En este artículo explicamos todo sobre la regulación canadiense de protección de datos PIPEDA y la próxima regulación CPPA. En el próximo artículo entraremos en más detalles sobre las Cookies y el Consentimiento.
¿Qué es PIPEDA?
PIPEDA es la abreviatura de Ley de Protección de Información Personal y Documentos Electrónicos y se refiere al nuevo Reglamento General de Protección de Datos de Canadá. La enmienda combina las dos leyes canadienses anteriores de protección de datos, la Ley de Protección de la Privacidad del Consumidor (CPPA) y la Ley del Tribunal de Protección de Datos e Información Personal (PIDPTA) en una regulación integral equivalente al RGPD. La referencia al Reglamento General Europeo de Protección de Datos se puede ver en muchos lugares en PIPEDA, por lo que a menudo también se le llama GDPR Canadá.
Al igual que el RGPD, la Ley de Protección de Datos de Canadá regula el manejo de la información personal recopilada y almacenada como parte de las actividades comerciales. La Ley de Protección de Información Personal y Documentos Electrónicos PIPEDA es, por lo tanto, importante para todas las empresas que desean llegar a los consumidores en Canadá con servicios y productos , ya sea estacionarios o de venta a distancia. Las actividades comerciales en el sentido de PIPEDA son todas las transacciones y acciones de origen comercial o con intención comercial.
PIPEDA se aplica a empresas y organizaciones que están reguladas por el gobierno federal y sujetas a la legislación canadiense. La Ley de Protección de Datos Personales y Documentos Electrónicos también se aplica al sector privado de cada provincia, a menos que una provincia haya promulgado su propia ley de protección de datos, que es muy similar a la Ley de Protección de Datos Personales y Documentos Electrónicos PIPEDA. Solo Columbia Británica, Alberta y Quebec tienen leyes de privacidad que son muy similares a la Ley de Protección de Información Personal y Documentos Electrónicos PIPEDA. Si una empresa tiene su sede en Columbia Británica, Alberta o Quebec, la Ley de Protección de Información Personal y Documentos Electrónicos se aplica a la información personal recopilada por aquellas organizaciones donde los usos comerciales de la información superan los límites de esa provincia.
Los 10 principios de privacidad en la Ley de Protección de Datos Personales y Documentos Electrónicos PIPEDA
Las empresas que deben cumplir con las regulaciones de PIPEDA deben considerar los principios de privacidad de este RGPD para Canadá de manera oportuna. 10 puntos describen los derechos y obligaciones que las organizaciones deben seguir al realizar transacciones comerciales con consumidores canadienses bajo el RGPD para Canadá :
- responsabilidad
- destinación
- consentir
- Evitación de datos y economía de datos
- Almacenamiento, Uso y Procesamiento
- precisión
- integridad y confidencialidad
- transparencia
- derecho de proporcionar información
- derecho de apelación
Cualquiera que esté familiarizado con el Reglamento General de Protección de Datos ya reconocerá muchos aspectos en la descripción general de los 10 principios de PIPEDA que también se pueden encontrar en el RGPD de la UE . No obstante, existen diferencias en el detalle , también y especialmente en lo que se refiere al consentimiento para la recogida de datos personales. Echemos un vistazo rápido a cada uno de los 10 puntos:
1. Responsabilidad
El principio de responsabilidad significa que, por encima de cierto tamaño, una organización debe designar a una persona para que sea responsable de la gestión de los datos personales y recopilados. Esta persona se denomina oficial de protección de datos en el RGPD – en la Ley de Protección de Información Personal y Documentos Electrónicos PIPEDA se le llama Oficial de Privacidad o Director de Privacidad (CPO) . En empresas más pequeñas, el Oficial de Privacidad también puede desempeñar su función a tiempo parcial . Su tarea principal radica en el desarrollo, implementación y seguimiento de procedimientos que cumplan con los requisitos de protección de datos según el PIPEDA . Además, el delegado de protección de datos debe recibir y responder las quejas sobre la recopilación de datos . Otra área importante es la formación de los empleados y la comunicación de los requisitos de protección de datos relevantes para las áreas de responsabilidad individuales. Si el consumidor ha dado su consentimiento para el procesamiento de datos por parte de terceros, el Oficial de Privacidad es responsable del cumplimiento de los requisitos de PIPEDA por parte de terceros.
2. Limitación del propósito
¿Por qué la empresa quiere almacenar la información personal de un cliente ? El propósito debe ser comunicado al consumidor a más tardar en el momento en que se registran los datos. La divulgación crea transparencia, pero también facilita que la empresa implemente un acceso específico. Según PIPEDA, el propósito de la recopilación de datos es comunicar a todos los empleados que entran en contacto con los clientes. Si, por ejemplo, a un cliente se le solicita la dirección o el número de teléfono al realizar una compra en la caja, se le debe explicar el uso de la información de datos cuando lo solicite . Los formularios en papel y en línea que recopilan información de identificación personal de los clientes también deben describir claramente el propósito de la recopilación. Los datos personales recopilados no pueden utilizarse para un nuevo propósito sin el permiso expreso del cliente. Una excepción son los requisitos legales que exigen esto.
3. Consentimiento
Una empresa no debe recopilar, utilizar o divulgar datos personales sin el conocimiento y consentimiento del cliente. La intención de recopilar datos del cliente debe comunicarse de manera clara e inequívoca. Si se solicitan datos personales en un formulario, no se permiten formulaciones ambiguas. Una persona no estará en desventaja si se niega a proporcionar información. Por lo tanto, las empresas también deben poner sus productos y servicios a disposición de los consumidores que no quieran proporcionar datos que no estén relacionados con el producto o servicio. Hay algunas excepciones: una empresa puede abstenerse de dar su consentimiento si existen razones legales o médicas para no hacerlo. Las razones de seguridad también pueden aplicarse a ciertos productos. Y si la información se recopila para la aplicación de la ley, también se renuncia al consentimiento. También se puede renunciar al consentimiento en los casos en que una persona sea menor de edad, gravemente enferma o mentalmente impedida. Sin embargo, el consentimiento también puede ser otorgado por un representante autorizado.
En cuanto al tipo de consentimiento, se distingue entre:
- explícito
- implícitamente
- optar por no
En muchos casos, como el registro en línea, como en el Reglamento General Europeo de Protección de Datos, aquí también se requiere el consentimiento explícito del consumidor. Por lo general, no se proporciona una opción de exclusión. Por ejemplo, no se pueden preasignar marcas o botones al Consentimiento de cookies PIPEDA, equivalente a las regulaciones de cookies en el RGPD. En principio, el consentimiento no tiene que darse por escrito; el consentimiento verbal es suficiente. Por ejemplo, basta con que el interesado dé su consentimiento para ser incluido en una newsletter por teléfono. Sin embargo , el consentimiento dado por teléfono regularmente hace que sea más difícil para una empresa proporcionar pruebas . En algunos casos, el consentimiento también puede derivarse directamente de las acciones del consumidor.
Los consumidores pueden retirar su consentimiento en cualquier momento, sujeto a las restricciones y plazos contractuales y legales, debiendo la empresa informar al cliente de las consecuencias de retirar el consentimiento.
4. Evasión de datos y economía de datos
El principio de limitar la recopilación de datos a la cantidad de datos necesarios para un propósito es un principio que también juega un papel importante en el RGPD europeo. Los datos personales recabados por una empresa deben limitarse a lo necesario para una acción en el marco de una relación comercial.
De acuerdo con PIPEDA, también debe evitarse la recopilación y el almacenamiento de datos personales innecesarios. El tratamiento justo y lícito de los datos, que se oculta tras la frase «Medios justos y lícitos», tiene como objetivo la soberanía de los datos del cliente y la necesidad de procesos transparentes. El propósito para el cual se recopilan ciertos datos personales no debe oscurecerse mediante declaraciones engañosas o ambiguas.
5. Almacenamiento, Uso y Procesamiento
El uso de los datos registrados sólo podrá circular en el corredor que sea conocido por el cliente y para el que haya dado su consentimiento. La divulgación u otro uso de datos personales no está permitido bajo el Reglamento General de Protección de Datos de Canadá PIPEDA. Los períodos de retención se basan en los requisitos de la empresa y otras normas legales. El periodo de conservación mínimo recomendado para las empresas es de un año. Este plazo deja a la empresa con capacidad suficiente para comprobar y cumplir con los requisitos legales. El período máximo de retención debe ser determinado y divulgado por la empresa.
No se permite el almacenamiento ilimitado de datos; el consumidor debe ser informado previa solicitud cuando sus datos se eliminarán de forma permanente. Si lo desea, los datos se pueden anonimizar y destruir antes de tiempo, teniendo en cuenta los plazos. Además, una organización debe poder revelar quién ha recibido el consentimiento para el procesamiento de los datos y en qué medida.
6. Precisión
El principio de exactitud garantiza que los datos personales recopilados por una empresa sean correctos, completos y actualizados para los fines para los que se utilizan.
Debe tenerse en cuenta que los datos recopilados deben utilizarse en el mejor interés del consumidor.
La especificación de corrección en PIPEDA no solo es importante para la relación entre empresas y clientes. Por ejemplo, si una organización recopila datos personales para verificar los perfiles de los candidatos antes de un proceso de contratación, debe asegurarse de que el registro incorrecto o incompleto no genere desventajas para los candidatos.
Actualización de información personal
Por lo general, no se permite la actualización automática y periódica de los datos personales. Esta directriz del PIPEDA también se aplica a la información que se transmite a terceros.
7. Integridad y Confidencialidad
El principio de integridad y confidencialidad implica que los datos personales deben protegerse contra pérdida o robo , acceso no autorizado, divulgación, copia, alteración o uso no autorizado. Este principio se aplica independientemente del formato en el que se almacenen los datos.
Medidas de protección adecuadas
El esfuerzo depende del tamaño de la empresa. Una pequeña empresa que recopila las direcciones de correo electrónico de los clientes para un boletín en línea puede almacenar las direcciones de correo electrónico en una hoja de cálculo. Si la tabla está protegida con una contraseña y además cifrada en un alto grado, se puede asumir una protección adecuada.
Las grandes organizaciones a menudo gestionan datos personales confidenciales a gran escala, a pesar de toda la economía de datos. Estas empresas también tienen más probabilidades de ser objetivos de los atacantes, por lo que se deben tomar precauciones de seguridad mucho más estrictas aquí.
Todas las medidas de seguridad deben ofrecer una protección superior a la media de los datos personales que se van a proteger para garantizar un alto nivel de integridad.
Destrucción de Información Personal
Si los datos personales se van a eliminar o destruir, se puede descartar la recuperación basada en el juicio humano y mediante el uso de altos estándares tecnológicos para la destrucción de datos. Esto se aplica tanto a la destrucción física de documentos en papel como a la destrucción de bases de datos en módulos de memoria.
8. Transparencia
Una empresa debe hacer que sus políticas y procedimientos para el manejo de información personal sean fácilmente accesibles . Por lo tanto, los clientes deben poder acceder a esta información sin rodeos complicados. Las respuestas a las consultas de los consumidores sobre protección de datos deben ser respondidas en un tiempo razonable y de la manera más directa posible . La información proporcionada debe estar formulada de manera que sea generalmente comprensible. Se debe evitar la terminología legal.
Requisitos de PIPEDA
Según PIPEDA, una organización debe proporcionar estos datos cuando se le solicite:
- Nombre o cargo y dirección de la persona responsable de las políticas y prácticas de la organización ya quien se pueden remitir las quejas o consultas.
- Formas de acceder a los datos personales
- Tipo de datos personales recopilados, incluida una descripción de su uso.
- Información escrita que explica las políticas y normas de organización de la empresa
9. Derecho a la información
Previa solicitud, una empresa debe proporcionar a una persona información sobre los datos personales almacenados y su uso después de la autenticación. Si un cliente duda de la exactitud o integridad de los datos personales, puede insistir en cambiar los datos registrados. Esto puede significar corregir , eliminar o agregar datos .
excepciones
La información sobre datos personales puede ser denegada por varios motivos. Este es el caso cuando la información está sujeta al privilegio abogado-cliente o cuando se divulgaría información comercial confidencial.
Requisitos de autenticación
Antes de otorgar acceso a los datos personales, una empresa debe asegurarse de que se está comunicando con la persona adecuada.
Algunas organizaciones hacen esto solicitando una identificación emitida por el gobierno. Si es necesario, también es posible la verificación basada en la información de la cuenta en combinación con otra información, como el nombre de soltera o una contraseña almacenada. Sin embargo, los estrictos requisitos de autenticación no deben constituir un obstáculo para el derecho a la información.
Información – tiempo y costos
Las solicitudes de información se responderán en un tiempo razonable y con un costo mínimo o gratuito para el individuo. A más tardar 30 días después de recibida una solicitud, ésta deberá ser contestada. Si, excepcionalmente, una empresa necesita más tiempo para proporcionar información, debe enviar a la persona una decisión provisional y dar una razón plausible de la demora.
10. Derecho a reclamar
El derecho de apelación anclado en PIPEDA permite a los clientes y consumidores tomar medidas específicas contra las empresas en caso de violación de los puntos del RGPD de Canadá.
Las empresas deben proporcionar procedimientos para recibir y responder a quejas y consultas. Estos procedimientos deben ser simples y fáciles de usar. Además, según el RGPD de Canadá, las empresas deben hacer un seguimiento e investigar las quejas, incluso si creen que la queja parece no tener fundamento . Si la queja resulta ser válida, se deben tomar las medidas correctivas apropiadas. El delegado de protección de datos de la empresa es el responsable de recibir las denuncias e iniciar los procedimientos.