Siguiendo los pasos de otros legisladores, en noviembre de 2020, la Cámara de los Comunes de Canadá introdujo la Ley de Implementación de la Carta Digital (DCIA), también conocida como Proyecto de Ley C-11. Al igual que leyes similares de privacidad de datos, la DCIA tiene como objetivo regular la recopilación, distribución, uso y divulgación de la información del consumidor utilizada en actividades comerciales.
Bajo la DCIA, se propone que la CPPA se actualice para modernizar las regulaciones obsoletas de Canadá y garantizar una protección sólida sobre los datos personales canadienses.
Si procesa los datos personales de los canadienses con fines comerciales, esta ley le concierne. Por lo tanto, es fundamental familiarizarse con los detalles fundamentales.
¿Qué es la CPPA?
La CPPA o la Ley de Protección de la Privacidad del Consumidor está incluida en la Ley de Implementación de la Carta Digital. Después de que el GDPR de la UE y el CPPA de California se aprobaron recientemente, el CPPA también actualiza las leyes de privacidad de datos de Canadá, alineándolas con las nuevas normas internacionales.
Fundamentalmente, esta nueva ley impondrá una mayor transparencia en el uso de los datos personales por parte de las empresas y mejorará el control individual.
Curiosamente, en su forma actual, el proyecto de ley C-11 hace referencia a «individuos» y no especifica ni «ciudadanos» ni «residentes» canadienses. Por lo tanto, puede aplicarse a casi todas las personas que residen dentro de las fronteras canadienses.
¿Cómo cambia la CPPA la legislación existente?
Principalmente, establecerá una nueva ley de privacidad de datos del sector privado, ya que la antigua Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) necesita urgentemente ser reemplazada. Además, la Ley del Tribunal de Protección de Datos e Información Personal (PIDPT), otra faceta de la DCIA, tiene como objetivo crear un órgano judicial con el poder de imponer multas significativas a cualquier persona o empresa que no cumpla con la CPPA.
En comparación con PIPEDA, la CPPA no cambia el alcance de lo que está protegido. Más bien, proporciona a las personas la capacidad de demandar a las empresas por violaciones (derecho de acción). La CPPA también amplía los requisitos de consentimiento, que deben ser explícitos e informados, reflejando el GDPR de la UE. Finalmente, una organización debe demostrar sus propósitos y uso de recopilación de datos. También solo puede transferir datos fuera de Canadá según nuevos criterios estrictos.
Actualmente, la ley no se ha promulgado, aunque se espera que se apruebe a fines de 2021. Por favor, encuentre la propuesta actual aquí.
¿Cuáles son los requisitos de la CPPA?
Este es un cambio importante en las leyes canadienses de privacidad de datos y requiere alteraciones significativas en las prácticas actuales de la compañía.
Estos son los principales requisitos de la CPPA:
Tratamiento adecuado de los datos
Según la CPPA, Sección 12 (2), la recopilación, el uso y la divulgación de datos personales se limitan a circunstancias «apropiadas», relacionadas con:
- la sensibilidad de la información personal;
- si los propósitos representan necesidades comerciales legítimas de la organización;
- la eficacia de la recopilación, el uso o la divulgación para satisfacer las necesidades comerciales legítimas de la organización;
- si existen medios menos intrusivos para alcanzar esos fines a un coste comparable y con beneficios comparables; y
- si la pérdida de privacidad del individuo es proporcional a los beneficios a la luz de cualquier medida, técnica o de otro tipo, implementada por la organización para mitigar los impactos de la pérdida de privacidad en el individuo.
Consentimiento significativo
Al igual que el GDPR, bajo la CPPA, el consentimiento obtenido de un individuo debe ser válido. Eso significa que se obtuvo antes de la recopilación de datos y revela la forma en que la organización recopilará, usará o divulgará los datos personales.
Para que el consentimiento se considere válido, se debe proporcionar la siguiente información en «lenguaje sencillo»:
- los propósitos de la recopilación, uso o divulgación de la información personal determinada por la organización y registrada bajo la subsección 12(3) o (4);
- la forma en que se recopilará, utilizará o divulgará la información personal;
- cualquier consecuencia razonablemente previsible de la recopilación, uso o divulgación de la información personal;
- el tipo específico de información personal que se recopilará, utilizará o divulgará; y
- Los nombres de terceros o tipos de terceros a los que la organización puede divulgar la información personal.
Sin embargo, hay algunas excepciones notables del consentimiento.
- Las empresas deben recopilar el consentimiento si los datos son críticos para proporcionar o entregar un producto, servicio, sistema o seguridad de red.
- Los datos personales también se pueden recopilar para «fines razonables», pero no para influir en el comportamiento de un sujeto de datos.
- Ciertas instancias de transferencia de datos a un proveedor de servicios.
Las personas ahora también pueden rescindir su consentimiento u optar por no compartir información en cualquier momento. Todo lo que un sujeto de datos debe hacer es proporcionar un aviso razonable a la organización relevante, después de lo cual debe cesar toda recopilación y divulgación de datos personales.
Derecho de acción
En la CPPA se incluye una mejora de los poderes del Comisionado de Privacidad. Esto incluye investigaciones y auditorías de actividades comerciales relacionadas con la privacidad. Además, también pueden iniciar investigaciones sobre presuntas violaciones de CPPA.
Ahí es donde se aplica el Derecho Privado de Acción. Permite a los interesados demandar a una organización en el Tribunal Federal o en un tribunal provincial superior si el Comisionado de Privacidad confirma las violaciones.
Actualmente, la Ley no define los daños y perjuicios. Por lo tanto, las personas pueden reclamar daños por pérdidas o lesiones sufridas como resultado de la violación.
Sanciones y ejecución
Cualquier violación de la CPPA podría resultar en sanciones significativas, hasta el 4% de los ingresos globales totales de una empresa para el año anterior o CA $ 25 millones, lo que sea más alto. Es probable que la mayoría de las violaciones solo se impongan al 3% de los ingresos globales totales de una empresa durante el año anterior o CA $ 10 millones, lo que sea más alto.
Eso es un aumento sustancial de las multas bajo PIPEDA (un máximo de CA $ 100,000 por violación).
Es por eso que es fundamental cumplir con la CPPA cuando se convierte en ley. No es demasiado pronto para comenzar la preparación.
Fuentes:
https://parl.ca/DocumentViewer/en/43-2/bill/C-11/first-reading#ID0E0XB0BA
https://parl.ca/DocumentViewer/en/43-2/bill/C-11/first-reading#ID0ECCCA
https://www.transatlantic-lawyer.com/canadas-consumer-privacy-protection-act-what-the-changes-mean-for-you/