À medida que as regulamentações globais de privacidade evoluem, as organizações que operam ou interagem com consumidores canadenses precisam se manter à frente. Um dos desenvolvimentos recentes mais significativos na legislação de privacidade canadense é a Lei 25 de Quebec — anteriormente conhecida como Projeto de Lei 64 — que reformula a estrutura de privacidade da província e impõe requisitos mais rigorosos sobre como informações pessoais é coletado, usado e protegido.
O que é a Lei 25 de Quebec
Adotada em setembro de 2021, a Lei 25 de Quebec (Loi modernisant des dispositions législatives en matière de protection des renseignements personals) moderniza a legislação de privacidade de Quebec e a alinha mais estreitamente com padrões globais como o RGPD da UE e da Califórnia CCPA/CPRA. Suas disposições estão sendo implementadas gradualmente ao longo de três anos, com os prazos de execução mais críticos chegando em setembro de 2023 e setembro de 2024.
A Lei 25 de Quebec introduz diversas melhorias significativas à estrutura de privacidade da província, incluindo direitos de privacidade mais fortes para indivíduos e novas obrigações para controladores de dados. Essas obrigações incluem a manutenção de políticas de privacidade claras, a realização de avaliações de risco e impacto na privacidade e o fornecimento de notificações oportunas em caso de violação de dados.
Lei 25 de Quebec vs PIPEDA
Lei de Quebec 25 e PIPEDA (Lei de Proteção de Informações Pessoais e Documentos Eletrônicos) são ambas leis canadenses de privacidade, mas diferem significativamente em escopo, aplicação e modernização. A PIPEDA é uma lei federal que se aplica a organizações do setor privado na maior parte do Canadá, estabelecendo padrões básicos de privacidade para a coleta, uso e divulgação de informações pessoais em atividades comerciais. Em contraste, a Lei 25 de Quebec é uma lei provincial que introduz requisitos mais rigorosos e abrangentes para organizações que operam em Quebec ou que lidam com dados de residentes de Quebec. A Lei 25 exige consentimento claro e informado, avaliações de impacto na privacidade e transparência na tomada de decisões automatizadas, e impõe penalidades muito mais severas para o descumprimento do que a PIPEDA. Embora a PIPEDA esteja atualmente em revisão para ser modernizada (por meio da proposta CPPA), Quebec já implementou uma estrutura mais parecida com o GDPR, posicionando-se como líder em regulamentação de privacidade no Canadá.
A quem se aplica a Lei 25?
A Lei 25 de Quebec, anteriormente conhecida como Projeto de Lei 64, tem um amplo escopo que se estende muito além dos limites organizacionais tradicionais. Ao contrário de algumas leis de privacidade que se aplicam apenas a determinados setores ou portes de organizações, a Lei 25 foi elaborada para proteger as informações pessoais de todos os residentes de Quebec, independentemente de quem esteja lidando com seus dados. O que inclui empresas do setor privado, instituições públicas (agências governamentais, instituições educacionais e outros órgãos públicos), organizações sem fins lucrativos e indivíduos que atuam em caráter profissional (prestadores de serviços de saúde, consultores jurídicos, profissionais financeiros ou agentes imobiliários)
É importante ressaltar que a lei é de natureza territorial. Sua aplicabilidade se baseia na localização do indivíduo cujos dados estão sendo processados, não da organização. Isso significa que, mesmo que sua empresa esteja localizada fora de Quebec — ou mesmo fora do Canadá — você está sujeito à Lei 25 se lidar com informações pessoais de residentes de Quebec. Esse amplo alcance reforça o objetivo da lei de defender e fazer cumprir os direitos de privacidade dos indivíduos em toda a província.
Requisitos da Lei 25 de Quebec
Aqui estão os aspectos mais importantes que as empresas precisam entender:
1. Consentimento e Transparência
As empresas devem obter consentimento claro, livre e informado dos indivíduos, especialmente ao coletar dados confidenciais. Consentimento devem ser granulares e específicas para cada finalidade de uso dos dados. Além disso, as políticas de privacidade devem ser facilmente acessíveis e definir claramente as práticas de processamento de dados.
2. Avaliações de Impacto à Privacidade (PIAs)
A Lei 25 exige que as organizações conduzam Avaliações de Impacto à Privacidade em certas situações, como a coleta, uso, divulgação ou exclusão de informações pessoais, aquisição, desenvolvimento ou lançamento de novas tecnologias ou sistemas de informação, transferência de informações pessoais para fora de Quebec e execução de tomadas de decisão automatizadas usando dados pessoais.
Uma avaliação deve incluir informações relacionadas a:
- A sensibilidade da informação
- A finalidade e os usos da informação
- As medidas de proteção de dados
- A jurisdição onde a informação é compartilhada e o quadro legal aplicável
3. Direitos do titular dos dados
Os direitos dos titulares dos dados da Lei 25 são muito semelhantes aos do Regulamento Geral de Proteção de Dados da UE (GDPR).
Os direitos dos titulares de dados em Quebec incluem:
- Direito de acesso
- Direito de corrigir informações imprecisas
- Direito ao apagamento
- Direito de retirar o consentimento
- Direito de restringir o processamento
- Direito de solicitar portabilidade de dados
- Direito de ser informado e se opor à tomada de decisões automatizada.
As equipes de privacidade precisam responder dentro de 30 dias após o recebimento da solicitação, mas há a possibilidade de uma extensão em algumas circunstâncias.
4. Notificação de violação
A Lei 25 exige que as organizações notifiquem a Comissão de Acesso à Informação (CAI) e os indivíduos afetados violações de dados, como acesso não autorizado de informações pessoais que possam representar um “risco de lesão grave”.
De acordo com a Lei 25, as organizações são obrigadas a relatar imediatamente qualquer violação assim que ela ocorrer e manter registros detalhados de todos os incidentes de segurança.
5. Minimização e retenção de dados
As organizações destroem com segurança os dados que não são mais necessários, e os dados devem ser retidos apenas pelo tempo necessário e devem ser usados para uma finalidade legítima. Além disso, as empresas devem manter um inventário de dados e um cronograma de retenção.
6. Governança e Responsabilidade
A Lei 25 exige a nomeação de um Diretor de Privacidade. Caso ninguém seja nomeado, por padrão, o CEO será considerado o Diretor de Privacidade. O diretor de privacidade é responsável por supervisionar atividades específicas de conformidade, como Cumprimento do DSAR, relatórios de violação de dadose realizar avaliações de impacto na privacidade.
Do ponto de vista da governança, a lei exige a manutenção de registros das atividades de processamento de dados, bem como a implementação de políticas internas e programas de treinamento de funcionários.
7. Tomada de decisão automatizada
Ao usar IA ou algoritmos para decisões com impacto significativo sobre indivíduos, as empresas devem informar os indivíduos, fornecer a justificativa por trás da decisão e fornecer o direito de contestar o resultado.
Lei 25 Penalidades por Não Conformidade
As penalidades previstas na Lei 25 são substanciais:
- As multas administrativas podem chegar a $10 milhões de CAD ou 2% de faturamento mundial, o que for maior.
- As sanções penais podem chegar a $25 milhões de CAD ou 4% de receita global para violações graves.
- Um indivíduo pode exercer seu direito privado de ação para intentar uma ação judicial contra organizações que violem a lei. As indenizações começam em um mínimo de $1.000 por pessoa. Além disso, indivíduos podem buscar ações judiciais coletivas por meio de ações coletivas.
Como o BigID ajuda na conformidade com a Lei 25
BigID ajuda as organizações a conectar os pontos entre dados e IA para segurança, privacidade, conformidade e Gerenciamento de dados de IAA BigID é uma plataforma líder em inteligência de dados que ajuda organizações a descobrir, gerenciar e proteger dados pessoais e sensíveis em todo o seu ecossistema. Veja como a BigID apoia a conformidade com a Lei 25 de Quebec:
1. Descoberta e classificação de dados
O BigID usa aprendizado de máquina avançado e IA para automatizar descobrir e classificar informações pessoais e confidenciais em fontes de dados estruturados e não estruturados para ajudar as organizações a entender quais dados elas têm e onde eles residem, identificar dados confidenciais e regulamentados e garantir mapas e inventários de dados precisos e completos.
2. Avaliações de Impacto à Privacidade (PIAs)
O BigID fornece fluxos de trabalho para conduzir PIAs e Avaliações de Impacto à Proteção de Dados (DPIAs) automatizadas, facilitando a avaliação do risco associado a novos projetos, a conformidade de documentos e o compartilhamento de avaliações internamente ou com reguladores, conforme necessário.
3. Gerenciamento de consentimento e preferências
Por meio de integrações e APIs, o BigID permite o rastreamento granular de consentimento em fontes de dados e sistemas, atualizações e visibilidade do status de consentimento do usuário e o gerenciamento das preferências do usuário em todas as plataformas para garantir a conformidade com os padrões de transparência e consentimento da Lei 25.
4. Cumprimento dos direitos do titular dos dados
O BigID simplifica DSR (Solicitação do Titular dos Dados) com fluxos de trabalho de ponta a ponta que processam a descoberta de dados pessoais relevantes, permitindo fácil extração, redação e entrega de dados, além de oferecer suporte a direitos de acesso, correção, exclusão e portabilidade.
5. Gestão de Riscos e Violações
O BigID ajuda a detectar comportamentos de dados arriscados e oferece suporte proativo pontuação de risco, alertas de risco automatizados para padrões de acesso incomuns ou violações de políticas e fluxos de trabalho de incidentes e violações simplificados para cumprir com as regras de notificação de violações da Lei 25.
6. Automação de Governança e Políticas
O BigID ajuda a impor retenção de dados, minimização, e políticas de governança por meio do gerenciamento do ciclo de vida de dados baseado em políticas, rotulagem e marcação de dados, e integração com ferramentas de segurança e privacidade existentes.
Seja para aumentar a transparência, gerenciar riscos ou operacionalizar a privacidade por design, a BigID é sua parceira estratégica para atingir e manter a conformidade com a Lei 25 e além. Solicite uma demonstração para vê-lo em ação.
Autor
