A versão atual da Lei de Proteção à Privacidade do Consumidor (CPPA) não foi aprovada pelo Parlamento do Canadá em setembro, mas deu origem ao Projeto de Lei 64 de Quebec: uma lei para modernizar a proteção de informações pessoais.
Após tramitar no processo legislativo por um ano e meio, o Projeto de Lei 64 foi adotado e recebeu aprovação da Assembleia Nacional de Quebec em 22 de setembro de 2021.
Projeto de Lei 64: O que vem por aí para a privacidade no Canadá
Agora aprovado, o Projeto de Lei 64 impactará diversas leis que, em conjunto, modernizarão a proteção de dados pessoais e a estrutura de privacidade de dados existente em Quebec. Partidos e práticas políticas, setores público e privado, e organizações privadas serão afetados e obrigados a cumpri-las — sob pena de penalidades severas.
O requisito impactado — contabilização de solicitações de acesso do titular dos dados (DSARs), consentimento, avaliações de impacto na privacidade (PIAs) e obrigações de confidencialidade — entrarão em vigor gradualmente ao longo dos próximos três anos, com uma reforma massiva da privacidade no Canadá. Essa progressão pode muito bem abrir caminho para a aprovação da CPPA.
Execução e multas
Uma característica considerável do Projeto de Lei 64, que recebeu alguma atenção, envolve a força que ele tem para garantir o cumprimento.
Novas multas monetárias
A Comissão de Acesso à Informação (CAI) de Quebec terá o poder de impor novas multas administrativas monetárias pelos seguintes motivos:
- falha em informar os indivíduos
- coleta, uso ou divulgação ilegal de informações
- falha em garantir a proteção de informações pessoais
- falha em relatar uma violação ou incidente
O valor máximo das multas é de CAD 50.000 para pessoas físicas e CAD 10.000.000 para empresas ou, se maior, 2% da receita total do ano anterior.
Em comparação, infrações penais como a recusa em cooperar com investigações ou fornecer a documentação necessária têm escopo e multas cada vez maiores, administrados pelo Procurador-Geral. Nesse cenário, o valor máximo que pode ser penalizado será de CAD 5.000 a CAD 100.000 no caso contra uma pessoa. Em todos os outros casos relacionados a negócios, a multa será de CAD 15.000 a CAD 25.000.000, ou 4% da receita total do ano anterior.
Em caso de infrações consecutivas, as multas serão dobradas.
Governança e Proteção
Responsável pela Privacidade
Semelhante ao GDPR, o Projeto de Lei 64 introduz o princípio de responsabilização da organização, colocando a responsabilidade de proteger informações pessoais na função de um “Responsável pela Privacidade”.
Políticas e Práticas
O Projeto de Lei 64 exige que todas as organizações implementem políticas e práticas de governança de privacidade. A governança de dados consiste em estruturas para manter e excluir informações, funções e responsabilidades definidas, gerenciamento do ciclo de vida dos dados e o processo para lidar com solicitações de direitos de dados.
Além disso, as informações relacionadas à privacidade dessas políticas devem ser publicadas no site da empresa em linguagem clara e básica.
PIAs
O Projeto de Lei 64 também exige que as organizações utilizem PIAs para avaliar todos os dados relacionados à privacidade envolvendo a coleta, o uso, a divulgação ou a exclusão de informações pessoais.
Direitos dos Indivíduos
Direito de Apagar
Além da exclusão, o Projeto de Lei 64 permite que indivíduos exijam que organizações:
- impedir o compartilhamento de informações pessoais
- desindexar hiperlinks com acesso a essas informações
- reindexar hiperlinks que permitem o acesso às informações
Direito à Portabilidade de Dados
O Projeto de Lei 64 permite que indivíduos solicitem uma cópia de informações pessoais em uma transcrição digital. As informações, mediante solicitação, devem ser divulgadas em um formato digital estruturado a um indivíduo ou órgão autorizado.
Direito de optar por não participar da tomada de decisão automatizada
Finalmente, o Projeto de Lei 64 exige que as organizações alertem os indivíduos quando informações pessoais As decisões são tomadas com base no processamento automatizado de informações. Uma vez solicitadas as informações, o solicitante deve ser informado sobre:
- os motivos que levaram à decisão
- as informações pessoais utilizadas para a decisão
- o direito da pessoa de corrigir as informações pessoais utilizadas para tomar a decisão
Como se preparar para o Projeto de Lei 64 de Quebec
Para se preparar para o CPPA, 21% das empresas canadenses esperam gastar $10 milhões ou mais, e 37% esperam contratar dez funcionários em tempo integral, de acordo com a PwC Canadá. Além disso, o Projeto de Lei 64 impactará as empresas canadenses, que terão que se adaptar às novas melhores práticas e usar estruturas de privacidade para manter a conformidade.
As organizações que adotaram uma abordagem proativa em relação ao Regulamento Geral de Proteção de Dados (GDPR) da UE estarão em melhor situação em relação ao Projeto de Lei 64 de Quebec — mas ainda precisarão tomar as medidas necessárias para cumprir as disposições exclusivas da nova lei canadense.
A plataforma de inteligência de dados da BigID permite que as organizações descubram, classifiquem e mapeiem todos os dados pessoais, sensíveis e regulamentados, abrangendo políticas e todo o cenário de dados. Como resultado, as empresas podem cumprir as obrigações de conformidade com o Projeto de Lei 64, operacionalizar a privacidade, automatizar solicitações de direitos de dados, gerenciar riscos de privacidade por meio de PIAs e, por fim, proteger os dados dos clientes.
Confira BigID em ação para ver como ajudamos as empresas a atender aos requisitos de conformidade da Lei 64 de Quebec e criar um programa de privacidade proativo para se adaptar à regulamentação atual.