La Ley Canadiense de Protección de Datos Personales y Documentos Electrónicos (PIPEDA) es una ley federal del sector privado que dicta cómo las organizaciones recopilan y utilizan los datos personales.
A continuación, hablaré de todo lo relacionado con la LPRPDE, incluyendo a quién se aplica, las sanciones por infringir la ley y cómo afecta a empresas y consumidores.
¿Qué es la LPRPDE?
La LPRPDE es la ley federal canadiense que regula la recogida, el tratamiento y la utilización de los datos personales de los ciudadanos.
En Canadá hay otras leyes que protegen la intimidad, como las provinciales y la Ley de Protección de la Intimidad, que protege los datos personales en poder del Gobierno federal, pero la LPRPDE es la principal ley del sector privado.
Breve historia de la ley
En noviembre de 2020, el gobierno canadiense presentó un proyecto de ley que habría revisado la LPRPDE y la habría sustituido por una nueva legislación; sin embargo, dicho proyecto nunca recibió la sanción real.
En septiembre de 2021, el Gobierno convocó elecciones, y todos los proyectos de ley no aprobados (incluido el que habría actualizado la LPRPDE) murieron en la hoja de ruta.
Como resultado, la LPRPDE no ha sido revisada ni sustituida.
¿A quién se aplica la LPRPDE?
La LPRPDE se aplica a las organizaciones del sector privado de todo Canadá que recopilan, utilizan o comparten información personal cuando llevan a cabo actividades comerciales.
Cualquier organización canadiense que transfiera datos a través de las fronteras provinciales y nacionales también debe cumplir la normativa, independientemente del lugar desde el que opere y de la legislación sobre privacidad aplicable en su provincia.
Las siguientes organizaciones reguladas a nivel federal también deben cumplir la normativa:
- Aerolíneas y aeropuertos
- Bancos
- Empresas de telecomunicaciones
- Empresas de transporte interprovincial e internacional
¿Quién está exento?
Las siguientes organizaciones están exentas de la LPRPDE a menos que realicen actividades comerciales que no formen parte de sus operaciones principales:
- Organizaciones sin ánimo de lucro
- Grupos benéficos
- Partidos políticos
Además, las organizaciones de las siguientes provincias también están exentas de la Ley y, en su lugar, están sujetas a las siguientes leyes provinciales del sector privado que son similares en su ámbito de aplicación:
- Alberta: Ley de Protección de Datos Personales (PIPA)
- Columbia Británica: Ley de Protección de Datos Personales (PIPA)
- Quebec: Ley 25 de Quebec
Requisitos clave de la LPRPDE
A continuación, explico algunos de los requisitos clave de la LPRPDE y su impacto en las empresas.
Los 10 principios de la información imparcial
Las organizaciones acogidas a la LPRPDE deben seguir los diez principios de información leal, que describen los derechos de los consumidores y las normas de recogida y uso de información personal.
Definición jurídica de datos personales
Con arreglo a la LPRPDE, por información personal se entiende cualquier información fáctica o subjetiva sobre un individuo identificable, incluyendo:
- Identificadores directos como edad, nombre, números de identificación
- Información subjetiva como opiniones, evaluaciones y medidas disciplinarias
- Datos de empleo, como expedientes de empleados, registros de crédito y registros de préstamos
- Información sanitaria personal
- Datos de las cookies
No incluyela información personal manejada por organizaciones del gobierno federal enumeradas en la Ley de Privacidad ni la información de contacto comercial utilizada para comunicaciones directas.
Requisitos de notificación de violaciones de datos
La LPRPDE exige a las empresas afectadas que notifiquen las violaciones de datos que supongan un "riesgo real de daño significativo" a la Oficina del Comisario de Privacidad (OPC) de Canadá mediante un formulario de notificación de violaciones de la LPRPDE.
Entre los ejemplos de daños significativos se incluyen:
- Daño físico
- Daños a la reputación
- Pérdidas financieras
- Pérdida de empleo
Las organizaciones deben notificar la violación a las personas afectadas lo antes posible y conservar registros de todas las violaciones de datos durante dos años.
Derechos de los consumidores en virtud de la LPRPDE
La LPRPDE otorga a los canadienses el derecho a:
- Acceder a la información personal recopilada sobre ellos
- Corregir los datos personales
- Retirar el consentimiento para el tratamiento de sus datos personales
- Presentar una queja ante las autoridades sobre el tratamiento de sus datos
Impacto de la LPRPDE en las empresas
La LPRPDE afecta a las empresas al exigirles que incluyan en sus sitios web y aplicaciones soluciones para el cumplimiento de la normativa sobre privacidad, como políticas de privacidad y banners sobre cookies.
Estas soluciones ayudan a mantener debidamente informados a los usuarios protegidos para que su empresa cumpla los principios de información imparcial que marca la ley.
Para cumplir los requisitos de notificación y transparencia, las empresas deben disponer de:
- Una política de privacidad precisa
- Una actualización política de cookies
- Una vía clara para que los usuarios presenten solicitudes de seguimiento de sus derechos
- Un banner de consentimiento que obtiene y rastrea las preferencias de consentimiento adecuadas del usuario.
Ejecución y sanciones por incumplimiento
La aplicación de la LPRPDE corre a cargo de la Oficina del Comisario de Privacidad(OPC), pero no son ellos quienes imponen las multas.
Llevan a cabo investigaciones en respuesta a las denuncias presentadas en virtud de la LPRPDE y, a continuación, formulan recomendaciones al Gobierno federal como parte de sus conclusiones.
Esto puede dar lugar a un proceso federal y a multas de hasta 100.000 CAD (79.815 USD).
Cómo ayuda Termly a cumplir la LPRPDE
Las empresas pueden utilizar Termly's Generador de política de privacidad para confeccionar una póliza personalizada conforme a la LPRPDE.
Nuestro generador está respaldado por nuestro equipo jurídico y nuestros expertos en privacidad de datos, y se ha creado para que cualquiera pueda utilizarlo fácilmente. Hace preguntas sencillas sobre su empresa y sus actividades de tratamiento de datos y, a continuación, elabora una política única basada en sus respuestas.
También proporcionamos una plataformagestión del consentimiento que puede ayudarle a cumplir los requisitos de consentimiento expreso y tácito descritos por la ley.
Resumen
Para cumplir con la LPRPDE, las organizaciones deben atenerse a los diez principios de información leal, que establecen las normas básicas para las prácticas de tratamiento de datos.
Las empresas deben crear una política de privacidad que aborde su compromiso de mantener a salvo los datos de los usuarios y garantizar que las violaciones de datos se comunican a la OPC y a los usuarios afectados lo antes posible.
Para comprender mejor los requisitos de cumplimiento de la LPRPDE, lea la legislación sobre la LPRPDE o visite el sitio web de la OPC para consultar diversos recursos relacionados con la LPRPDE.
Más sobre el autor
Escrito por Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy es abogada especializada en privacidad con experiencia previa en privacidad y ciberseguridad en los sectores público y privado. Como antigua Westin Fellow en la IAPP, publicó varios artículos, libros blancos e infografías, y dirigió, coordinó y moderó seminarios web y paneles, todos ellos sobre privacidad y tecnología de la privacidad en Estados Unidos. Anokhy obtuvo su máster en la Universidad Carnegie Mellon y su doctorado en Derecho en la Universidad de Pittsburgh. Más sobre el autor
