La versión actual de la Ley de Protección de la Privacidad del Consumidor (CPPA, por sus siglas en inglés) no logró ser aprobada por el Parlamento de Canadá en septiembre, pero dio lugar al Proyecto de Ley 64 de Quebec: una ley para modernizar la protección de la información personal.
Después de un año y medio de proceso legislativo, el Proyecto de Ley 64 fue adoptado y recibió la aprobación de la Asamblea Nacional de Quebec el 22 de septiembre de 2021.
Proyecto de ley 64: ¿Qué futuro le espera a la privacidad en Canadá?
Ya aprobado, el Proyecto de Ley 64 afectará a varias leyes que, en conjunto, modernizarán la protección de datos personales y el marco vigente de privacidad de datos en Quebec. Los partidos y las prácticas políticas, los sectores público y privado, y las organizaciones privadas se verán afectados y estarán obligados a cumplir, so pena de sufrir graves sanciones.
El requisito afectado —contabilización de solicitudes de acceso de los interesados (DSARs), consentimiento, evaluaciones de impacto sobre la privacidad (PIAs) y las obligaciones de confidencialidad, entrarán en vigor gradualmente durante los próximos tres años como una reforma integral de la privacidad en Canadá. Este avance podría allanar el camino para la aprobación de la CPPA.
Cumplimiento y multas
Una característica importante del Proyecto de Ley 64, que ha recibido cierta atención, es la fuerza que tiene para exigir su cumplimiento.
Nuevas multas monetarias
La Comisión de Acceso a la Información de Quebec (CAI) tendrá la facultad de imponer nuevas multas administrativas monetarias por las siguientes razones:
- falta de información a las personas
- recopilación, uso o divulgación ilegal de información
- falta de garantía de la protección de la información personal
- No informar sobre una infracción o incidente
El importe máximo de las multas es de 50.000 dólares canadienses para personas físicas y de 10.000.000 dólares canadienses para empresas o, si es mayor, 2% de los ingresos totales del año anterior.
En comparación, delitos como negarse a cooperar con las investigaciones o a proporcionar la documentación requerida tienen un alcance cada vez mayor y multas gestionadas por el Fiscal General. En este caso, la multa máxima será de CAD 5.000 a CAD 100.000 en el caso contra una persona. En todos los demás casos relacionados con empresas, la multa será de CAD 15.000 a CAD 25.000.000, o 4% de los ingresos totales del año anterior.
En caso de infracciones consecutivas, las multas se duplicarán.
Gobernanza y protección
Responsable de Privacidad
De manera similar al RGPD, el Proyecto de Ley 64 introduce el principio de rendición de cuentas por parte de la organización, colocando la responsabilidad de proteger la información personal en el rol de un “Responsable de Privacidad”.
Políticas y prácticas
El Proyecto de Ley 64 exige que todas las organizaciones implementen políticas y prácticas de gobernanza de la privacidad. La gobernanza de datos consiste en marcos para el mantenimiento y la eliminación de información, la definición de roles y responsabilidades, la gestión del ciclo de vida de los datos y el proceso para gestionar las solicitudes de derechos de datos.
Además, la información relacionada con la privacidad de estas políticas debe publicarse en el sitio web de la empresa en un lenguaje claro y básico.
PIAs
El proyecto de ley 64 también exige que las organizaciones utilicen PIAs evaluar todos los datos relacionados con la privacidad que impliquen la recopilación, el uso, la divulgación o la eliminación de información personal.
Derechos de los individuos
Derecho a borrar
Además de la eliminación, el Proyecto de Ley 64 permite que las personas exijan a las organizaciones que:
- detener el intercambio de información personal
- desindexar hipervínculos con acceso a esa información
- reindexar hipervínculos que permiten el acceso a la información
Derecho a la portabilidad de datos
El Proyecto de Ley 64 permite a las personas solicitar una copia de su información personal en una transcripción digital. Dicha información, previa solicitud, debe ser divulgada en formato digital estructurado a una persona o entidad autorizada.
Derecho a optar por no participar en la toma de decisiones automatizada
Por último, el Proyecto de Ley 64 exige que las organizaciones deben alertar a las personas cuando información personal Las decisiones se basan en el procesamiento automatizado de la información. Una vez solicitada la información, se debe informar al solicitante de:
- las razones que llevaron a la decisión
- La información personal utilizada para la decisión
- el derecho de la persona a corregir la información personal utilizada para tomar la decisión
Cómo prepararse para el Proyecto de Ley 64 de Quebec
Para prepararse para la CPPA, el 21% de las empresas canadienses esperan gastar $10 millones o más, y el 37% esperan contratar diez empleados a tiempo completo. según PwC CanadáAdemás, el Proyecto de Ley 64 afectará a las empresas canadienses, que tendrán que adaptarse a las nuevas mejores prácticas y utilizar marcos de privacidad para mantener el cumplimiento.
Las organizaciones que han adoptado un enfoque proactivo respecto del Reglamento General de Protección de Datos (RGPD) de la UE estarán en mejores condiciones para el Proyecto de Ley 64 de Quebec, pero aún deberán tomar las medidas necesarias para cumplir con las disposiciones únicas de la nueva ley canadiense.
La plataforma de inteligencia de datos de BigID permite a las organizaciones descubrir, clasificar y mapear todos los datos personales, sensibles y regulados en las políticas y en todo el panorama de datos. Como resultado, las empresas pueden cumplir con las obligaciones de cumplimiento de la Ley 64, implementar la privacidad, automatizar las solicitudes de derechos de datos, gestionar los riesgos de privacidad mediante PIA y, en última instancia, proteger los datos de sus clientes.
Verificar BigID en acción para ver cómo ayudamos a las empresas a abordar los requisitos de cumplimiento de la Ley 64 de Quebec y desarrollar un programa de privacidad proactivo para adaptarse a la regulación actual.