A versão atual da Lei de Proteção da Privacidade do Consumidor (CPPA, na sigla em inglês) não foi aprovada pelo Parlamento canadense em setembro, mas deu origem ao Projeto de Lei 64 de Quebec: uma lei para modernizar a proteção de informações pessoais.
Após um ano e meio de tramitação no processo legislativo, o Projeto de Lei 64 foi adotado e aprovado pela Assembleia Nacional do Quebec em 22 de setembro de 2021.
Projeto de Lei 64: O que vem a seguir para a privacidade no Canadá?
Agora aprovado, o Projeto de Lei 64 impactará diversas leis que, em conjunto, modernizarão a proteção de dados pessoais e a estrutura de privacidade de dados existente em Quebec. Partidos e práticas políticas, setores público e privado e organizações privadas serão afetados e obrigados a cumprir as normas — sob pena de sofrerem penalidades severas.
O requisito impactado — contabilização de solicitações de acesso do titular dos dados (DSARs), consentimento, avaliações de impacto na privacidade (PIAs) e obrigações de confidencialidade — entrarão em vigor gradualmente nos próximos três anos, como parte de uma ampla reforma da privacidade no Canadá. Essa progressão pode muito bem abrir caminho para a aprovação da CPPA.
Fiscalização e multas
Uma característica considerável do Projeto de Lei 64, que tem recebido alguma atenção, reside na sua força para garantir o cumprimento das mesmas.
Novas multas monetárias
A Comissão de Acesso à Informação (CAI) do Quebec terá o poder de impor novas multas administrativas monetárias pelos seguintes motivos:
- falha em informar os indivíduos
- coleta, uso ou divulgação ilegais de informações
- falha em garantir a proteção de informações pessoais
- a omissão de comunicação de uma violação ou incidente
O valor máximo das multas é de CAD 50.000 para pessoas físicas e CAD 10.000.000 para empresas ou, se superior, 2% da receita total do ano anterior.
Em contrapartida, infrações penais como a recusa em cooperar com investigações ou em fornecer a documentação exigida acarretam consequências de maior abrangência e multas, administradas pela Procuradoria-Geral. Nesse cenário, o valor máximo da multa, em casos contra pessoas físicas, varia de CAD 5.000 a CAD 100.000. Já em todos os demais casos relacionados a empresas, o valor da multa varia de CAD 15.000 a CAD 25.000.000, ou 4% da receita total do ano anterior.
Em caso de infrações consecutivas, as multas serão duplicadas.
Governança e Proteção
Encarregado da Privacidade
Semelhante ao GDPR, o Projeto de Lei 64 introduz o princípio da responsabilização da organização, atribuindo a responsabilidade pela proteção das informações pessoais ao "Encarregado da Proteção de Dados".
Políticas e Práticas
A Lei 64 exige que todas as organizações implementem políticas e práticas de governança de privacidade. A governança de dados consiste em estruturas para manter e excluir informações, funções e responsabilidades definidas, gerenciamento do ciclo de vida dos dados e o processo para lidar com solicitações de direitos de dados.
Além disso, as informações relacionadas à privacidade presentes nessas políticas devem ser publicadas no site da empresa em linguagem clara e simples.
PIAs
O projeto de lei 64 também exige que as organizações usem PIAs Avaliar todos os dados relacionados à privacidade, incluindo a coleta, o uso, a divulgação ou a exclusão de informações pessoais.
Direitos dos indivíduos
Direito ao Apagamento
Além da exclusão, o Projeto de Lei 64 permite que indivíduos exijam que organizações:
- Pare de compartilhar informações pessoais
- desindexar hiperlinks com acesso a essas informações
- reindexar hiperlinks que permitem o acesso à informação
Direito à portabilidade de dados
O Projeto de Lei 64 permite que indivíduos solicitem uma cópia de suas informações pessoais em formato digital. As informações, mediante solicitação, devem ser divulgadas em formato digital estruturado ao indivíduo ou a um órgão autorizado.
Direito de optar por não participar da tomada de decisões automatizada
Por fim, o Projeto de Lei 64 exige que as organizações alertem os indivíduos quando informações pessoais As decisões são tomadas com base no processamento automatizado de informações. Assim que a informação for solicitada, o solicitante deverá ser informado de:
- os motivos que levaram à decisão
- as informações pessoais utilizadas para a decisão
- o direito da pessoa de corrigir as informações pessoais utilizadas para tomar a decisão
Como se preparar para o Projeto de Lei 64 do Quebec
Para se prepararem para o CPPA, 211 mil empresas canadenses esperam gastar 1 milhão ou mais, e 371 mil esperam contratar dez funcionários em tempo integral. De acordo com a PwC CanadáAlém disso, o Projeto de Lei 64 impactará as empresas canadenses, que terão que se adaptar às novas melhores práticas e ao uso de novas tecnologias. estruturas de privacidade para manter a conformidade.
Organizações que adotaram uma abordagem proativa em relação ao Regulamento Geral de Proteção de Dados (RGPD) da UE estarão em melhor posição para a Lei 64 de Quebec, mas ainda precisarão tomar as medidas necessárias para cumprir as disposições específicas da nova lei canadense.
A plataforma de inteligência de dados da BigID permite que as organizações descubram, classifiquem e mapeiem todos os dados pessoais, sensíveis e regulamentados, abrangendo políticas e todo o panorama de dados. Como resultado, as empresas podem cumprir as obrigações de conformidade com a Lei 64, operacionalizar a privacidade, automatizar solicitações de direitos de dados, gerenciar riscos de privacidade por meio de Avaliações de Impacto na Privacidade (PIAs) e, em última instância, proteger os dados dos clientes.
Confira BigID em ação Veja como ajudamos as empresas a atender aos requisitos de conformidade da Lei 64 de Quebec e a construir um programa de privacidade proativo para se adaptar à regulamentação atual.
Autor
