Conformidade com a PIPEDA: Navegando pelo cenário da privacidade no Canadá

A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA) foi introduzida em 13 de abril de 2000. A principal motivação por trás da legislação foi a necessidade de abordar as preocupações com a privacidade decorrentes do crescente uso do comércio eletrônico e da coleta, uso e divulgação de informações pessoais no Canadá.

Naquela época, existia um mosaico de leis provinciais e territoriais de privacidade no Canadá, mas nenhuma legislação federal abrangente que regulamentasse o tratamento de informações pessoais. A PIPEDA foi criada para preencher essa lacuna e estabelecer um conjunto consistente e completo de regras de privacidade para organizações que operam no Canadá.

O que é a lei canadense de privacidade PIPEDA?

A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) do Canadá é uma legislação abrangente que regula como as informações pessoais são coletadas, usadas e divulgadas por organizações no Canadá. A PIPEDA se aplica a organizações que realizam atividades comerciais no Canadá, incluindo obras e empresas federais.

De acordo com a PIPEDA, as leis de privacidade canadenses exigem que as organizações obter consentimento A lei exige que as organizações obtenham o consentimento dos indivíduos antes de coletar, usar ou divulgar suas informações pessoais. Também exige que as organizações limitem a coleta, o uso e a divulgação de informações pessoais apenas ao que for necessário para os fins identificados. Além disso, as organizações são obrigadas a implementar medidas de segurança adequadas para Proteger informações pessoais contra acesso, divulgação ou uso indevido não autorizados.

A PIPEDA estabelece um equilíbrio entre a proteção dos direitos de privacidade dos indivíduos e a permissão para que as organizações coletem e usem informações pessoais para fins comerciais legítimos. Os indivíduos têm o direito de acessar e corrigir suas informações pessoais mantidas por uma organização. Eles também podem apresentar uma reclamação ao Comissário de Privacidade do Canadá se acreditarem que seus direitos de privacidade foram violados.

As alterações à PIPEDA estão aumentando?

Em novembro de 2020, o governo federal introduziu Projeto de Lei C-11Também conhecida como Lei de Implementação da Carta Digital. Se aprovada, esta proposta legislativa modernizaria a PIPEDA e introduziria novas obrigações de privacidade para empresas, incluindo a exigência de obter consentimento explícito para a coleta, uso e divulgação de informações pessoais sensíveis.

O projeto de lei C-11 também criaria um novo órgão regulador, o Tribunal de Proteção de Dados Pessoais, para supervisionar as reclamações de privacidade e as ações de fiscalização. Além disso, a legislação proposta introduziria multas significativas para o descumprimento das obrigações de privacidade, com penalidades de até 51,3 bilhões de libras esterlinas da receita global de uma organização ou 1,4 bilhão de libras esterlinas, o que for maior.

Embora o Projeto de Lei C-11 ainda não tenha sido aprovado, sua apresentação reforça o compromisso do governo em fortalecer a proteção da privacidade dos canadenses e acompanhar a rápida evolução do cenário digital.

10 princípios da PIPEDA que você precisa conhecer.

A PIPEDA do Canadá, ou Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, baseia-se em dez princípios de privacidade que estabelecem as regras para a coleta, o uso e a divulgação de informações pessoais por organizações. Esses princípios são:

1. Responsabilidade: As organizações são responsáveis pelas informações pessoais sob seu controle e devem nomear um indivíduo para ser responsável por suas práticas de privacidade.
2. Identificação de objetivos: As organizações devem identificar claramente as finalidades para as quais coletam informações pessoais e devem obter o consentimento do indivíduo antes de coletar, usar ou divulgar suas informações pessoais.
3. Consentimento: As organizações devem obter o consentimento do indivíduo antes de coletar, usar ou divulgar suas informações pessoais, e esse consentimento deve ser significativo e informado.
4. Limitar a coleta: As organizações devem limitar a quantidade e o tipo de informações pessoais que coletam ao estritamente necessário para os fins identificados.
5. Limitar o uso, a divulgação e a retenção: As organizações devem usar, divulgar e reter informações pessoais apenas para os fins identificados e devem tomar as medidas adequadas para proteger as informações.
6. Precisão: As organizações devem garantir que as informações pessoais sejam precisas, completas e atualizadas.
7. Salvaguardas: As organizações devem proteger as informações pessoais com medidas de segurança adequadas e devem tomar medidas para garantir que seus funcionários e contratados estejam cientes e cumpram as políticas de privacidade da organização.
8. Abertura: As organizações devem ser transparentes quanto às suas políticas e práticas de privacidade e devem disponibilizar informações sobre essas políticas e práticas aos indivíduos de forma acessível.
9. Acesso individual: Os indivíduos têm o direito de acessar suas informações pessoais e solicitar que elas sejam corrigidas, se necessário.
10. Desafio à conformidade: Os indivíduos têm o direito de contestar o cumprimento da PIPEDA por uma organização e de buscar reparação caso seus direitos de privacidade tenham sido violados.

Requisitos de consentimento ao abrigo da PIPEDA

Para obter um consentimento válido de acordo com a PIPEDA, as organizações devem garantir que o consentimento seja:

• Informado: Os indivíduos devem ser informados sobre quais informações pessoais estão sendo coletadas, por que estão sendo coletadas e como serão usadas ou divulgadas.
• Significativo: Os indivíduos devem compreender as implicações de dar ou negar o seu consentimento e ser capazes de tomar uma decisão informada.
• Específico: O consentimento deve ser específico para a finalidade para a qual as informações pessoais estão sendo coletadas, usadas ou divulgadas.
• Voluntário: Os indivíduos devem poder recusar ou retirar o seu consentimento sem quaisquer consequências negativas.
• Implícito ou explícito: O consentimento pode ser implícito em certas circunstâncias, como quando um indivíduo fornece voluntariamente informações pessoais a uma organização. No entanto, em outros casos, como na coleta de informações pessoais sensíveis, o consentimento expresso deve ser obtido.

É responsabilidade das organizações garantir que obtenham consentimento válido de acordo com a PIPEDA e manter registros adequados do consentimento obtido. As organizações também devem estar preparadas para responder às solicitações dos indivíduos para acessar ou revogar seu consentimento e para tomar as medidas apropriadas para proteger as informações pessoais que coletam.

O custo da não conformidade

O descumprimento da PIPEDA canadense, ou Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, pode resultar em penalidades e outras medidas coercitivas. As penalidades por descumprimento dependem da gravidade da violação e podem incluir:

• Acordos de conformidade: O Comissário de Privacidade do Canadá pode celebrar acordos de conformidade com organizações que violaram a PIPEDA, estabelecendo medidas a serem tomadas para que elas se adequem à lei.
• Compromissos de conformidade voluntária: As organizações podem concordar voluntariamente em adotar medidas específicas para lidar com problemas de não conformidade.
• Recomendações: O Comissário de Privacidade do Canadá pode fazer recomendações às organizações para lidar com questões de privacidade, embora essas recomendações não sejam juridicamente vinculativas.
• Auditorias: O Comissário de Privacidade do Canadá pode realizar auditorias em organizações para avaliar sua conformidade com a PIPEDA.
• Penalidades monetárias administrativas (AMPs): A partir de 1º de novembro de 2018, o Comissário de Privacidade do Canadá tem o poder de impor multas administrativas mínimas (AMPs) de até $10.000 por descumprimento de certas obrigações da PIPEDA.
• Ordens judiciais: Em alguns casos, o Comissário de Privacidade do Canadá pode solicitar ordens judiciais para garantir o cumprimento da PIPEDA.

Vale ressaltar que a PIPEDA não prevê o direito de ação privada, o que significa que indivíduos não podem processar organizações por descumprimento da PIPEDA. Em vez disso, os indivíduos podem apresentar queixas ao Comissário de Privacidade do Canadá, que tem o poder de investigar e tomar medidas coercitivas contra organizações que violam a PIPEDA.

aplicação da PIPEDA

A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA) é aplicada pelo Gabinete do Comissário de Privacidade do Canadá. O Comissário de Privacidade é um funcionário independente do Parlamento responsável por supervisionar o cumprimento da PIPEDA e de outras legislações federais de privacidade.

O Comissário de Privacidade possui uma série de poderes para fazer cumprir a PIPEDA, incluindo o poder de investigar denúncias, realizar auditorias e fazer recomendações às organizações. Nos casos em que uma organização for considerada em violação da PIPEDA, o Comissário de Privacidade também pode celebrar acordos de conformidade, impor sanções pecuniárias administrativas ou solicitar ordens judiciais para garantir o cumprimento da lei.

Indivíduos que acreditam que seus direitos de privacidade foram violados pela PIPEDA podem apresentar uma queixa ao Comissário de Privacidade do Canadá. O Comissário de Privacidade investigará a queixa e poderá tomar medidas coercitivas contra a organização caso seja constatada uma violação.

Obtenha conformidade com a PIPEDA com o BigID.

BigID é um plataforma de descoberta de dados para privacidade, segurança, e governança que utiliza inteligência artificial avançada e aprendizado de máquina para ajudar organizações a atingirem a conformidade com a PIPEDA e evitarem penalidades por não conformidade. Veja algumas maneiras pelas quais a BigID pode ajudar:

• Descoberta de dados: O BigID analisa, identifica e classifica informações pessoais de forma automática e precisa. em múltiplas fontes de dados— proporcionando às organizações maior visibilidade e compreensão dos seus dados empresariais.
• Gestão do consentimento: A BigID oferece uma abordagem holística para a gestão da privacidade, permitindo que as organizações documentem o consentimento individual para a coleta, uso e divulgação de informações pessoais, garantindo que atendam aos requisitos de consentimento da PIPEDA.
• Solicitações de acesso do titular dos dados: A BigID pode ajudar as organizações a responderem a solicitações de indivíduos para acesso às suas informações pessoais ou solicitações de correção, auxiliando-as a cumprir suas obrigações sob a PIPEDA.
• Retenção e eliminação de dados: A BigID pode ajudar as organizações a gerenciar retenção de dados e eliminação Políticas para garantir que as informações pessoais sejam retidas apenas pelo tempo necessário, reduzindo o risco de penalidades por descumprimento da PIPEDA.
• Proteção de dados: A BigID pode ajudar as organizações a proteger informações pessoais com medidas de segurança adequadas, como DSPM e controles de acesso, reduzindo o risco de violações de dados e penalidades por descumprimento dos requisitos de proteção da PIPEDA.

Para ver como BigID Pode ajudar sua organização a alcançar a conformidade com a PIPEDA e reduzir o risco de penalidades. Agende uma demonstração individual hoje mesmo.

Autor

Alexis Porter

Gerente de Marketing de Conteúdo

Alexis atua como Gerente de Marketing de Conteúdo na BigID, uma empresa líder em DSPM (Gerenciamento de Propostas de Conteúdo Digital). Ela se especializa em ajudar startups de tecnologia a desenvolver e aprimorar sua voz, para que contem histórias mais envolventes e que ressoem com públicos diversos. Alexis possui bacharelado em Escrita Profissional e mestrado em Comunicação de Marketing pela Universidade de Denver. Ela reside em Orlando, Flórida.