Loi 25 / Bill 64 - Se avecinan cambios en materia de privacidad en Québec: ¿Está usted preparado?

Leyes y reglamentos
6 de octubre
/
7 minutos de lectura
Recientemente ha entrado en vigor en Quebec una nueva Ley de Privacidad de Datos mejorada para proteger la información privada personal de los quebequenses, que se ampliará en septiembre de 2023 y en septiembre de 2024.
Loi25_Bill64_assemblee_nationale_photo_Enrique_Hoyos_Pexels

La Ley 25 (antes Proyecto de Ley 64) se aplica no sólo a las empresas de Quebec, sino a cualquiera que haga negocios con los quebequenses, por lo que el alcance y el impacto de esta nueva ley son amplios. De hecho, Quebec fue la primera provincia en establecer una legislación sobre privacidad a principios de los años 90, pero la ley no tenía mucha fuerza, hasta ahora. Esta nueva ley ayuda a: 

"Ley para modernizar las disposiciones legislativas en materia de protección de datos personales."

El proyecto se convierte oficialmente en Ley una vez que recibe el asentimiento del Teniente-Gobernador. El proyecto de ley 64 completó su paso a la legislación cuando recibió el asentimiento formal el 22 de septiembre de 2021. En ese momento, se convirtió en la Ley de Modernización de la Legislación sobre Privacidad, también conocida como Proyecto de Ley 64. 

El proyecto de ley 64 es similar a la Legislación General de Protección de Datos de la UE (GDPR) que salió en 2018, pero difiere de su homólogo europeo en un aspecto crucial: la responsabilidad.

Tanto el GDPR como el proyecto de ley 64 de Quebec exigen que las organizaciones nombren a un funcionario de privacidad (DPO) que sea responsable de la aplicación y el cumplimiento de la ley. Su información de contacto debe publicarse en su sitio web o ponerse a disposición por otros medios. El proyecto de ley 64 va un paso más allá del RGPD en el sentido de que sitúa la responsabilidad directamente en el director general o en el consejo de administración de los responsables:

"La persona que ejerza la máxima autoridad dentro del organismo público (director general) velará por la aplicación y el cumplimiento de esta ley. estas funciones podrán ser delegadas por escrito en un miembro del organismo público o de su consejo de administración, según el caso, o en un miembro del personal directivo."

¿Qué significa esto exactamente?

El proyecto de ley 64 introduce algunas herramientas nuevas para hacer cumplir la ley y, al igual que la legislación canadiense contra el spam (CASL), que salió a la luz en 2014, viene con algunas multas fuertes para cualquier infracción. 

Nuevas sanciones administrativas monetarias:

A partir del 22 de septiembre de 2022, será obligatorio notificar cualquier "incidente de confidencialidad". El proyecto de ley 64 introduce la obligación de que tanto las entidades públicas como las privadas notifiquen los incidentes tanto a la Commission d 'accès à l'information (CAI) como a las personas cuyos datos se vean afectados cuando el incidente "presente un riesgo de perjuicio grave". Tanto las entidades del sector público como las del privado estarán obligadas a notificar a la Commission d'accès à l'information (CAI) y a las personas cuyos datos se vean afectados por un incidente de seguridad de datos que "presente un riesgo de perjuicio grave", así como a mantener un registro de estos incidentes de confidencialidad durante los cinco años siguientes a la fecha o periodo de tiempo en que la empresa tuvo conocimiento del incidente.

Se espera que el CAI siga publicando orientaciones y conocimientos sobre el cumplimiento de la normativa durante los próximos 3 años, a medida que las disposiciones vayan entrando en vigor.

Consentimiento 

El consentimiento también está integrado en esta nueva ley y se considera la piedra angular de la Ley del Sector Privado. Esta parte entrará en vigor en septiembre de 2023 y exigirá el consentimiento antes de recoger, utilizar o divulgar información personal. Los organismos públicos y las empresas deberán solicitar el consentimiento de la persona interesada por separado de cualquier otra información que se le facilite y deberá darse expresamente para determinados usos o divulgaciones de información personal sensible. 

También hay una nueva norma sobre el tratamiento de los datos de los niños: debe obtenerse el consentimiento de la persona que tiene la patria potestad para recoger, utilizar y divulgar información personal relativa a un menor de 14 años.

¿Tiene actualmente información personal de menores de 14 años en sus servidores? Ahora es el momento de averiguarlo y adquirir el consentimiento adecuado antes de que sea demasiado tarde. Este es un contenido informativo y necesita obtener la información adecuada y apoyar cómo se aplica a su negocio.

Gobernanza

El proyecto de ley 64 de Quebec también exige que se realicen evaluaciones de impacto sobre la privacidad (PIA ) obligatorias a partir del 22 de septiembre de 2023.

"Las organizaciones deben llevar a cabo una evaluación del impacto sobre la privacidad para cualquier proyecto de adquisición, desarrollo o revisión de un sistema de información o de prestación de servicios electrónicos que implique la recogida, uso, divulgación, conservación o destrucción de información personal.

A efectos de dicha evaluación, el organismo público debe consultar a su comité de acceso a la información y protección de datos personales desde el inicio del proyecto.

El organismo público también debe garantizar que el proyecto permite que la información personal informatizada recogida del interesado se le entregue en un formato tecnológico estructurado y de uso común.

La realización de una evaluación del impacto sobre la privacidad en virtud de esta ley debe ser proporcional a la sensibilidad de la información en cuestión, a los fines para los que se va a utilizar, a la cantidad y distribución de la información y al soporte en el que se almacena."

Externalización / Transferencia de datos fuera de Quebec

Se han aumentado los requisitos para las empresas que deseen transferir información personal fuera de la provincia de Quebec. Sólo se permitirán las transferencias a jurisdicciones que ofrezcan una "protección adecuada", que se evaluará que "reconocen generalmente los principios relativos a la protección de la información personal".

Antes de divulgar información personal fuera de Québec, el "organismo público debe realizar una evaluación de los factores relacionados con la privacidad. En particular, debe tener en cuenta:

(1) la sensibilidad de la información;
(2) los fines para los que se va a utilizar;
(3) las medidas de protección que se le aplicarían; y
(4) el marco jurídico aplicable en el Estado en el que se divulgaría la información

Derechos individuales

De forma similar al llamado "derecho al olvido" que existe en el artículo 17 del RGPD, el proyecto de ley 64 incluye un "derecho de borrado" (o derecho a la desindexación) que entra en vigor en septiembre de 2023 y que exige a las personas que piden a las organizaciones que dejen de distribuir su información personal privada que sea borrada. 

El proyecto de ley 64 se desarrollará a lo largo de 3 años, con la siguiente serie de disposiciones que se añadirán el próximo septiembre de 2023, como:  

  • El requisito de que las organizaciones establezcan y apliquen políticas de gobernanza de datos
  • Requisitos para llevar a cabo evaluaciones de impacto sobre la privacidad (PIA) para las actividades de procesamiento que implican la recopilación, el uso, la divulgación, la retención o la eliminación de información personal; o cuando se divulga información personal fuera de Quebec
  • La obligación de informar a los interesados sobre el uso de tecnologías de toma de decisiones y elaboración de perfiles automatizados
  • Requisitos de consentimiento mejorados, incluido el consentimiento claro, libre e informado para un fin y un plazo determinados

Línea de tiempo

Fuente: McMillan

22 de septiembre de 2022

  • Nombrar un responsable de privacidad (si no lo ha hecho ya para el GDPR).  
  • Construir un plan integral de respuesta a la violación de datos  
  • Familiarícese con las obligaciones al revelar información personal como parte de una transacción comercial. 

22 de septiembre de 2023

  • Desarrolle su marco de privacidad / actualice su política de privacidad en línea.  
  • Desarrollar un sistema de evaluación del impacto sobre la privacidad.  
  • Revisar/implementar los contratos con los proveedores de servicios de terceros. ◻ Evaluar sus salvaguardias físicas, organizativas y tecnológicas.  
  • Revise la cobertura de su seguro.  
  • Familiarícese con los nuevos requisitos de consentimiento y las excepciones.  
  • Actualice sus formularios de consentimiento / implemente un sistema de gestión del consentimiento.  
  • Conozca sus obligaciones de transparencia (incluso para el seguimiento y la elaboración de perfiles).  
  • Implementar la privacidad por defecto.  
  • Revise y actualice sus calendarios de retención.  
  • Revise su proceso de anonimización de datos (si procede).  
  • Preparar avisos y lenguaje explicativo para la toma de decisiones automatizada. 

22 de septiembre de 2024

  • Asegúrese de que sus sistemas de gestión de datos permiten extraer y transferir datos. 

Ya sea la legislación canadiense contra el spam (CASL), el Reglamento General de Protección de Datos de la UE (GDPR) o el proyecto de ley 64 de Quebec, todos han tenido un impacto directo en la privacidad de los datos en todo el mundo. No me cabe duda de que estamos avanzando hacia un mayor control de las personas sobre su Información Personal Identificable (IPI), lo cual es positivo.

¿Quiere leer más?

He aquí un resumen de las principales obligaciones que entraron en vigor el 22 de septiembre de 2022. ¿Estará usted preparado? La cuenta atrás ha comenzado. La información completa del CAI se encuentra en las Nuevas Obligaciones de Privacidad para las Empresas.  

Compártelo