A 21 de setembro de 2021, a Lei para modernizar disposições legislativas em matéria de proteção de informação pessoal (The Privacy Legislation Modernization Act) — também conhecida como Lei 25 — foi adotada pela Assembleia Nacional do Quebeque. Esta lei rege a proteção da informação pessoal e introduz atualizações significativas à governação da privacidade no Quebeque. É uma "lei com dentes", em linha com requisitos europeus de privacidade como o General Data Protection Regulation (GDPR), tanto em jurisdições privadas como públicas.
A aplicação das múltiplas novas disposições da nova lei está distribuída por três anos, a 22 de setembro de cada ano, até 2024. A Commission d'accès à l'information du Québec (CAI) é responsável pela aplicação da lei.
Novas disposições para 2022
Eis uma síntese das novas disposições que entraram em vigor em setembro:
- Designar um Responsável pela Privacidade: Designar uma pessoa responsável pela proteção da informação pessoal e publicar os contactos dessa pessoa.
- Notificação obrigatória de violações: Reportar à CAI incidentes de confidencialidade que envolvam informação pessoal e apresentem risco de prejuízo grave, e manter um registo de incidentes de confidencialidade que tem de ser comunicado à CAI mediante pedido.
- Biometria: Notificar a CAI antes de utilizar qualquer técnica biométrica para verificar ou confirmar a identidade de uma pessoa. Divulgar a verificação ou confirmação de identidade efetuada por meio de técnicas biométricas.
Até 22 de setembro de 2023
- Política de Privacidade: Ter uma política de privacidade abrangente publicada no seu website. Esta deve descrever as suas políticas e práticas de proteção de dados em linguagem clara e simples e fornecer informação suficiente para os consumidores (por exemplo, sobre gestão de dados pessoais, notificação de violações, consentimento, pedidos de acesso e tomada de decisão automatizada) para cumprir as obrigações de transparência.
- Avaliações de Impacto sobre a Privacidade: É agora obrigatório realizar uma Avaliação de Impacto sobre a Privacidade ao comunicar qualquer informação pessoal para fora do Quebeque, ao criar ou adquirir quaisquer sistemas digitais que envolvam dados privados, ou antes de divulgar qualquer informação pessoal sem consentimento para fins de investigação. Terá de dispor de orientações que regulem como este requisito é desencadeado, bem como procedimentos de comunicação claros para o pessoal.
- Finalidade, Recolha e Consentimento: A sua organização deverá ter realizado uma revisão abrangente dos seus mecanismos existentes de recolha, armazenamento e divulgação de informação dos consumidores. Estes devem agora ser atualizados para satisfazer o novo enquadramento de direitos do consumidor, prestando especial atenção aos seguintes pontos:
- Desativar por defeito qualquer tecnologia de recolha de dados no seu website, sem exigir qualquer ação confirmatória dos utilizadores. Pode em alternativa fornecer um mecanismo explícito de "opt-in". Isto exclui a utilização de cookies.
- Atualizar os seus formulários de consentimento e o acesso a sistemas de informação. Garanta que, quando solicitado, é capaz de fornecer detalhes sobre as categorias de pessoas dentro da sua empresa que têm acesso à informação pessoal de qualquer cliente, bem como os contactos do seu responsável pela privacidade.
- Identificar quaisquer jurisdições transfronteiriças para as quais a sua organização possa transferir informação pessoal e realizar uma ou mais PIA relativamente a essas localizações.
- Garantir que tem procedimentos implementados para gerir a exceção de confidencialidade por luto. Pode transmitir informação pessoal relativa a alguém que faleceu ao seu cônjuge ou familiares próximos — mas apenas se isso puder ajudá-los no processo de luto, e se o falecido não tiver retirado o consentimento durante a sua vida.
- Garantir que a sua organização deixou de recolher qualquer informação pessoal relativa a uma criança com menos de 14 anos sem consentimento parental.
- Garantir que a sua política de privacidade fornece detalhes sobre os processos de tomada de decisão automatizada da sua organização, incluindo o acesso à informação e os recursos.
- Destruição de Informação Pessoal: Tem de existir um sistema para destruir os dados pessoais quando as finalidades para as quais foram recolhidos forem atingidas, ou para os anonimizar quando aplicável. Se estiver a implementar ou atualizar um sistema de anonimização, este tem de cumprir o critério elevado de garantir que a pessoa em causa já não pode ser identificada direta ou indiretamente.
- Direito ao esquecimento: As organizações têm de criar mecanismos para responder a pedidos de pessoas que desejem impedir que a sua informação pessoal continue a ser divulgada.
Até 22 de setembro de 2024
- Portabilidade dos Dados: As organizações terão de dispor da tecnologia e da formação necessárias para poderem produzir uma cópia digital de toda a informação pessoal que detenham relativa a qualquer pessoa, se tal for solicitado.
Sanções
As organizações que não cumpram a Lei 25 e os seus regulamentos relacionados enfrentarão sanções mais severas do que sob o regime atual. Estas variarão consoante a dimensão do negócio, mas geralmente incluem:
- 20 milhões de dólares, ou 2 % do volume de negócios mundial da organização no exercício fiscal anterior, para organizações privadas que não administrem os regulamentos.
- Quatro por cento das vendas da organização — ou entre 15 000 e 25 000 000 dólares — para organizações privadas sujeitas a sanções penais.
- Dois escalões para instituições públicas em caso de incumprimento dos regulamentos:
- 3 000 e 30 000 dólares
- 15 000 e 150 000 dólares
- Entre 5 000 e 50 000 dólares para infrações cometidas por uma pessoa singular.
Como a Safetica ajuda a cumprir a Lei 25 do Quebeque
A Safetica oferece-lhe uma visão geral dos seus dados sensíveis e do fluxo de informação, e monitoriza as operações dos utilizadores em toda a organização, para que saiba como a informação pessoal está a ser tratada. Com esta solução, pode classificar os seus dados e definir políticas de segurança específicas para cumprir a Lei 25 do Quebeque. A Safetica notifica os seus colaboradores sobre operações arriscadas e mitiga riscos de utilização indevida ou violação acidental de políticas.
A solução baseada na cloud da Safetica inclui um modelo integrado para classificação e proteção de dados, especificamente concebido para cumprir a Lei 25 do Quebeque. Simplifica e acelera a conformidade da sua organização com a lei na gestão e salvaguarda de informação pessoal.
Porquê Safetica
O Data Leakage Prevention está no centro do nosso negócio há mais de uma década e, graças aos nossos clientes, sabemos quais são os maiores desafios na proteção de dados. A Safetica está entre os melhores fornecedores de soluções de DLP, e os clientes apreciam particularmente a facilidade de utilização e a qualidade do nosso suporte.