El panorama de la privacidad canadiense en 2023 está evolucionando. En este artículo, le brindamos una descripción general de los últimos desarrollos en el panorama de protección de datos canadiense. Al hacerlo, cubrimos los próximos requisitos de privacidad en Quebec, las nuevas regulaciones de IA, particularmente bajo la Ley de Privacidad del Consumidor (Proyecto de Ley C-27), y más actualizaciones de privacidad de otras provincias canadienses con respecto a la regulación de IA.
Si es residente canadiense o hace negocios dentro de Canadá, es posible que deba asegurarse de que su negocio cumpla con los próximos cambios en la legislación canadiense.
A continuación se muestra una descripción general de los detalles y el impacto potencial en su negocio.
Nueva fase de los requisitos de privacidad de Quebec a partir del 22 de septiembre de 2023
La Ley de Protección de Información Personal del Sector Privado de Quebec («PPIPS» ) se está actualizando en una segunda ronda por el Proyecto de Ley 64 , ahora Ley 25 , y está programado para entrar en vigencia el 22 de septiembre de 2023. Para entonces, las empresas que hacen negocios en Québec deben cumplir, entre otros, con los siguientes requisitos fundamentales:
- Ahora es obligatorio realizar una Evaluación de impacto en la privacidad (PIA): las organizaciones ahora deben realizar un PIA para cada actividad sensible a la privacidad. Es decir, si su empresa participa en actividades sensibles a la privacidad que implican, entre otras cosas, la recopilación, el procesamiento o el almacenamiento de datos personales, el procesamiento de datos biométricos o el intercambio y divulgación de información.
- Las políticas deben actualizarse: las empresas ahora deben dar a los usuarios la opción de conservar o eliminar sus datos personales. La política actualizada ahora debe explicar las funciones y responsabilidades de los empleados que manejan información personal a lo largo de su ciclo de vida, y también cómo la empresa maneja las quejas.
- Otros derechos de las personas : La Ley 25 establece derechos de las personas, entre ellos el derecho a la portabilidad de los datos, la toma de decisiones automatizada, la elaboración de perfiles de datos y al olvido. Las personas tienen derechos adicionales para retirar el procesamiento y la divulgación de sus datos personales.
- Acuerdos de procesamiento de datos con proveedores de servicios que contienen disposiciones específicas: la Ley 64 requiere que las organizaciones que aún no lo hayan hecho celebren acuerdos de procesamiento de datos por escrito con proveedores de servicios con quienes comparten datos personales.
- Sanciones: de forma similar a las leyes europeas de protección de datos, como el RGPD, las nuevas leyes de protección de datos de Canadá prevén sanciones de hasta $50 000 por persona y hasta $10 000 000 o el 2 % de los ingresos mundiales del año anterior de una empresa, lo que sea mayor.
Nuevas regulaciones de IA bajo la Ley de Privacidad del Consumidor (Proyecto de Ley C-27):
El proyecto de ley C-27 de Canadá, la Ley de Protección de la Privacidad del Consumidor, ingresa a su segunda lectura desde su inicio en junio de 2022. Esta legislación, que aún no ha entrado en vigor, reemplazaría la legislación sobre privacidad existente de la Ley de Protección de Datos Personales y Documentos Electrónicos («PIPEDA») y, en conjunto, la Ley de Protección de la Privacidad del Consumidor («CPPA»), la Ley del Tribunal de Protección de Datos e Información Personal («PIDPTA») y la Ley de Inteligencia Artificial y Datos («AIDA»).
Asimismo, la Oficina del Comisionado de Privacidad de Canadá (OPC) ha realizado 15 recomendaciones importantes sobre el proyecto de ley C-27. Estos incluyen reconocer la privacidad como un derecho fundamental, el derecho a acceder a datos personales, crear una cultura de privacidad en las organizaciones para desarrollar productos y servicios basados en el principio de «privacidad por diseño», y obligar a las organizaciones a monitorear sus decisiones y creación de perfiles por sistemas automatizados de toma de decisiones para explicar a pedido.
AIDA , una nueva regulación que responde al panorama cambiante y en rápida evolución de la inteligencia artificial (IA), impondrá nuevas leyes sobre el uso de los sistemas de IA. Por lo tanto, si hace negocios en Canadá, es importante que empiece a pensar ahora en cómo su empresa utiliza la IA y qué medidas está tomando para proteger la privacidad y la información personal de sus usuarios. De manera similar a las leyes de privacidad anteriores, AIDA requiere que explique qué datos recopila, cómo los recopila y que las personas pueden solicitar acceso a esos datos. Deben explicar cómo funciona el algoritmo y estar dispuestos a divulgar información de manera transparente. Esto también se aplica a los proveedores externos que utilizan sistemas de inteligencia artificial.
El proyecto de ley C-27 se encuentra actualmente en su segunda lectura y probablemente pasará por varios cambios antes de que se convierta oficialmente en ley.
Otros estados canadienses están siguiendo su ejemplo en la regulación de los sistemas de IA:
Desde mayo, los comisionados de privacidad canadienses y, a nivel federal, los comisionados de privacidad de Quebec, Columbia Británica y Alberta han iniciado conjuntamente una investigación sobre OpenA I, la compañía detrás del chatbot ChatGPT impulsado por inteligencia artificial.
Entre otras cosas, examina si OpenAI ha obtenido un consentimiento válido y apropiado para la recopilación y el uso de datos personales de los residentes canadienses por parte de ChatGPT, si ha cumplido con sus obligaciones de transparencia y responsabilidad, y si los datos personales recopilados se basan en el para el especificado y los fines previstos se limitan a la medida necesaria.
Una declaración de Philippe Dufresne, Comisionado de Privacidad de Canadá, señala la voluntad de Canadá de mantenerse a la vanguardia en tecnologías en evolución como la inteligencia artificial, al tiempo que pone la privacidad en primer plano.
«La inteligencia artificial y su impacto en la privacidad son problemas globales que son de gran preocupación para los reguladores de la privacidad en Canadá y en todo el mundo. Como reguladores, debemos seguir el ritmo y adelantarnos a los rápidos avances tecnológicos para proteger los derechos fundamentales de privacidad de los canadienses».
Fuente:
https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/
Las empresas con sede en Canadá ya pueden emprender el camino hacia el cumplimiento integral con consentmanager . Simplemente haga clic aquí para ver nuestra página de cumplimiento canadiense dedicada.