À medida que as regulamentações globais de privacidade evoluem, as organizações que operam no Canadá ou interagem com consumidores canadenses precisam se manter atualizadas. Um dos desenvolvimentos recentes mais significativos na legislação canadense de privacidade é a Lei 25 de Quebec — anteriormente conhecida como Projeto de Lei 64 — que reformula a estrutura de privacidade da província e impõe requisitos mais rigorosos sobre como os consumidores lidam com suas informações. informações pessoais é coletado, usado e protegido.
O que é a Lei 25 de Quebec?
Adotada em setembro de 2021, a Lei 25 de Quebec (Loi modernisant des dispositions législatives en matière de protection des renseignements personals) moderniza a legislação de privacidade de Quebec e a alinha mais estreitamente com padrões globais como o Regulamento Geral sobre a Proteção de Dados da UE e da Califórnia CCPA/CPRASuas disposições estão sendo implementadas gradualmente ao longo de três anos, com os prazos de execução mais críticos previstos para setembro de 2023 e setembro de 2024.
A Lei 25 de Quebec introduz diversas melhorias significativas na estrutura de privacidade da província, incluindo direitos de privacidade mais robustos para os indivíduos e novas obrigações para os controladores de dados. Estas incluem a exigência de manter políticas de privacidade claras, realizar avaliações de risco e de impacto na privacidade e fornecer notificações oportunas em caso de violação de dados.
Lei 25 de Quebec vs. PIPEDA
Lei 25 de Quebec e PIPEDA A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) é uma lei canadense de privacidade, mas difere significativamente em escopo, aplicação e modernização. A PIPEDA é uma lei federal que se aplica a organizações do setor privado na maior parte do Canadá, estabelecendo padrões básicos de privacidade para a coleta, uso e divulgação de informações pessoais em atividades comerciais. Em contraste, a Lei 25 de Quebec é uma lei provincial que introduz requisitos mais rigorosos e abrangentes para organizações que operam em Quebec ou que lidam com dados de residentes de Quebec. A Lei 25 exige consentimento claro e informado, avaliações de impacto sobre a privacidade e transparência na tomada de decisões automatizadas, além de impor penalidades muito mais severas por descumprimento do que a PIPEDA. Embora a PIPEDA esteja atualmente em revisão para ser modernizada (por meio da proposta de Lei de Proteção de Informações Pessoais e Documentos Eletrônicos), a Lei 25 de Quebec está em processo de revisão para modernização. CPPAQuebec já implementou uma estrutura mais semelhante ao GDPR, posicionando-se como líder em regulamentação de privacidade no Canadá.
A quem se aplica a Lei 25?
A Lei 25 de Quebec, anteriormente conhecida como Projeto de Lei 64, tem um amplo alcance que vai muito além dos limites organizacionais tradicionais. Ao contrário de algumas leis de privacidade que se aplicam apenas a determinados setores ou tamanhos de organizações, a Lei 25 foi concebida para proteger as informações pessoais de todos os residentes de Quebec, independentemente de quem esteja lidando com seus dados. Isso inclui empresas do setor privado, instituições públicas (agências governamentais, instituições educacionais e outros órgãos públicos), organizações sem fins lucrativos e indivíduos que atuam em caráter profissional (prestadores de serviços de saúde, consultores jurídicos, profissionais financeiros ou agentes imobiliários)
É importante destacar que a lei tem natureza territorial. Sua aplicabilidade baseia-se na localização do indivíduo cujos dados estão sendo processados, e não na da organização. Isso significa que, mesmo que sua empresa esteja localizada fora de Quebec — ou até mesmo fora do Canadá —, você estará sujeito à Lei 25 se lidar com informações pessoais de residentes de Quebec. Esse amplo alcance reforça o objetivo da lei de defender e garantir os direitos de privacidade dos indivíduos em toda a província.
Requisitos da Lei 25 de Quebec
Aqui estão os aspectos mais importantes que as empresas precisam entender:
1. Consentimento e Transparência
As empresas devem obter o consentimento livre, esclarecido e transparente dos indivíduos, especialmente ao coletar dados sensíveis. Consentimento Devem ser detalhadas e específicas para cada finalidade de uso dos dados. Além disso, as políticas de privacidade devem ser facilmente acessíveis e descrever claramente as práticas de processamento de dados.
2. Avaliações de Impacto na Privacidade (AIPs)
A Lei 25 exige que as organizações conduzam Avaliações de Impacto na Privacidade Em determinadas situações, como a coleta, o uso, a divulgação ou a exclusão de informações pessoais, a aquisição, o desenvolvimento ou o lançamento de novas tecnologias ou sistemas de informação, a transferência de informações pessoais para fora de Quebec e a tomada de decisões automatizadas com base em dados pessoais.
Uma avaliação deve incluir informações relacionadas a:
- A sensibilidade da informação
- O objetivo e os usos da informação
- As medidas de proteção de dados
- A jurisdição onde as informações são compartilhadas e o quadro legal aplicável.
3. Direitos do titular dos dados
Os direitos dos titulares dos dados previstos na Lei 25 são muito semelhantes aos do Regulamento Geral de Proteção de Dados (RGPD) da UE.
Os direitos dos titulares dos dados no Quebec incluem:
- Direito de acesso
- Direito de corrigir informações incorretas
- Direito ao apagamento
- Direito de revogar o consentimento
- Direito de restringir o processamento
- Direito de solicitar a portabilidade dos dados
- Direito de ser informado e de se opor à tomada de decisões automatizadas.
As equipes de privacidade precisam responder em até 30 dias após o recebimento da solicitação, mas existe a possibilidade de prorrogação em algumas circunstâncias.
4. Notificação de Violação
A Lei 25 exige que as organizações notifiquem a Comissão de Acesso à Informação (CAI) e os indivíduos afetados de violações de dados, como acesso não autorizado de informações pessoais que poderiam representar um “risco de lesão grave”.
Nos termos da Lei 25, as organizações são obrigadas a comunicar imediatamente qualquer violação de segurança assim que esta ocorrer e a manter registos detalhados de todos os incidentes de segurança.
5. Minimização e retenção de dados
As organizações destroem com segurança os dados que não são mais necessários, e os dados devem ser retidos apenas pelo tempo necessário e para uma finalidade legítima. Além disso, as empresas devem manter um inventário de dados e um cronograma de retenção.
6. Governança e Responsabilidade
A Lei 25 exige a nomeação de um Encarregado de Proteção de Dados. Caso ninguém seja nomeado, o CEO será considerado, por padrão, o Encarregado de Proteção de Dados. O Encarregado de Proteção de Dados é responsável por supervisionar atividades específicas de conformidade, tais como: cumprimento do DSAR, denúncia de violação de dadose conduzindo avaliações de impacto na privacidade.
Do ponto de vista da governança, a lei exige a manutenção de registros das atividades de processamento de dados, bem como a implementação de políticas internas e programas de treinamento para funcionários.
7. Tomada de Decisão Automatizada
Ao utilizar IA ou algoritmos para decisões com impacto significativo sobre indivíduos, as empresas devem informar os indivíduos, fornecer a justificativa por trás da decisão e garantir o direito de contestar o resultado.
Lei 25 - Penalidades por Descumprimento
As penalidades previstas na Lei 25 são substanciais:
- As multas administrativas podem chegar a 1.410 milhões de dólares canadenses ou 2.130 mil dólares canadenses do faturamento mundial, o que for maior.
- As sanções penais podem chegar a 1.425 milhões de dólares canadenses ou 41.300 dólares canadenses em receita global para violações graves.
- Um indivíduo pode exercer seu direito privado de ação para processar organizações que violem a lei. As indenizações começam em um mínimo de £1.000 por pessoa. Além disso, indivíduos podem buscar ações coletivas por meio de ações judiciais de classe.
Como a BigID ajuda no cumprimento da Lei 25
BigID Ajuda as organizações a conectar os pontos entre dados e IA para segurança, privacidade, conformidade e gerenciamento de dados de IAA BigID é uma plataforma líder em inteligência de dados que ajuda as organizações a descobrir, gerenciar e proteger dados pessoais e sensíveis em todo o seu ecossistema. Veja como a BigID auxilia na conformidade com a Lei 25 de Quebec:
1. Descoberta e Classificação de Dados
A BigID utiliza aprendizado de máquina avançado e IA para automatizar Descobrir e classificar informações pessoais e sensíveis. abrangendo fontes de dados estruturados e não estruturados para ajudar as organizações a entender quais dados possuem e onde eles residem, identificar dados sensíveis e regulamentados e garantir mapeamentos e inventários de dados precisos e completos.
2. Avaliações de Impacto na Privacidade (AIPs)
A BigID fornece fluxos de trabalho para a realização automatizada de Avaliações de Impacto sobre a Proteção de Dados (PIAs) e Avaliações de Impacto sobre a Proteção de Dados (DPIAs), facilitando a avaliação dos riscos associados a novos projetos, a documentação da conformidade e o compartilhamento das avaliações internamente ou com os órgãos reguladores, conforme necessário.
3. Gestão de Consentimento e Preferências
Por meio de integrações e APIs, a BigID permite o rastreamento granular do consentimento em diversas fontes de dados e sistemas, atualizações e visibilidade do status do consentimento do usuário e o gerenciamento das preferências do usuário em diferentes plataformas para garantir a conformidade com os padrões de transparência e consentimento da Lei 25.
4. Cumprimento dos direitos do titular dos dados
O BigID simplifica DSR (Solicitação do Titular dos Dados) Com fluxos de trabalho de ponta a ponta que processam a descoberta de dados pessoais relevantes, permitindo fácil extração, redação e entrega de dados, e dando suporte aos direitos de acesso, correção, exclusão e portabilidade.
5. Gestão de Riscos e Violações
O BigID ajuda a detectar comportamentos de risco relacionados a dados e oferece suporte a ações proativas. pontuação de risco, alertas automatizados de risco para padrões de acesso incomuns ou violações de políticas, e fluxos de trabalho simplificados para incidentes e violações, a fim de cumprir as regras de notificação de violação da Lei 25.
6. Governança e Automação de Políticas
O BigID ajuda a reforçar retenção de dados, minimizaçãoe políticas de governança por meio do gerenciamento do ciclo de vida dos dados baseado em políticas, rotulagem e etiquetagem de dadose integração com ferramentas de segurança e privacidade já existentes.
Seja para aumentar a transparência, gerenciar riscos ou operacionalizar a privacidade desde a concepção, a BigID é sua parceira estratégica para alcançar e manter a conformidade com a Lei 25 e além. Solicite uma demonstração para vê-lo em ação.
Autor
