Canada : Tendencias de privacidad a observar en 2021: Canadá moderniza sus leyes de privacidad del sector privado

Canada : Tendencias de privacidad a observar en 2021: Canadá moderniza sus leyes de privacidad del sector privado

Canada : Canadá está experimentando la revisión más significativa de sus leyes de privacidad en más de 20 años. Desde la Ley de Implementación de la Carta Digital del Proyecto de Ley C-11 federal, hasta el Proyecto de Ley 64 preparado para reformar significativamente el régimen del sector privado de Québec, hasta una posible nueva ley del sector privado en Ontario, estos cambios crearán numerosas obligaciones para las empresas canadienses y extranjeras.

Canada : Presentando el Proyecto de Ley C-11

Desde el 1 de enero de 2001, la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá o PIPEDA, ha sido el estatuto imperante de Canadá que rige cómo las organizaciones del sector privado recopilan, usan, divulgan y protegen la información personal. El 17 de noviembre de 2020, el Gobierno de Canadá presentó el Proyecto de Ley C-11, la Ley de Implementación de la Carta Digital, proponiendo la nueva Ley de Protección de la Privacidad del Consumidor (CPPA) como un reemplazo de PIPEDA. El Proyecto de Ley C-11 representa el tan esperado cambio legislativo para modernizar el régimen de leyes de privacidad del sector privado de Canadá.

Los siguientes son solo algunos de los elementos clave que afectarán a las empresas:

Canada : Nuevos poderes y nuevo Tribunal

En comparación con otras jurisdicciones, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, las leyes de privacidad canadienses tienen muy poca fuerza. El proyecto de ley C-11 introduce nuevos poderes y sanciones importantes. La aplicación de la CPPA se dividiría entre dos órganos, la actual Oficina del Comisionado de Privacidad de Canadá (OPC) y un nuevo Tribunal.

La OPC ahora tendría el poder de lanzar un investigación bajo la CPPA, que tendría reglas básicas de evidencia, y la OPC estaría obligada a completar una investigación emitiendo una decisión real. Una decisión, a diferencia de su actual «informe de resultados», está abierta a impugnaciones legales. La OPC también tendría poderes limitados para dictar órdenes, así como la capacidad de recomendar sanciones pecuniarias al nuevo Tribunal.

El nuevo Tribunal actuaría como un órgano de apelación de las conclusiones, órdenes o decisiones elaborada por la OPC y se establecería mediante legislación complementaria a la CPPA: la Ley del Tribunal de Protección de Datos e Información Personal . El Tribunal determinaría si imponía una sanción y podría optar por basarse en la recomendación de la OPC o sustituir su propia decisión.

Canada : Las sanciones económicas más severas entre las leyes de privacidad del G7

La CPPA introduciría importantes sanciones monetarias. La sanción máxima para todas las infracciones en una recomendación tomadas en conjunto es la mayor de CA $ 10,000,000 y el 3% de los ingresos brutos globales de una organización en su año financiero anterior a aquél en el que se impone la sanción.

Además, una organización que a sabiendas contraviene ciertas disposiciones de la CPPA, como no informar una infracción, no retener información que es objeto de una solicitud o violar una orden, es culpable de un delito procesable y está sujeta a una multa máxima de el mayor entre CA $ 25.000.000 y el 5% de los ingresos brutos globales de la organización en su año financiero, o culpable de un delito punible con condena sumaria y sujeto a una multa máxima de CA $ 20.000.000 y el 4% de los ingresos brutos globales de la organización en su año financiero.

Canada : Sigue siendo un régimen centrado en el consentimiento

Las organizaciones que esperan tener bases legales separadas para el procesamiento de datos similares a las de GDPR pueden sentirse decepcionadas. El consentimiento permanecerá en el centro de la CPPA, aunque hay una nueva flexibilidad en lo que respecta al procesamiento de datos. Las organizaciones continúan requiriendo un consentimiento válido para la recopilación, uso y divulgación de información personal; sin embargo, la validez del consentimiento ahora depende de que se proporcione cierta información en un lenguaje sencillo, que incluye:

  • El propósito de la recopilación, uso o divulgación
  • La forma en que se recopilará, utilizará o divulgará la información
  • «Cualquier consecuencia razonablemente previsible» de dicha recopilación, uso o divulgación
  • El tipo específico de información que se recopilará, utilizará o divulgará; y
  • Los nombres de terceros o tipos de terceros a los que la organización puede divulgar la información personal.

Esencialmente, los requisitos básicos de las Directrices de 2018 de la OPC para obtener un consentimiento significativo ahora están codificados en la ley.

Además, según el Proyecto de Ley C-11, el consentimiento debería obtenerse expresamente a menos que la organización pudiera establecer que el consentimiento implícito sería apropiado. Esta obligación requerirá que las organizaciones establezcan nuevos requisitos de documentación interna o aumenten los existentes.

Canada : Excepciones adicionales al consentimiento

PIPEDA contiene numerosas excepciones al conocimiento y consentimiento, por ejemplo, recopilar, usar o divulgar información para transacciones comerciales, propósitos laborales o investigación de fraude, y estos permanecen bajo la CPPA. El Proyecto de Ley C-11 amplía esto al agregar una serie de excepciones al conocimiento o consentimiento, en particular, una exención de operaciones comerciales.

Una organización no requiere el conocimiento o consentimiento del individuo si la recopilación y el uso es:

  • Dentro de las expectativas razonables del individuo
  • No con el propósito de influir en el comportamiento o las decisiones del individuo (es decir, no con fines de marketing o elaboración de perfiles); y
  • Se incluye en la lista de actividades comerciales prescritas.

La lista prescrita de actividades comerciales incluye, pero no se limita a, actividades que son:

  • Necesario para la seguridad de la información, el sistema o la red de la organización
  • Necesario para proporcionar o entregar un producto o servicio que el que el individuo haya solicitado a la organización
  • Realizado en el ejercicio de la debida diligencia para prevenir o reducir el riesgo comercial de la organización, o
  • Necesario para la seguridad del producto o servicio proporcionado o entregado.

Si bien esto será una buena noticia para muchas empresas con respecto a sus actividades comerciales ordinarias, el enfoque en un propósito particular probablemente significará que la excepción no es tan flexible como el interés comercial legítimo del GDPR. base para el procesamiento.

También se permiten expresamente sin conocimiento o consentimiento los siguientes:

  • Uso de información personal para fines de investigación y desarrollo internos, siempre que la información personal no esté identificada antes de hacerlo
  • Uso y divulgación de información para fines prospectivos y completos transacciones de negocios. Esto se proporcionó en PIPEDA, y la versión del proyecto de ley ahora incluye un requisito para anular la identificación de la información antes de usar y divulgar en el contexto de una transacción comercial propuesta
  • Transferencias a proveedores de servicios que procesarán la información en nombre de la organización controladora
  • Divulgaciones con “fines socialmente beneficiosos ”Siempre que la información no esté identificada y se envíe a instituciones gubernamentales, de atención médica, postsecundarias o similares; y
  • Divulgaciones de una organización violada a otras organizaciones o al gobierno que puedan estar en condiciones de mitigar el daño a las personas.

Canada : Sin excepción para datos anónimos

Una preocupación y una decepción importantes para muchas empresas será la falta de una separación clara para los datos ‘anónimos’ de la CPPA, como existe en otros regímenes de privacidad como el GDPR. En cambio, la CPPA incluye una definición de «eliminación»: la eliminación permanente e irreversible de información personal, que parece contemplar solo la eliminación real, no la anonimización.

El proyecto de ley C-11 introduce una definición de lo que significa anular la identificación de la información personal, lo que significa modificar la información personal, o crear información a partir de información personal, mediante el uso de procesos técnicos para garantizar que la información no identifique a un individuo o no pueda usarse en circunstancias razonablemente previsibles, solo o en combinación con otra información, para identificar a un individuo. Sin embargo, la información no identificada y posiblemente la información anónima permanecerán sujetas a la CPPA.

De manera útil, las organizaciones no están obligadas a obtener consentimiento para desidentificar información personal o transferir información personal a un servicio. proveedor. La CPPA establece una obligación para las organizaciones de desidentificar la información personal antes de compartirla con las partes en el contexto de una transacción comercial propuesta (por ejemplo, en la fase de debida diligencia).

Canada : Creación de códigos de prácticas y programas de certificación

La CPPA contendría nuevas disposiciones para permitir la creación de códigos de prácticas y programas de certificación de terceros como un medio para alentar una nueva autoprotección sectorial de la privacidad. regulación. La OPC actuaría como un organismo de aprobación para las entidades que operan un programa de certificación. El lenguaje de la CPPA propuesta sugiere que la participación en estos esquemas es voluntaria (aunque es concebible que los organismos que otorgan licencias puedan hacer que la participación en tal esquema sea una condición para otorgar licencias, o una organización basada en membresía podría hacer que la participación sea una condición para la membresía). De forma similar al RGPD, según la CPPA, la OPC tendría la capacidad de aprobar códigos de prácticas y programas de certificación. La capacidad de solicitar dicha aprobación no se limita a las «organizaciones», sino que incluye a todas las «entidades», que presumiblemente incluirían asociaciones industriales, grupos de interés y otras afiliaciones poco organizadas. Los códigos de práctica deben ofrecer protecciones «sustancialmente iguales o mayores» que las ofrecidas bajo la CPPA.

Es importante que el cumplimiento de un código de práctica o un programa de certificación no exime a una organización de sus obligaciones. bajo la CPPA.

Canada : Cronograma del Proyecto de Ley C-11

El Proyecto de Ley C-11 avanza a través del proceso legislativo con apoyo bipartidista, aunque algunos aspectos de el proyecto de ley puede cambiar antes de recibir la aprobación real, lo que se espera que ocurra a fines de 2021. Las organizaciones deben esperar un período de 12 meses para prepararse antes de que el proyecto de ley entre en vigor.

Canada : Nuevo proyecto de ley 64 de Québec

Además del nuevo proyecto de ley federal C-11, el gobierno de Québec propuso una revisión significativa de sus leyes de privacidad actuales mediante la introducción del muy esperado proyecto de ley 64, una ley para modernizar las disposiciones legislativas sobre la protección de la información personal (proyecto de ley).

En caso de que se apruebe el proyecto de ley, tanto las organizaciones públicas como las privadas de Québec verían reformas importantes y un aumento significativo de las obligaciones en cuanto a la forma en que mantienen y protegen los datos personales de sus clientes, lo que en muchos sentidos alinea las leyes de privacidad de Québec con el GDPR de la Unión Europea .

Los cambios clave incluyen:

  • El proyecto de ley 64 establece nuevas reglas, similares a las de PIPEDA y GDPR, integrando el “principio de adecuación” a la transferencia de información personal a una jurisdicción extranjera. Antes de comunicar información personal fuera de Quebec (incluida la subcontratación del procesamiento de datos), ahora se exigirá a las empresas que realicen una evaluación de impacto en la privacidad para garantizar que la información personal reciba una protección equivalente a la que ofrece el proyecto de ley. El gobierno también desempeñará un papel en la publicación de una lista de jurisdicciones que considere que tienen las salvaguardas adecuadas.
  • Obligaciones de privacidad por diseño para el configuración predeterminada para los productos tecnológicos de las empresas.
  • Nuevos derechos para las personas, incluida la portabilidad de datos, el derecho al olvido y el derecho a oponerse procesamiento automatizado de su información personal.
  • El requisito de nombrar un Director de Privacidad y establecer políticas y prácticas de gobierno.
  • Notificación y notificación de incumplimiento obligatorias.
  • Se podrían imponer sanciones importantes. ser impuesta por la Comisión de Acceso a la Información (CAI) de hasta CA $ 50.000 para una persona y CA $ 10 millones o el 2% de la facturación mundial, lo que sea mayor, y sanciones penales de hasta CA $ 25 millones o el 4% de la facturación mundial para las organizaciones.
  • Un derecho de acción privado (en otras palabras, daños legales resultante de la infracción ilegal de un derecho en virtud de las leyes de privacidad de Quebec).
  • La introducción de una excepción de «transacción comercial» del consentimiento que permitiría que la información personal sea revelada sin consentimiento en t El curso de una transacción comercial.

Canada : Cronograma del proyecto de ley 64

A la fecha de redacción, el proyecto de ley 64 no ha progresado muy rápidamente. Además, las disposiciones del Proyecto de Ley 64 generalmente entrarían en vigor un año después de la fecha de su aprobación a fin de dar a las empresas tiempo adicional para realizar los ajustes tecnológicos apropiados.

Canada : Columbia Británica y Ontario

Las empresas también pueden ver cambios en las leyes de privacidad del sector privado en 2021 en las provincias de Columbia Británica y Ontario.

El gobierno de Columbia Británica está revisando actualmente la Ley de protección de información personal (PIPA), que rige cómo las organizaciones del sector privado deben recopilar y administrar la información personal. Un Comité Especial de la Asamblea Legislativa convocado en febrero de 2020 emitirá sus recomendaciones en 2021.

Por último, el gobierno de Ontario se encuentra en un proceso de consulta para determinar si se requiere una nueva ley de privacidad del sector privado. para Ontario.

Leer más

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*