Em 7 de novembro de 2020, o governo do Canadá apresentou Projeto de Lei C-11, que é composta por dois estatutos: a Lei de Proteção da Privacidade do Consumidor (CPPA) e a Lei do Tribunal de Proteção de Dados e Informações Pessoais (PIDPTA).
A CPPA substituirá a atual lei de privacidade do Canadá, a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA), enquanto a PIDPTA criará um novo tribunal para fazer cumprir a CPPA e impor penalidades aos infratores.
Embora alguns aspectos do Projeto de Lei C-11, que atualmente está tramitando no processo legislativo, possam mudar até receber a sanção real, ele está previsto para ser uma das leis de proteção de dados mais rigorosas de todo o G-7 (Canadá, França, Alemanha, Itália, Japão, Reino Unido e Estados Unidos).
Projeto de Lei C-11: O que há de novo?
A proposta da CPPA trará consigo algumas mudanças importantes nas leis canadenses de proteção de dados. Especificamente, ela aumentará a direitos de privacidade de dados dos indivíduos, as obrigações de controladores e processadores de dados, os poderes de execução e as penalidades.
Direitos Individuais e Definições
O Direito à Mobilidade de Dados: CPPA irá melhorar direitos do titular dos dados para os indivíduos, permitindo que os canadenses tenham um acesso mais claro e gerenciável aos seus dados pessoais. Adotando a Regulamento Geral de Proteção de Dados da UE O direito à portabilidade de dados previsto no RGPD será levado um passo adiante: a nova lei introduzirá o direito à mobilidade das informações pessoais. Isso permitirá que um indivíduo solicite a transferência de suas informações da organização que as coletou para outra organização de sua escolha, desde que ambas as organizações atendam aos requisitos do quadro de mobilidade de dados. Os critérios exatos desse quadro serão definidos na versão final da Lei de Proteção de Dados Pessoais (CPPA).
O Direito ao Apagamento: Os consumidores canadenses também terão a direito ao apagamentoIsso significa que os indivíduos poderão solicitar que uma organização exclua todos os seus dados pessoais. As organizações deverão atender à solicitação do indivíduo para exercer esses direitos dentro de um prazo a ser determinado.
Consentimento Significativo: O consentimento informado é a pedra angular da CPPA e só pode ser considerado válido se as seguintes informações forem fornecidas em linguagem clara:
- A finalidade da coleta, uso ou divulgação de informações.
- A forma como as informações serão coletadas, usadas ou divulgadas.
- Quaisquer consequências razoavelmente previsíveis de tal coleta, uso ou divulgação.
- O tipo específico de informação que deve ser coletada, usada ou divulgada.
- Os nomes de qualquer terceiros ou tipos de terceiros aos quais a organização pode divulgar as informações pessoais.
Linguagem simples: O objetivo de enfatizar o uso de linguagem clara é garantir que os indivíduos compreendam plenamente o que estão consentindo. A validade do consentimento também depende da comprovação de que ele foi explícito ou implícito, com base nas circunstâncias. Embora as circunstâncias aceitáveis para o consentimento implícito ainda precisem ser determinadas, a simples necessidade de comprovar que o consentimento foi dado significa que as organizações devem estar preparadas para criar novos procedimentos internos de documentação — ou avaliar os existentes.
A CPPA também aumentar a transparência em torno do uso de sistemas automatizados de tomada de decisão, concedendo aos indivíduos o direito a uma explicação para quaisquer previsões, recomendações ou decisões tomadas por esses sistemas.
Obrigações das Organizações
Políticas de privacidade, procedimentos e relatórios para o OPC: A Lei de Proteção da Privacidade Online das Crianças (CPPA) aumenta as obrigações dos controladores e processadores de dados, exigindo que as organizações implementem programas de gestão de privacidade que mantenham políticas e procedimentos de proteção de dados e privacidade. Esses procedimentos devem ser acessíveis ao Gabinete do Comissário de Privacidade do Canadá (OPC) mediante solicitação. Os programas devem incluir o recebimento e o tratamento de solicitações de direitos individuais, treinamento de pessoal e quaisquer políticas e documentação de apoio que expliquem como a lei é implementada em toda a organização.
A CPPA também permitirá que as organizações obtenham aprovação do OPC para códigos de conduta e programas de certificação que estabelecem regras sobre como a CPPA se aplica a determinadas atividades, setores ou modelos de negócios. Isso ajudará as organizações a entenderem suas obrigações sob a CPPA e a demonstrarem melhor a conformidade efetiva.
Prestadores de serviços: Nos termos da CPPA, obrigações específicas serão impostas aos prestadores de serviços que receberem informações pessoais transferidas. Prestadores de serviços são definidos como qualquer organização que "presta serviços para ou em nome de outra organização para auxiliá-la no cumprimento de seus objetivos", incluindo subsidiárias, empresas afiliadas e contratados.
Quando uma organização transfere informações pessoais para um prestador de serviços, este será obrigado — por contrato ou de outra forma — a fornecer proteção substancialmente equivalente à da organização que coletou as informações. A menos que o prestador de serviços colete, use ou divulgue as informações transferidas para qualquer finalidade que não seja aquela para a qual as informações pessoais foram transferidas, ele estará isento da maioria das obrigações da CPPA, exceto os requisitos relacionados à segurança e à notificação de violação de dados.
Desidentificação: A CPPA permitirá que as organizações usem informações pessoais para determinados fins sem o conhecimento ou consentimento do titular dos dados, desde que as informações sejam anonimizadas. Circunstâncias aceitáveis podem incluir pesquisa e desenvolvimento internos ou no contexto de potenciais transações comerciais, por exemplo.
Quaisquer medidas técnicas e administrativas que uma empresa aplique às informações devem ser proporcionais à finalidade para a qual as informações são anonimizadas e à sensibilidade das informações pessoais. As organizações também ficarão proibidas de usar informações anonimizadas em combinação com outros dados que possam reidentificar um indivíduo.
Fiscalização
Além de garantir esses direitos individuais e requisitos empresariais, o Projeto de Lei C-11 irá:
- Criar um segundo órgão de fiscalização sob a forma de um tribunal especial através do PIDPTA
- Aumentar as penalidades por violações da CPPA
- Capacitar os indivíduos com um novo direito privado de ação.
PIDPTA: Atualmente, a aplicação das leis de proteção de dados no Canadá é de responsabilidade do Escritório do Comissário de Proteção de Dados (OPC), mas, por meio da Lei de Proteção de Dados Pessoais e Cibernéticos (PIDPTA), essa aplicação será dividida entre o OPC e um novo tribunal. De acordo com a CPPA, o OPC terá o poder de iniciar uma investigação oficial e será responsável por proferir uma decisão para encerrá-la. O OPC também poderá recomendar sanções pecuniárias ao novo tribunal.
As decisões do OPC estarão sujeitas a contestação judicial. Os indivíduos poderão recorrer de qualquer conclusão, ordem ou decisão proferida pelo novo tribunal, que poderá determinar se impõe ou não uma penalidade. O tribunal poderá optar por acatar a recomendação do OPC ou impor sua própria decisão.
Aumento das penalidades: A CPPA também permitirá multas mais elevadas por infrações do que as atualmente disponíveis sob a PIPEDA. Algumas penalidades administrativas acarretariam multas de até 3% da receita global de uma organização (em vez dos 2% do GDPR), ou CA$ 10.000.000 — o que for maior. As infrações mais graves poderiam acarretar multas de até 5% da receita global de uma organização (em vez dos 4% do GDPR), ou CA$ 25.000.000 — o que for maior.
Direito de ação privada: A CPPA introduzirá um novo direito de ação privado que permite aos indivíduos apresentar uma reclamação por danos sofridos em consequência da violação cometida por uma organização. Antes que uma reclamação por danos possa ser apresentada, o direito de ação exige que a organização:
- ser considerado como tendo efetivamente infringido a CPPA ou
- ser multado por uma violação que se enquadre em determinadas seções da CPPA
O direito de ação privada está sujeito a um prazo prescricional de dois anos.
Reforma Paralela da Privacidade Provincial
Além do Projeto de Lei C-11, as organizações devem estar cientes das reformas provinciais de privacidade. Quebec apresentou o Projeto de Lei 64 em junho de 2020 com a intenção de modernizar suas leis de privacidade vigentes. Se aprovado, o Projeto de Lei 64 aumentará as obrigações tanto para organizações públicas quanto privadas em relação à forma como armazenam e protegem as informações pessoais de seus clientes.
A Colúmbia Britânica está nos estágios iniciais de reforma de sua Lei de Proteção de Informações Pessoais, após uma revisão realizada em 2020 que destacou a incapacidade da legislação de acompanhar as tendências nacionais e internacionais de privacidade.
Ainda em 2020, Ontário começou a considerar melhorias em sua estrutura de privacidade e constatou que sua legislação era insuficiente. As organizações podem esperar novas propostas legislativas na Colúmbia Britânica e em Ontário em um futuro próximo.
O que as organizações precisam fazer para se preparar
Enquanto o projeto de lei C-11 tramita no processo legislativo no Canadá, as organizações devem acompanhar o desenvolvimento da proposta e considerar como ela afetará seus negócios.
Organizações que já estão em conformidade com o RGPD e Lei Geral de Proteção de Dados Pessoais do Brasil (“LGPD”) Estarão em melhor posição para cumprir a CPPA, mas ainda precisarão tomar medidas adicionais para respeitar as disposições específicas da lei canadense. A plataforma de inteligência de dados da BigID permite que as organizações descubram, identifiquem, mapeiem e obtenham visibilidade completa de todos os seus dados pessoais, sensíveis e regulamentados, abrangendo políticas e todo o seu panorama de dados. As empresas podem cumprir suas obrigações de conformidade com a CPPA, operacionalizar a privacidade em toda a organização, automatizar solicitações de direitos de dados e, em última análise, proteger os dados de seus clientes em escala.
Confira BigID em ação Descubra como podemos ajudar as empresas a atender aos próximos requisitos de conformidade com a CPPA — e a construir um programa de privacidade proativo para regulamentações atuais e futuras.
Autor
