El 7 de noviembre de 2020, el gobierno de Canadá presentó Proyecto de ley C-11, que se compone de dos estatutos: la Ley de Protección de la Privacidad del Consumidor (CPPA, por sus siglas en inglés) y la Ley del Tribunal de Protección de Datos e Información Personal (PIDPTA, por sus siglas en inglés).
La CPPA reemplazará el estatuto de privacidad existente en Canadá, el Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA), mientras que PIDPTA creará un nuevo tribunal para hacer cumplir la CPPA e imponer sanciones a los infractores.
Si bien algunos aspectos del proyecto de ley C-11, que actualmente está pasando por el proceso legislativo, pueden cambiar en su camino hacia la aprobación real, está previsto que sea una de las leyes de protección de datos más estrictas de todos los países del G-7 (Canadá, Francia, Alemania, Italia, Japón, el Reino Unido y los Estados Unidos).
Proyecto de ley C-11: ¿Qué hay de nuevo?
La propuesta de la CPPA traerá consigo algunos cambios clave en las leyes canadienses de protección de datos. En concreto, aumentará la derechos de privacidad de datos de los individuos, las obligaciones de controladores y procesadores de datos, las facultades de ejecución y las sanciones.
Derechos individuales y definiciones
El derecho a la movilidad de datos: La CPPA mejorará derechos del interesado para las personas, al permitir que los canadienses tengan un acceso más claro y manejable a sus datos personales. Reglamento General de Protección de Datos de la UE El derecho a la portabilidad de datos del RGPD avanza un paso más: la nueva ley introducirá el derecho a la movilidad de la información personal. Esto permitirá a una persona solicitar que su información se transfiera de la organización que la recopiló a otra de su elección, siempre que ambas organizaciones cumplan los requisitos del marco de movilidad de datos. Los requisitos exactos de dicho marco se detallarán en el borrador final de la CPPA.
El derecho de supresión: Los consumidores canadienses también tendrán la derecho de supresión, lo que significa que las personas podrán solicitar a una organización la eliminación de todos sus datos personales. Las organizaciones deberán cumplir con la solicitud de la persona de ejercer estos derechos dentro de un plazo a determinar.
Consentimiento significativo: El consentimiento significativo es la piedra angular de la CPPA y solo puede considerarse válido si se proporciona la siguiente información en un lenguaje sencillo:
- El propósito de la recopilación, uso o divulgación de información
- La forma en que se recopilará, utilizará o divulgará la información
- Cualquier consecuencia razonablemente previsible de dicha recopilación, uso o divulgación
- El tipo específico de información que se recopilará, utilizará o divulgará
- Los nombres de cualquier terceros o tipos de terceros a los que la organización puede divulgar la información personal
Lenguaje sencillo: El propósito de enfatizar el uso de un lenguaje sencillo es garantizar que las personas comprendan plenamente a qué están consintiendo. La validez del consentimiento también depende de que se demuestre que fue explícito o implícito según las circunstancias. Si bien las circunstancias aceptables para el consentimiento implícito deben determinarse, la simple necesidad de demostrar que se otorgó implica que las organizaciones deben estar preparadas para crear nuevos procedimientos de documentación interna o evaluar los existentes.
La CPPA también aumentar la transparencia en torno al uso de sistemas automatizados de toma de decisiones, otorgando a los individuos el derecho a una explicación de cualquier predicción, recomendación o decisión que tomen esos sistemas.
Obligaciones de las organizaciones
Políticas de privacidad, procedimientos e informes a la OPC: La CPPA aumenta las obligaciones de los responsables y encargados del tratamiento de datos, exigiendo a las organizaciones implementar programas de gestión de la privacidad que mantengan las políticas y procedimientos de protección de datos y privacidad. Estos procedimientos deben estar disponibles para la Oficina del Comisionado de Privacidad de Canadá (OPC) previa solicitud. Estos programas deben incluir la recepción y tramitación de solicitudes de derechos individuales, la capacitación del personal y cualquier política y documentación complementaria que explique cómo se implementa la ley en toda la organización.
La CPPA también permitirá a las organizaciones obtener la aprobación de la OPC para códigos de práctica y programas de certificación que establecen las normas sobre su aplicación a determinadas actividades, sectores o modelos de negocio. Esto ayudará a las organizaciones a comprender sus obligaciones bajo la CPPA y a demostrar mejor su cumplimiento efectivo.
Proveedores de servicios: Según la CPPA, se impondrán obligaciones específicas a los proveedores de servicios que reciban información personal transferida. Se define como proveedor de servicios a cualquier organización que preste servicios para otra organización o en su nombre para ayudarla a cumplir sus fines, lo que incluye a las empresas subsidiarias o afiliadas y a los contratistas.
Cuando una organización transfiere información personal a un proveedor de servicios, este estará obligado, ya sea contractualmente o de otro modo, a brindar prácticamente la misma protección que la organización que la recopiló. A menos que el proveedor de servicios recopile, utilice o divulgue la información transferida para un fin distinto al de la transferencia, estará exento de la mayoría de las obligaciones de la CPPA, excepto los requisitos relacionados con la seguridad y la notificación de violaciones de datos.
Desidentificación: La CPPA permitirá a las organizaciones utilizar información personal para ciertos fines sin el conocimiento ni el consentimiento del titular de los datos, siempre que la anonimiden. Entre las circunstancias aceptables se incluyen, por ejemplo, la investigación y el desarrollo internos o el contexto de posibles transacciones comerciales.
Cualquier medida técnica y administrativa que una empresa aplique a la información debe ser proporcional al propósito para el cual se anonimiza y a la confidencialidad de la información personal. Las organizaciones también tendrán prohibido utilizar información anonimizada junto con otros datos que puedan reidentificar a una persona.
Aplicación
Además de establecer estos derechos individuales y requisitos para las empresas, el proyecto de ley C-11:
- crear un segundo órgano de ejecución en forma de tribunal especial a través de PIDPTA
- Aumentar las sanciones por violaciones de la CPPA
- Empoderar a los individuos con un nuevo derecho privado de acción
PIDPTA: Actualmente, la aplicación de las leyes de protección de datos en Canadá recae en la OPC, pero mediante la Ley de Protección de Datos Personales (PIDPTA), su aplicación se dividirá entre la OPC y un nuevo tribunal. En virtud de la Ley de Protección de Datos Personales (CPPA), la OPC tendrá la facultad de iniciar una investigación oficial y será responsable de emitir una decisión para cerrarla. La OPC también podrá recomendar sanciones pecuniarias al nuevo tribunal.
Las decisiones de la OPC estarán sujetas a impugnación legal. Las personas podrán apelar cualquier fallo, orden o decisión del nuevo tribunal, y este podrá determinar si impone una sanción. Podrá optar por seguir la recomendación de la OPC o imponer su propia decisión.
Aumento de las sanciones: La CPPA también permitirá multas más elevadas por infracciones que las que actualmente contempla la PIPEDA. Algunas sanciones administrativas podrían suponer multas equivalentes al 31% de los ingresos globales de la organización (en comparación con el 21% del RGPD), o 10 000 000 CA$, la que sea mayor. Las infracciones más graves podrían suponer hasta el 51% de los ingresos globales de la organización (en comparación con el 41% del RGPD), o 25 000 000 CA$, la que sea mayor.
Derecho privado de acción: La CPPA introducirá un nuevo derecho de acción privado que permite a las personas presentar una reclamación por daños y perjuicios sufridos como consecuencia de una infracción cometida por una organización. Antes de poder presentar una reclamación por daños y perjuicios, el derecho de acción exige que la organización:
- se determine que ha contravenido efectivamente la CPPA o
- ser multado por una infracción que cae dentro de ciertas secciones de la CPPA
El derecho de acción privada prescribe a los dos años.
Reforma paralela de la privacidad provincial
Además del Proyecto de Ley C-11, las organizaciones deben estar al tanto de las reformas provinciales en materia de privacidad. Quebec presentó el Proyecto de Ley 64 en junio de 2020 con la intención de modernizar sus leyes de privacidad vigentes. De aprobarse, el Proyecto de Ley 64 aumentará las obligaciones de las organizaciones públicas y privadas en cuanto a cómo conservan y protegen la información personal de sus clientes.
Columbia Británica se encuentra en las primeras etapas de la reforma de su Ley de Protección de Información Personal después de realizar una revisión en 2020 que destacó que la legislación no se mantiene al día con las tendencias nacionales e internacionales en materia de privacidad.
También en 2020, Ontario comenzó a considerar mejoras en su marco de privacidad y descubrió deficiencias en su legislación. Las organizaciones pueden esperar nuevas propuestas legislativas en Columbia Británica y Ontario próximamente.
Lo que las organizaciones deben hacer para prepararse
Mientras el proyecto de ley C-11 avanza en el proceso legislativo en Canadá, las organizaciones deben monitorear el desarrollo de la legislación propuesta y considerar qué impacto tendrá en sus negocios.
Organizaciones que ya cumplen con el RGPD y Ley General de Protección de Datos Personales de Brasil (“LGPD”) Estarán en mejor posición para cumplir con la CPPA, pero aún deberán tomar medidas adicionales para cumplir con las disposiciones únicas de la ley canadiense. La plataforma de inteligencia de datos de BigID permite a las organizaciones descubrir, identificar, mapear y obtener visibilidad completa de todos sus datos personales, sensibles y regulados en todas las políticas y en todo su panorama de datos. Las empresas pueden cumplir con sus obligaciones de cumplimiento de la CPPA, implementar la privacidad en toda la organización, automatizar las solicitudes de derechos de datos y, en última instancia, proteger los datos de sus clientes a gran escala.
Verificar BigID en acción para ver cómo ayudamos a las empresas a abordar los próximos requisitos para el cumplimiento de la CPPA y desarrollar un programa de privacidad proactivo para las regulaciones actuales y nuevas.
Autor
