fin legítimo. Además, las empresas deben mantener un inventario de datos y un programa de retención.
6. Gobernanza y rendición de cuentas
La Ley 25 exige el nombramiento de un Oficial de Privacidad. Si no se designa a nadie, por defecto, el Director Ejecutivo será considerado el Oficial de Privacidad. El Oficial de Privacidad es responsable de supervisar actividades específicas de cumplimiento, como Cumplimiento de DSAR, informes de violaciones de datos, y realizar evaluaciones de impacto sobre la privacidad.
Desde una perspectiva de gobernanza, la ley exige mantener registros de las actividades de procesamiento de datos, así como implementar políticas internas y programas de capacitación de los empleados.
7. Toma de decisiones automatizada
Al utilizar IA o algoritmos para tomar decisiones con un impacto significativo en las personas, las empresas deben informar a las personas, proporcionarles la justificación de la decisión y otorgarles el derecho a impugnar el resultado.
Ley 25 Sanciones por Incumplimiento
Las sanciones previstas en la Ley 25 son sustanciales:
- Las multas administrativas pueden alcanzar hasta $10 millones de CAD o 2% de facturación mundial, lo que sea mayor.
- Las sanciones penales pueden llegar hasta $25 millones de CAD o 4% de ingresos globales por infracciones graves.
- Una persona puede ejercer su derecho a demandar legalmente a organizaciones que infrinjan la ley. La indemnización mínima por daños y perjuicios es de 1TP a 1000 T por persona. Además, las personas pueden emprender acciones legales colectivas mediante demandas colectivas.
Cómo BigID ayuda con el cumplimiento de la Ley 25
BigID ayuda a las organizaciones a conectar los puntos entre los datos y la IA para la seguridad, la privacidad, el cumplimiento y Gestión de datos de IABigID es una plataforma líder de inteligencia de datos que ayuda a las organizaciones a descubrir, gestionar y proteger datos personales y sensibles en todo su ecosistema. Así es como BigID contribuye al cumplimiento de la Ley 25 de Quebec:
1. Descubrimiento y clasificación de datos
BigID utiliza aprendizaje automático avanzado e inteligencia artificial para identificar automáticamente Descubrir y clasificar información personal y confidencial en fuentes de datos estructuradas y no estructuradas para ayudar a las organizaciones a comprender qué datos tienen y dónde residen, identificar datos confidenciales y regulados, y garantizar mapas e inventarios de datos precisos y completos.
2. Evaluaciones de impacto sobre la privacidad (PIA)
BigID proporciona flujos de trabajo para realizar evaluaciones de impacto de protección de datos (PIA) y evaluaciones de impacto de protección de datos (DPIA) automatizadas, lo que facilita la evaluación del riesgo asociado con nuevos proyectos, la documentación del cumplimiento y el intercambio de evaluaciones internamente o con los reguladores según sea necesario.
3. Gestión de consentimiento y preferencias
A través de integraciones y API, BigID permite el seguimiento granular del consentimiento en todas las fuentes de datos y sistemas, actualizaciones y visibilidad del estado del consentimiento del usuario y la gestión de las preferencias del usuario en todas las plataformas para garantizar el cumplimiento de los estándares de transparencia y consentimiento de la Ley 25.
4. Cumplimiento de los derechos del titular de los datos
BigID agiliza DSR (Solicitud del interesado) con flujos de trabajo de extremo a extremo que procesan el descubrimiento de datos personales relevantes, lo que permite una fácil extracción, redacción y entrega de datos y respalda los derechos de acceso, corrección, eliminación y portabilidad.
5. Gestión de riesgos e infracciones
BigID ayuda a detectar comportamientos de datos riesgosos y respalda la gestión proactiva puntuación de riesgo, alertas de riesgo automatizadas para patrones de acceso inusuales o violaciones de políticas y flujos de trabajo optimizados para incidentes e infracciones para cumplir con las reglas de notificación de infracciones de la Ley 25.
6. Gobernanza y automatización de políticas
BigID ayuda a hacer cumplir retención de datos, minimizacióny políticas de gobernanza a través de la gestión del ciclo de vida de los datos basada en políticas, etiquetado y marcaje de datos, y la integración con herramientas de seguridad y privacidad existentes.
Ya sea para mejorar la transparencia, gestionar el riesgo o poner en práctica la privacidad por diseño, BigID es su socio estratégico para lograr y mantener el cumplimiento de la Ley 25 y más allá. Solicite una demostración para verlo en acción.
Autor
