Che cos'è la Legge 25 del Quebec?

Nel 2020, i legislatori del Quebec hanno introdotto il disegno di legge 64. Il 22 settembre 2021 è stato adottato come legge 25, segnando l'inizio di una netta modernizzazione del panorama della privacy in Canada.

In questa guida vi illustrerò la Legge 25 del Quebec, in modo che possiate determinare se si applica alla vostra azienda e quali misure adottare per garantire la conformità legale.

Cosa sono il disegno di legge 64 e la legge 25 del Quebec?

Il disegno di legge 64 è stato introdotto nella provincia del Quebec nel tentativo di modernizzare le tutele della privacy in materia di informazioni personali. Dopo la sua approvazione, è diventato noto come Legge 25.

Crea nuovi requisiti per le aziende, tra cui nuove considerazioni sulla protezione dei dati personali dei residenti del Quebec, sulla nomina di responsabili della protezione dei dati (DPO) e sull'esecuzione di valutazioni d'impatto sulla privacy (PIA).

Quando entra in vigore la Legge 25 del Quebec?

Il disegno di legge 64 del Quebec è stato approvato con il nome di "legge 25" nel settembre 2021.

Le sue disposizioni entrano in vigore in un periodo scaglionato di tre anni. Alcune sono già in vigore e lo sono dal settembre 2022.

Ulteriori parti della legge sono entrate in vigore a partire dal 22 settembre 2023 e nuovamente nel settembre 2024.

Legge del Quebec 25 Termini e definizioni chiave

Ci sono alcuni termini e definizioni chiave descritti nella Legge 25 del Quebec che le aziende devono comprendere per conformarsi alle nuove linee guida sulla protezione della privacy. Ve li illustrerò brevemente.

La legge 25 utilizza la definizione di "informazioni personali" contenuta nel Quebec Private Sector Act, che recita:

Per dati personali si intendono tutte le informazioni che si riferiscono a una persona fisica e che consentono di identificarla.

Secondo la Parte 15 della Legge 25, per "incidente di riservatezza" si intende:

• (1) Accesso non autorizzato dalla legge alle informazioni personali;
• (2) Uso non autorizzato dalla legge delle informazioni personali;
• (3) rilascio di informazioni personali non autorizzato dalla legge; oppure
• (4) perdita di informazioni personali o qualsiasi altra violazione della protezione di tali informazioni.

La Legge 25 definisce il "profiling" nella Parte 19 come:

"...la raccolta e l'utilizzo di informazioni personali per valutare determinate caratteristiche di una persona fisica, in particolare allo scopo di analizzarne il rendimento lavorativo, la situazione economica, la salute, le preferenze personali, gli interessi o il comportamento".

A chi si applica la Legge 25 del Quebec?

La Legge 25 si applica alle società e alle piccole e medie imprese che vendono beni o offrono servizi in Québec e alle società che si rivolgono ai residenti in Québec, indipendentemente dalla loro ubicazione.

L'ambito di applicazione materiale della legge comprende anche i dati personali in possesso di un ordine professionale come definito dal Codice professionale (capitolo C-26).

La Legge 25 non si applica al materiale giornalistico, storico o genealogico raccolto, detenuto, utilizzato o comunicato per la legittima informazione del pubblico.

Inoltre, non si applica a un ente pubblico o alle informazioni detenute per conto di un ente pubblico da una persona diversa dall'ente pubblico.

Chi protegge la legge 25 del Quebec?

La legge 25 del Quebec protegge le informazioni personali dei cittadini del Quebec, CA.

Inoltre, delinea i loro diritti sulle modalità di raccolta e utilizzo dei dati.

Legge 25 Disposizioni entrate in vigore nel settembre 2022

Nel settembre del 2022 sono entrate in vigore le seguenti disposizioni previste dalla Legge 25:

• Nomina di un responsabile della privacy: Questa disposizione obbligatoria delineata nella sezione 3.1 della legge stabilisce che, per impostazione predefinita, la persona con la massima autorità è responsabile del rispetto della legge 25 e della protezione dei dati personali. Tuttavia, è possibile delegare per iscritto tali responsabilità, in tutto o in parte, a un'altra persona.
• Notifica della violazione alle autorità di regolamentazione e alle persone: La sezione 3.5 della legge stabilisce che un'azienda deve informare tempestivamente la Commission d'Accès à l'Information (CAI) nel caso di un incidente di riservatezza che presenti un rischio di grave pregiudizio per le persone. L'azienda deve inoltre informare tutte le persone i cui dati personali sono stati colpiti dall'incidente, come disposto dalla CAI. Inoltre, se si verifica un incidente di riservatezza che coinvolge informazioni personali, l'azienda deve adottare misure ragionevoli per ridurre il rischio di lesioni e impedire che si verifichino nuovi incidenti della stessa natura.
• Informazioni personali e consenso: La comunicazione di informazioni personali senza consenso è possibile per uno studio, per scopi di ricerca, per la produzione di statistiche e in determinate condizioni. Tuttavia, secondo la sezione 21 della legge, è necessario effettuare una valutazione dell'impatto sulla privacy (Privacy Impact Assessment o PIA).
• Notifiche sui database biometrici: Le modifiche introdotte dalla legge 25 hanno un impatto sulla legge informatica del Quebec e richiedono alle organizzazioni di comunicare alla CAI qualsiasi utilizzo di processi biometrici almeno 60 giorni prima di creare un database biometrico.

Se la vostra attività è conforme alla Legge 25 del Quebec, dovete rispettare tutte queste linee guida, altrimenti violate la Legge.

Legge 25 Disposizioni entrate in vigore nel settembre 2023

Il 22 settembre 2023 entreranno in vigore questi requisiti aggiuntivi delineati dalla Legge 25:

• Pubblicare una politica di riservatezza (o politica sulla privacy): L 'articolo 8.2 della legge stabilisce che chiunque raccolga informazioni personali attraverso strumenti tecnologici deve pubblicare una politica di riservatezza (alias politica sulla privacy) redatta in un linguaggio chiaro e diretto. È necessario pubblicarla sul proprio sito web o sulla propria app e diffonderla con qualsiasi mezzo appropriato. È inoltre richiesto un avviso per qualsiasi modifica apportata alla politica.
• Fornire trasparenza e un meccanismo di opt-in per i cookie e le altre tecnologie di tracciamento: L 'articolo 8.1 della legge stabilisce che qualsiasi azienda che raccolga informazioni personali utilizzando tecnologie che includono funzioni che consentono di identificare, localizzare o profilare le persone deve informarle preventivamente dell'uso di tali tecnologie e dei mezzi disponibili per attivare le funzioni che consentono di identificare, localizzare o profilare la persona. Ciò include l'uso di cookie su Internet o di altre tecnologie di tracciamento simili.
• Implementare un quadro di riferimento per la governance delle informazioni personali: La sezione 3.2 della Legge 25 afferma che le aziende devono stabilire e implementare politiche e pratiche di governance relative alle informazioni personali che garantiscano la protezione di tali informazioni. Le politiche e le procedure devono, in particolare, fornire un quadro di riferimento per (1) la conservazione e la distruzione delle informazioni, (2) definire i ruoli e le responsabilità dei membri del personale per tutto il ciclo di vita delle informazioni e (3) fornire un processo per gestire i reclami relativi alla protezione delle informazioni. Inoltre, le informazioni su queste politiche e pratiche devono essere disponibili in un linguaggio semplice sul sito web dell'azienda.
• Effettuare una valutazione dell'impatto sulla privacy: È necessario condurre una valutazione d'impatto sulla privacy per qualsiasi progetto di acquisizione, sviluppo o revisione di un sistema informativo o di fornitura di servizi elettronici che preveda la raccolta, l'utilizzo, la comunicazione, la conservazione o la distruzione di informazioni personali. Questo punto è riportato nella sezione 3.3 della legge.
• Definire accordi contrattuali per la comunicazione di informazioni personali a terzi: Ai sensi dell'articolo 18.3 della legge 25 del Québec, un'azienda può, senza il consenso dell'interessato, comunicare informazioni personali a qualsiasi persona o ente se le informazioni sono necessarie per l'esecuzione di un mandato, per l'esecuzione di un contratto d'impresa o per i servizi affidati a tale persona o ente dalla persona che esegue un'impresa. Il contratto deve essere stipulato per iscritto e specificare le misure che il terzo deve adottare per proteggere la riservatezza delle informazioni personali comunicate, per garantire che le informazioni siano utilizzate solo per l'esecuzione del contratto e per garantire che il terzo non conservi i dati dopo la scadenza del contratto.

Sono diventati applicabili anche i seguenti diritti dei consumatori:

• Il diritto alla cancellazione e alla deindicizzazione di qualsiasi collegamento ipertestuale collegato al nome di una persona(sezioni 28 e 28.1).
• Diritto di accesso e rettifica dei dati personali(sezione 18.6)
• Il diritto di non essere sottoposti a un processo decisionale automatizzato.(Sezione 12.1)

Per quanto riguarda il diritto dei consumatori a non essere sottoposti a un processo decisionale automatizzato, la legge stabilisce che un'azienda che utilizza le informazioni personali per prendere una decisione basata esclusivamente su un trattamento automatizzato deve informare l'interessato al più tardi nel momento in cui gli comunica la decisione.

Inoltre, l'azienda deve informare la persona interessata della:

• Informazioni personali utilizzate per prendere la decisione
• Motivi, fattori e parametri utilizzati nella decisione; e
• Diritto dell'interessato alla rettifica dei dati personali utilizzati per la decisione.

Legge 25 Disposizioni entrate in vigore nel settembre 2024

Un ulteriore aspetto della legge 25 del Quebec è entrato in vigore il 22 settembre 2024 e riguarda il diritto dei consumatori alla portabilità dei dati.

In particolare, le imprese devono seguire le linee guida illustrate nella sezione 27:

"A meno che ciò non comporti gravi difficoltà pratiche, le informazioni personali computerizzate raccolte dal richiedente, e non create o dedotte utilizzando informazioni personali che lo riguardano, devono, su sua richiesta, essergli comunicate in un formato tecnologico strutturato e comunemente utilizzato. Le informazioni devono anche essere comunicate, su richiesta del richiedente, a qualsiasi persona o organismo autorizzato dalla legge a raccogliere tali informazioni".

Se la vostra azienda è interessata dalla legge 25 del Quebec, sviluppate un protocollo appropriato per fornire ai consumatori una copia portatile dei loro dati personali.

In che modo Termly può aiutare a garantire la conformità alla privacy dei dati?

Termly può aiutarvi a semplificare il processo di conformità alla privacy, fornendo generatori di politiche legalmente supportate e una piattaforma adattabile. gestione del consenso PlatformCMP).

Il nostro generatore di informativa sulla privacy vi pone semplici domande sulla vostra attività. Utilizza le vostre risposte per creare un'informativa conforme e di facile lettura, che può essere collegata direttamente al vostro sito web o alla vostra app. Se avete bisogno di aggiornarla o di apportare delle modifiche, è sufficiente tornare alla vostra dashboard Termly , modificare l'informativa e fare clic su Pubblica.

Di seguito, un esempio di una delle domande poste dal nostro generatore.

La legislazione sulla privacy dei dati, come la legge 25 del Quebec, definisce regole specifiche per ottenere il consenso dei consumatori all'uso o al trattamento legale dei dati personali. Per questo offriamo anche una gestione del consenso Platform o CMP che potete configurare per soddisfare le linee guida sull'opt-out o sull'opt-in.

Guardate come si presenta qui sotto.

Sia che dobbiate conformarvi alla legge 25 del Quebec, sia che dobbiate rispettare altre normative sulla protezione dei dati come il Personal Personal Information Protection and Electronic Documents Act(PIPEDA) o il General Data Protection Regulation (GDPR).GDPR), Termly vi copre le spalle.

Riassunto

Le aziende che devono conformarsi alla Legge 25 del Quebec devono assicurarsi di soddisfare tutti i requisiti indicati dalla legge, tra cui:

• Pubblicare un'informativa sulla privacy conforme
• Ottenere il consenso dei consumatori, ove opportuno
• Esecuzione di valutazioni dell'impatto sulla privacy, se necessario.
• Nominare un responsabile della protezione dei dati (DPO).

Ricordate inoltre di rispettare tutti gli obblighi contrattuali con le entità terze che hanno accesso ai dati dei vostri utenti e di assicurarvi che gli utenti possano esercitare tutti i loro diritti in materia di privacy.

Rendete più semplice la conformità a leggi come la legge 25 del Quebec utilizzando il modello di informativa sulla privacy gratuito modello di informativa sulla privacy o il Generator di Termlye impostate la vostra attività per il successo.

Per saperne di più su chi scrive

Scritto da Etienne Cussol CIPP/E, CIPM

Etienne è un professionista della privacy e analista della conformità per Termly. È con noi dal 2021, gestisce la nostra conformità alle leggi sulla protezione dei dati e partecipa alle nostre ricerche di marketing. I suoi campi di competenza - e di interesse - comprendono la protezione dei datiGDPR, Direttiva ePrivacy, CCPA), le tecnologie di tracciamento (cookie di terze parti, impronte digitali) e le nuove forme di gestione della privacy (GPC e Google Privacy Sandbox). Etienne ha studiato Economia internazionale all'Università di Tolosa e si è laureato con un master nel 2017. Per saperne di più su chi scrive