Conformidade com a PIPEDA: Navegando pelo cenário de privacidade do Canadá

A PIPEDA do Canadá, ou Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, foi introduzida em 13 de abril de 2000. A força motriz por trás da legislação foi a necessidade de abordar questões de privacidade decorrentes do uso crescente do comércio eletrônico e da coleta, uso e divulgação de informações pessoais no Canadá.

Na época, havia uma colcha de retalhos de leis de privacidade provinciais e territoriais no Canadá, mas nenhuma legislação federal abrangente que regulasse o tratamento de informações pessoais. A PIPEDA foi criada para preencher essa lacuna e estabelecer um conjunto consistente e abrangente de regras de privacidade para organizações que operam no Canadá.

O que é a lei de privacidade PIPEDA do Canadá?

A lei de privacidade PIPEDA do Canadá é uma legislação abrangente que rege como as informações pessoais são coletadas, usadas e divulgadas por organizações no Canadá. A PIPEDA se aplica a organizações que realizam atividades comerciais no Canadá, incluindo obras e empresas federais.

De acordo com a PIPEDA, as leis de privacidade canadenses exigem que as organizações obter consentimento de indivíduos antes de coletar, usar ou divulgar suas informações pessoais. A lei também exige que as organizações limitem a coleta, o uso e a divulgação de informações pessoais apenas ao necessário para os fins identificados. Além disso, as organizações são obrigadas a implementar salvaguardas de segurança adequadas para proteger informações pessoais contra acesso não autorizado, divulgação ou uso indevido.

A PIPEDA busca um equilíbrio entre a proteção dos direitos de privacidade dos indivíduos e a permissão para que organizações coletem e utilizem informações pessoais para fins comerciais legítimos. Os indivíduos têm o direito de acessar e corrigir suas informações pessoais mantidas por uma organização. Eles também podem registrar uma reclamação junto ao Comissário de Privacidade do Canadá se acreditarem que seus direitos de privacidade foram violados.

As emendas à PIPEDA estão aumentando?

Em novembro de 2020, o governo federal introduziu Projeto de Lei C-11, também conhecida como Lei de Implementação da Carta Digital. Se aprovada, esta proposta de lei modernizaria a PIPEDA e introduziria novas obrigações de privacidade para as empresas, incluindo a exigência de obter consentimento explícito para a coleta, uso e divulgação de informações pessoais sensíveis.

O Projeto de Lei C-11 também criaria um novo órgão regulador, o Tribunal de Proteção de Dados e Informações Pessoais, para supervisionar reclamações de privacidade e ações de execução. Além disso, a legislação proposta introduziria multas significativas para o descumprimento das obrigações de privacidade, com penalidades de até 51 TP3T da receita global de uma organização ou 1 TP4T25 milhões, o que for maior.

Embora o Projeto de Lei C-11 ainda não tenha sido aprovado, sua introdução ressalta o comprometimento do governo em fortalecer as proteções de privacidade para os canadenses e acompanhar o cenário digital em rápida evolução.

10 princípios do PIPEDA que você precisa conhecer

A PIPEDA do Canadá, ou Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, baseia-se em dez princípios de privacidade que estabelecem as regras para a coleta, o uso e a divulgação de informações pessoais por organizações. Esses princípios são:

1. Prestação de contas: As organizações são responsáveis pelas informações pessoais sob seu controle e devem nomear um indivíduo para ser responsável por suas práticas de privacidade.
2. Finalidades de identificação: As organizações devem identificar claramente as finalidades para as quais estão coletando informações pessoais e devem obter o consentimento do indivíduo antes de coletar, usar ou divulgar suas informações pessoais.
3. Consentimento: As organizações devem obter o consentimento do indivíduo antes de coletar, usar ou divulgar suas informações pessoais, e o consentimento deve ser significativo e informado.
4. Limitação de coleta: As organizações devem limitar a quantidade e o tipo de informações pessoais que coletam ao que for necessário para os propósitos identificados.
5. Limitação de uso, divulgação e retenção: As organizações devem usar, divulgar e reter informações pessoais apenas para os propósitos identificados e devem tomar as medidas apropriadas para proteger as informações.
6. Precisão: As organizações devem garantir que as informações pessoais sejam precisas, completas e atualizadas.
7. Salvaguardas: As organizações devem proteger as informações pessoais com salvaguardas de segurança adequadas e devem tomar medidas para garantir que seus funcionários e contratados estejam cientes e cumpram as políticas de privacidade da organização.
8. Abertura: As organizações devem ser abertas sobre suas políticas e práticas de privacidade e devem disponibilizar informações sobre suas políticas e práticas prontamente aos indivíduos.
9. Acesso individual: Os indivíduos têm o direito de acessar suas informações pessoais e solicitar que elas sejam corrigidas, se necessário.
10. Conformidade desafiadora: Os indivíduos têm o direito de contestar a conformidade de uma organização com a PIPEDA e buscar recursos caso seus direitos de privacidade tenham sido violados.

Requisitos de consentimento segundo a PIPEDA

Para obter consentimento válido sob PIPEDA, as organizações devem garantir que o consentimento seja:

• Informado: Os indivíduos devem ser informados sobre quais informações pessoais estão sendo coletadas, por que estão sendo coletadas e como serão usadas ou divulgadas.
• Significativo: Os indivíduos devem entender as implicações de fornecer ou negar consentimento e ser capazes de tomar uma decisão informada.
• Específico: O consentimento deve ser específico para a finalidade para a qual as informações pessoais estão sendo coletadas, usadas ou divulgadas.
• Voluntário: Os indivíduos devem poder recusar ou retirar seu consentimento sem quaisquer consequências negativas.
• Implícito ou expresso: O consentimento pode ser implícito em certas circunstâncias, como quando um indivíduo fornece voluntariamente informações pessoais a uma organização. No entanto, em outros casos, como na coleta de informações pessoais sensíveis, o consentimento expresso deve ser obtido.

É responsabilidade das organizações garantir que obtenham consentimento válido sob a PIPEDA e manter registros apropriados do consentimento obtido. As organizações também devem estar preparadas para responder às solicitações dos indivíduos para acessar ou revogar seu consentimento e tomar as medidas adequadas para proteger as informações pessoais que coletam.

O custo da não conformidade

O descumprimento da PIPEDA do Canadá, ou Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, pode resultar em penalidades e outras medidas de execução. As penalidades por descumprimento dependem da gravidade da violação e podem incluir:

• Acordos de conformidade: O Comissário de Privacidade do Canadá pode celebrar acordos de conformidade com organizações que violaram a PIPEDA, estabelecendo medidas a serem tomadas para colocá-las em conformidade.
• Compromissos de conformidade voluntária: As organizações podem concordar voluntariamente em tomar medidas específicas para lidar com problemas de não conformidade.
• Recomendações: O Comissário de Privacidade do Canadá pode fazer recomendações às organizações para abordar questões de privacidade, embora essas recomendações não sejam juridicamente vinculativas.
• Auditorias: O Comissário de Privacidade do Canadá pode realizar auditorias de organizações para avaliar sua conformidade com a PIPEDA.
• Sanções administrativas monetárias (AMPs): A partir de 1º de novembro de 2018, o Comissário de Privacidade do Canadá tem o poder de impor AMPs de até $10.000 por não conformidade com certas obrigações do PIPEDA.
• Ordens judiciais: Em alguns casos, o Comissário de Privacidade do Canadá pode solicitar ordens judiciais para impor o cumprimento da PIPEDA.

Vale ressaltar que a PIPEDA não prevê um direito privado de ação, o que significa que indivíduos não podem processar organizações por descumprimento da PIPEDA. Em vez disso, indivíduos podem apresentar queixas ao Comissário de Privacidade do Canadá, que tem o poder de investigar e tomar medidas coercitivas contra organizações que violem a PIPEDA.

Aplicação da PIPEDA

A PIPEDA do Canadá é aplicada pelo Gabinete do Comissário de Privacidade do Canadá. O Comissário de Privacidade é um funcionário independente do Parlamento responsável por supervisionar o cumprimento da PIPEDA e de outras legislações federais de privacidade.

O Comissário de Privacidade tem uma série de poderes para fazer cumprir a PIPEDA, incluindo o poder de investigar reclamações, conduzir auditorias e fazer recomendações às organizações. Nos casos em que uma organização seja considerada em violação da PIPEDA, o Comissário de Privacidade também pode celebrar acordos de conformidade, impor sanções administrativas pecuniárias ou solicitar ordens judiciais para fazer cumprir a PIPEDA.

Indivíduos que acreditam que seus direitos de privacidade foram violados sob a PIPEDA podem registrar uma queixa junto ao Comissário de Privacidade do Canadá. O Comissário de Privacidade investigará a queixa e poderá tomar medidas coercitivas contra a organização caso seja constatada uma violação.

Obtenha conformidade com PIPEDA com BigID

BigID é um plataforma de descoberta de dados para privacidade, segurançae governança que utiliza IA avançada e aprendizado de máquina para ajudar organizações a atingir a conformidade com a PIPEDA e evitar penalidades por descumprimento. Veja algumas maneiras pelas quais o BigID pode ajudar:

• Descoberta de dados: O BigID verifica, identifica e classifica informações pessoais de forma automática e precisa em várias fontes de dados— dando às organizações maior visibilidade e compreensão de seus dados corporativos.
• Gestão de consentimento: O BigID fornece uma abordagem holística de gerenciamento de privacidade, capacitando organizações a documentar o consentimento individual para a coleta, uso e divulgação de informações pessoais, garantindo que atendam aos requisitos de consentimento do PIPEDA.
• Solicitações de acesso do titular dos dados: O BigID pode ajudar organizações a responder a solicitações de indivíduos para acesso às suas informações pessoais ou solicitações de correções, ajudando-as a cumprir com suas obrigações sob a PIPEDA.
• Retenção e exclusão de dados: O BigID pode ajudar as organizações a gerenciar retenção de dados e eliminação políticas para garantir que as informações pessoais sejam retidas apenas pelo tempo necessário, reduzindo o risco de penalidades por não conformidade com a PIPEDA.
• Proteção de dados: O BigID pode ajudar organizações a proteger informações pessoais com salvaguardas de segurança adequadas, como DSPM e controles de acesso, reduzindo o risco de violações de dados e penalidades por não conformidade com os requisitos de proteção do PIPEDA.

Para ver como BigID pode ajudar sua organização a atingir a conformidade com a PIPEDA e reduzir o risco de penalidades — agende uma demonstração individual hoje mesmo.

Autor

Alexis Porter

Gerente de marketing de conteúdo

Alexis atua como gerente de marketing de conteúdo da BigID, fornecedora de DSPM líder do setor. Ela é especialista em ajudar startups de tecnologia a criar e aprimorar sua voz - para contar histórias mais convincentes que repercutam em diversos públicos. Ela é bacharel em Redação Profissional e tem mestrado em Comunicação de Marketing pela Universidade de Denver. Alexis mora em Orlando, Flórida.