Em 7 de novembro de 2020, o governo do Canadá introduziu Projeto de Lei C-11, que é composto por dois estatutos: a Lei de Proteção à Privacidade do Consumidor (CPPA) e a Lei do Tribunal de Proteção de Informações Pessoais e Dados (PIDPTA).
O CPPA substituirá o estatuto de privacidade existente no Canadá, o Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA), enquanto o PIDPTA criará um novo tribunal para fazer cumprir o CPPA e impor penalidades aos infratores.
Embora alguns aspectos do Projeto de Lei C-11, que atualmente está em tramitação no processo legislativo, possam mudar no caminho para receber a sanção real, ele está previsto para ser uma das leis de proteção de dados mais rigorosas em todo o G-7 (Canadá, França, Alemanha, Itália, Japão, Reino Unido e EUA).
Projeto de Lei C-11: O que há de novo?
A proposta de CPPA trará consigo algumas mudanças importantes nas leis canadenses de proteção de dados. Especificamente, aumentará a direitos de privacidade de dados dos indivíduos, as obrigações de controladores e processadores de dados, os poderes de execução e as penalidades.
Direitos e Definições Individuais
O Direito à Mobilidade de Dados: O CPPA irá melhorar direitos do titular dos dados para indivíduos, permitindo que os canadenses tenham acesso mais claro e fácil aos seus dados pessoais. Regulamento Geral de Proteção de Dados da UE O direito à portabilidade de dados do GDPR (GDPR) vai um passo além: a nova lei introduzirá um direito de mobilidade às informações pessoais. Isso permitirá que um indivíduo solicite que suas informações sejam transferidas da organização que as coletou para outra organização de sua escolha, desde que ambas as organizações se enquadrem no quadro de mobilidade de dados. As qualificações exatas desse quadro serão definidas na versão final do CPPA.
O Direito ao Apagamento: Os consumidores canadenses também terão a direito de apagamento, o que significa que os indivíduos poderão solicitar que uma organização exclua todos os dados pessoais que lhes dizem respeito. As organizações terão que atender à solicitação do indivíduo para exercer esses direitos dentro de um prazo a ser determinado.
Consentimento Significativo: O consentimento significativo é a base do CPPA e só pode ser considerado válido se as seguintes informações forem fornecidas em linguagem simples:
- A finalidade da coleta, uso ou divulgação de informações
- A maneira como as informações devem ser coletadas, usadas ou divulgadas
- Quaisquer consequências razoavelmente previsíveis de tal coleta, uso ou divulgação
- O tipo específico de informação que deve ser coletada, usada ou divulgada
- Os nomes de qualquer terceiros ou tipos de terceiros aos quais a organização pode divulgar as informações pessoais
Linguagem simples: O objetivo de enfatizar o uso de linguagem simples é garantir que os indivíduos compreendam plenamente aquilo com que estão consentindo. A validade do consentimento também depende da demonstração de que o consentimento foi explícito ou implícito, com base nas circunstâncias. Embora as circunstâncias aceitáveis para o consentimento implícito devam ser determinadas, a mera comprovação de que o consentimento foi dado significa que as organizações devem estar preparadas para criar novos procedimentos internos de documentação — ou avaliar os existentes.
O CPPA também irá aumentar a transparência em torno do uso de sistemas automatizados de tomada de decisão, dando aos indivíduos o direito a uma explicação para quaisquer previsões, recomendações ou decisões que esses sistemas tomem.
Obrigações das Organizações
Políticas de privacidade, procedimentos e relatórios ao OPC: A Lei de Proteção de Dados (CPPA) amplia as obrigações dos controladores e processadores de dados, exigindo que as organizações implementem programas de gestão de privacidade que mantenham as políticas e procedimentos de proteção de dados e privacidade. Esses procedimentos devem estar disponíveis ao Gabinete do Comissário de Privacidade do Canadá (OPC) mediante solicitação. Esses programas devem incluir o recebimento e o tratamento de solicitações de direitos individuais, treinamento da equipe e quaisquer políticas e documentação de apoio que expliquem como a lei é implementada em toda a organização.
O CPPA também permitirá que organizações obtenham aprovação do OPC para códigos de prática e programas de certificação que estabeleçam regras sobre como o CPPA se aplica a determinadas atividades, setores ou modelos de negócios. Isso ajudará as organizações a compreender suas obrigações sob o CPPA e a demonstrar melhor conformidade efetiva.
Prestadores de serviços: De acordo com a CPPA, obrigações específicas serão impostas aos prestadores de serviços que receberem informações pessoais transferidas. Prestadores de serviços são definidos como qualquer organização que “preste serviços para ou em nome de outra organização para auxiliar a organização a cumprir seus propósitos”, o que inclui empresas subsidiárias ou afiliadas e contratadas.
Quando uma organização transfere informações pessoais a um prestador de serviços, este último será obrigado — por contrato ou de outra forma — a fornecer substancialmente a mesma proteção que a organização que as coletou. A menos que o prestador de serviços colete, utilize ou divulgue as informações transferidas para qualquer finalidade diferente daquela para a qual as informações pessoais foram transferidas, estará isento da maioria das obrigações da CPPA, exceto os requisitos relacionados à segurança e à notificação de violação de dados.
Desidentificação: A CPPA permitirá que organizações utilizem informações pessoais para determinados fins sem o conhecimento ou consentimento do titular dos dados, desde que as desidentifiquem. Circunstâncias aceitáveis podem incluir pesquisa e desenvolvimento interno ou no contexto de transações comerciais potenciais, por exemplo.
Quaisquer medidas técnicas e administrativas que uma empresa aplique às informações devem ser proporcionais à finalidade para a qual as informações são desidentificadas e à sensibilidade das informações pessoais. As organizações também serão proibidas de usar informações desidentificadas em combinação com outros dados que possam reidentificar um indivíduo.
Execução
Além de fornecer esses direitos individuais e requisitos da empresa, o Projeto de Lei C-11 irá:
- criar um segundo órgão de execução na forma de um tribunal especial através do PIDPTA
- aumentar as penalidades para violações do CPPA
- capacitar os indivíduos com um novo direito privado de ação
PIDPTA: Atualmente, a aplicação das leis de proteção de dados no Canadá cabe ao OPC, mas, por meio do PIDPTA, a aplicação será dividida entre o OPC e um novo tribunal. De acordo com o CPPA, o OPC terá o poder de instaurar um inquérito oficial — e será responsável por proferir uma decisão para encerrar o inquérito. O OPC também poderá recomendar sanções pecuniárias ao novo tribunal.
As decisões do OPC estarão sujeitas a contestação judicial. Indivíduos poderão recorrer de uma constatação, ordem ou decisão tomada pelo novo tribunal — e o tribunal poderá determinar se impõe uma penalidade. O tribunal poderá optar por acatar a recomendação do OPC ou impor sua própria decisão.
Penalidades aumentadas: O CPPA também permitirá multas mais altas para infrações do que as atualmente disponíveis no PIPEDA. Algumas penalidades administrativas podem resultar em penalidades de 3% da receita global de uma organização (em oposição ao 2% do GDPR), ou CA$ 10.000.000 — o que for maior. As infrações mais graves podem resultar em até 5% da receita global de uma organização (em oposição ao 4% do GDPR), ou CA$ 25.000.000 — o que for maior.
Direito Privado de Ação: O CPPA introduzirá um novo direito privado de ação que permite que indivíduos ajuízem uma ação por danos sofridos em decorrência de uma violação cometida por uma organização. Antes que uma ação por danos possa ser ajuizada, o direito de ação exige que a organização:
- ser considerado como tendo efetivamente violado o CPPA ou
- ser multado por uma violação que se enquadre em certas seções do CPPA
O direito privado de ação tem um prazo de prescrição de dois anos.
Reforma Paralela da Privacidade Provincial
Além do Projeto de Lei C-11, as organizações devem estar cientes das reformas provinciais de privacidade. Quebec apresentou o Projeto de Lei 64 em junho de 2020 com a intenção de modernizar suas atuais leis de privacidade. Se aprovado, o Projeto de Lei 64 aumentará as obrigações de organizações públicas e privadas em relação à forma como armazenam e protegem as informações pessoais de seus clientes.
A Colúmbia Britânica está nos estágios iniciais de reforma de sua Lei de Proteção de Informações Pessoais após conduzir uma revisão em 2020 que destacou a falha da legislação em acompanhar as tendências nacionais e internacionais de privacidade.
Também em 2020, Ontário começou a considerar melhorias em sua estrutura de privacidade e constatou que sua legislação era deficiente. As organizações podem esperar novas propostas legislativas na Colúmbia Britânica e em Ontário em um futuro próximo.
O que as organizações precisam fazer para se preparar
Enquanto o Projeto de Lei C-11 tramita no processo legislativo no Canadá, as organizações devem monitorar o desenvolvimento da legislação proposta e considerar como ela impactará seus negócios.
Organizações que já estão em conformidade com o RGPD e Lei Geral de Proteção de Dados Pessoais do Brasil (“LGPD”) estarão em melhor posição para a conformidade com o CPPA, mas ainda precisarão tomar medidas adicionais para manter as disposições exclusivas da lei canadense. A plataforma de inteligência de dados da BigID permite que as organizações descubram, identifiquem, mapeiem e obtenham visibilidade total de todos os seus dados pessoais, sensíveis e regulamentados em todas as políticas — e em todo o seu cenário de dados. As empresas podem cumprir suas obrigações de conformidade com o CPPA, operacionalizar a privacidade em toda a organização, automatizar solicitações de direitos de dados e, por fim, proteger os dados de seus clientes em grande escala.
Confira BigID em ação para ver como ajudamos as empresas a atender aos próximos requisitos de conformidade com o CPPA — e criar um programa de privacidade proativo para regulamentações atuais e novas.
Autor
