Safetica > Resources > Ley 25 de Quebec (anteriormente Proyecto de Ley 64): todo lo que necesita saber

Ley 25 de Quebec (anteriormente Proyecto de Ley 64): todo lo que necesita saber

oct 19, 2022

El 21 de septiembre de 2021, la Ley para modernizar las disposiciones legislativas en materia de protección de la información personal (The Privacy Legislation Modernization Act), conocida como Ley 25, fue aprobada por la Asamblea Nacional de Quebec. Esta ley regula la protección de la información personal e introduce actualizaciones importantes en la gobernanza de la privacidad en Quebec. Es una «ley con dientes», alineada con los requisitos de privacidad al estilo europeo, como el Reglamento General de Protección de Datos (GDPR), tanto para entidades privadas como públicas.

La aplicación de las múltiples nuevas disposiciones de la nueva ley se reparte en tres años, el 22 de septiembre de cada año, hasta 2024. La Commission d'accès à l'information du Québec (CAI) es responsable de su aplicación.

 

Adáptese a la Ley 25 de Quebec

 

safetica-article-quebec-001

Nuevas disposiciones para 2022


A continuación, un resumen de las nuevas disposiciones que entraron en vigor en septiembre:

  • Designar un Privacy Officer: designar a una persona responsable de la protección de la información personal y publicar sus datos de contacto.
  • Notificación obligatoria de brechas: notificar a la CAI los incidentes de confidencialidad relacionados con información personal que presenten riesgo de daño grave, y mantener un registro de incidentes de confidencialidad que deberá comunicarse a la CAI cuando lo solicite.
  • Biometría: notificar a la CAI antes de utilizar cualquier técnica biométrica para verificar o confirmar la identidad de una persona. Informar de la verificación o confirmación de identidad realizada mediante técnicas biométricas.

safetica-article-quebec-002

Para el 22 de septiembre de 2023

 

  • Política de privacidad: publicar una política de privacidad completa en su sitio web. Debe exponer sus políticas y prácticas de protección de datos en un lenguaje claro y sencillo, y proporcionar información suficiente para los consumidores (por ejemplo, sobre la gestión de datos personales, la notificación de brechas, el consentimiento, las solicitudes de acceso y la toma de decisiones automatizada) para cumplir con las obligaciones de transparencia.
  • Evaluaciones de impacto sobre la privacidad: ahora es obligatorio realizar una Evaluación de Impacto sobre la Privacidad (PIA) cuando se comuniquen datos personales fuera de Quebec, al crear o adquirir cualquier sistema digital que implique datos privados, o antes de divulgar información personal sin consentimiento con fines de investigación. Deberá disponer de directrices que regulen cuándo se activa este requisito y procedimientos de comunicación claros para el personal.
  • Finalidad, recogida y consentimiento: su organización debería haber realizado una revisión exhaustiva de sus mecanismos existentes para recopilar, almacenar y difundir información de los consumidores. Estos mecanismos deben actualizarse para cumplir con el nuevo marco de derechos de los consumidores, prestando especial atención a los siguientes puntos:

     
    • Desactive por defecto cualquier tecnología de recogida de datos en su sitio web, sin requerir ninguna acción confirmatoria por parte de los usuarios. En su lugar, puede ofrecer un mecanismo explícito de «opt-in». Esto excluye el uso de cookies.
    • Actualice sus formularios de consentimiento y los sistemas de acceso a la información. Asegúrese de poder facilitar, cuando se solicite, los detalles de las categorías de personas dentro de su empresa que tienen acceso a la información personal de un cliente determinado, así como los datos de contacto de su Privacy Officer.
    • Identifique las jurisdicciones transfronterizas a las que su organización pueda transferir información personal y realice una PIA respecto a dichas ubicaciones.
    • Asegúrese de tener procedimientos para gestionar la excepción de confidencialidad por duelo. Puede transmitir información personal relativa a una persona fallecida a su cónyuge o a sus familiares cercanos, pero solo si esto puede ayudarles en el proceso de duelo y si la persona fallecida no retiró su consentimiento en vida.
    • Asegúrese de que su organización ya no recopila información personal sobre menores de 14 años sin el consentimiento de los padres.
    • Asegúrese de que su política de privacidad detalla los procesos de toma de decisiones automatizada de su organización, incluido el acceso a la información y los recursos de apelación.



  • Destrucción de la información personal: debe existir un sistema para destruir los datos personales una vez cumplidas las finalidades para las que se recogieron, o para anonimizarlos cuando proceda. Si está implementando o actualizando un sistema de anonimización, este debe alcanzar el alto estándar de garantizar que la persona afectada ya no pueda ser identificada directa ni indirectamente.
  • Derecho al olvido: las organizaciones deben adoptar las medidas necesarias para atender las solicitudes de personas que deseen que se deje de difundir su información personal.

safetica-article-quebec-003

Para el 22 de septiembre de 2024


  • Portabilidad de los datos: las organizaciones deberán contar con la tecnología y la formación necesarias para poder generar una copia digital de toda la información personal que conserven sobre un individuo si se les solicita.

 

Sanciones

Las organizaciones que no cumplan con la Ley 25 y sus regulaciones relacionadas se enfrentarán a sanciones más severas que en el régimen actual. Estas variarán según el tamaño de la empresa, pero por lo general incluyen:

  • 20 millones de dólares, o el dos por ciento de la facturación mundial de la organización del ejercicio anterior, para organizaciones privadas que no apliquen las regulaciones.
  • El cuatro por ciento de las ventas de la organización (o entre 15 000 y 25 000 000 de dólares) para organizaciones privadas que afronten sanciones penales.
  • Dos niveles para instituciones públicas por incumplimiento de la regulación:
    • Entre 3000 y 30 000 dólares
    • Entre 15 000 y 150 000 dólares
  • Entre 5000 y 50 000 dólares por infracciones cometidas por una persona física.

 

Cómo Safetica ayuda a cumplir con la Ley 25 de Quebec

Safetica le ofrece una visión general tanto de sus datos sensibles como del flujo de información, y supervisa las operaciones de los usuarios en toda la organización, para que sepa cómo se procesa la información personal. Con esta solución, puede clasificar sus datos y establecer políticas de seguridad específicas para cumplir con la Ley 25 de Quebec. Safetica notifica a sus empleados sobre operaciones arriesgadas y mitiga los riesgos de uso indebido o de violaciones accidentales de las políticas.

 

 

La solución cloud de Safetica incluye una plantilla integrada para la clasificación y protección de datos, diseñada específicamente para cumplir con la Ley 25 de Quebec. Simplifica y agiliza el cumplimiento de la ley en su organización a la hora de gestionar y proteger la información personal.

law25-2

 

Privacy and personal data protection should be an absolute right of everyone in the modern world. That's why we at Safetica place these protections at the heart of each of our products and help every company protect their reputation, resources, and employees

radim-travnicek
CISO Radim Trávníček



Por qué Safetica

La prevención de fugas de datos ha estado en el corazón de nuestro negocio durante más de una década, y, gracias a nuestros clientes, sabemos cuáles son los mayores retos en la protección de datos. Safetica está entre los mejores proveedores de soluciones DLP, y los clientes valoran especialmente lo fácil que es de usar y lo bien que les damos soporte.

 

 

 

Hablemos

Similar posts