Você e PIPEDA: Lei de Privacidade no Canadá

Você não precisa ser um viciado em notícias para saber que os dados digitais estão mais em risco do que nunca. O acesso a informações de saúde, serviços bancários e outras transações torna a vida mais conveniente, mas eles colocam nossas informações em perigo por cibercriminosos, bisbilhoteiros do governo e simples erro humano. Como resultado, governos e indústrias estão fazendo o possível para criar uma atmosfera segura para transmissão e armazenamento de dados.


Regulamentos como o Regulamento Geral de Proteção de Dados da Europa (GDPR) foram criados para garantir que consumidores e organizações sejam protegidos pela lei.

Felizmente, o Canadá é um dos primeiros países a antecipar essa necessidade e responder de acordo..

A necessidade de proteção de dados no Canadá

De acordo com um relatório divulgado descrevendo o crescimento digital canadense e as tendências do setor, mais de 80% dos canadenses fizeram pelo menos uma transação on-line durante o ano anterior ao lançamento do estudo (2018). As tendências indicam que as plataformas online de roupas, viagens e utensílios domésticos aumentarão em número e tráfego.

Além do comércio eletrônico, tendências como trabalho remoto, jogos online e streaming de conteúdo significam que mais canadenses usarão a Internet para trabalho e lazer. Isso destaca a crescente dependência do comércio eletrônico e a necessidade de regulamentações mais rígidas em relação à coleta, armazenamento e uso de dados.

privacidade não é crime

Já em 1996, o governo canadense percebeu a necessidade de leis de proteção de dados e respondeu criando um conjunto de princípios orientadores, o Modelo de Cuidado para a Proteção de Informações Pessoais, pelo qual as empresas on-line deveriam viver e conduzir negócios.

Esses princípios foram formalizados e estabelecidos em lei em 2000 com a criação da Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA), que foi atualizada novamente em 2015 e estabeleceu uma data final de 1 de novembro de 2018 para conformidade. Outra atualização foi introduzida e implementada em janeiro de 2018 e maio de 2019.

O PIPEDA foi aprovado pela comissão de regulamentação digital da UE e, de fato, antecede a versão final do RGPD em cerca de seis meses. Além de padrões como as diretrizes atuais de acessibilidade do site e outras leis de privacidade, o PIPEDA foi projetado para garantir que a Internet seja uma plataforma segura e acessível para todos que precisam ou desejam usá-la..

O que é o PIPEDA?

A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos abrange qualquer empresa ou organização do setor privado que coleta e / ou usa informações pessoais durante a condução dos negócios.

Para os fins desses regulamentos, essas organizações são definidas como qualquer empresa cujo objetivo principal seja comercial, incluindo venda, leasing, troca com o público, organizações que se envolvem em empresas relacionadas à associação e aquelas que levantam e arrecadam fundos. Isso também se aplica a listas e valores de doadores, a menos que essas informações sejam exigidas por lei.logotipo da pipeda

Os regulamentos do PIPEDA destinam-se a cobrir todas as províncias canadenses, embora muitos tenham seus próprios regulamentos similares sobre coleta e proteção de dados. Essas províncias são Alberta, Colúmbia Britânica e Quebec; Labrador, New Brunswick, Terra Nova, Nova Escócia e Ontário criaram regulamentos relativos à coleta, uso e armazenamento de dados relacionados à saúde.

O PIPEDA também abrange informações que são transmitidas através das fronteiras canadenses e organizações reguladas pelo governo federal, como:

  • Aeroportos, companhias aéreas e transporte aéreo
  • Bancos locais e instituições financeiras estrangeiras autorizadas
  • Empresas de transporte interprovinciais ou internacionais
  • Empresas de telecomunicações
  • Emissoras de rádio e TV
  • Operações de perfuração offshore

Quem não é obrigado pelo PIPEDA?

O objetivo do PIPEDA é fornecer ampla proteção e um conjunto unificador de diretrizes para a coleta de dados. Mas nem todos estão sujeitos a esses regulamentos.

Essas organizações e circunstâncias não são regulamentadas pelo PIPEDA:

  • Informações coletadas por agências governamentais e cobertas pela Lei de Privacidade.
  • Governos e agentes provinciais ou territoriais
  • Informações de contato comercial coletadas, armazenadas e / ou usadas para negócios relacionados a empregos ou fins profissionais
  • Informações coletadas por indivíduos para uso pessoal, como listas de cartões comemorativos
  • Informações coletadas, usadas e / ou armazenadas por organizações para fins artísticos, jornalísticos e literários
  • Organizações sem fins lucrativos, se não envolvidas em atividades comerciais
  • Partidos e organizações políticos, para uso em atividades não comerciais

A maioria das escolas, municípios e instalações médicas públicas são regidas pelas leis e regulamentos de sua província, embora o PIPEDA possa se aplicar em alguns casos.

Definindo informações pessoais

Agora que você tem um entendimento básico sobre quem o PIPEDA cobre, você pode se perguntar o que ele cobre. O governo define informações pessoais como qualquer coisa que possa identificar você, sua localização e status de emprego, incluindo:segurança cibernética pipeda

  • Nomes, endereços, idade, conta ou números de identificação, renda, tipo sanguíneo ou origem étnica
  • Opiniões, respostas a pesquisas, comentários, status social ou conjugal e menção de ações disciplinares
  • Registros de emprego, saúde, militar, crédito e financeiro
  • Evidência de disputas entre consumidor e comerciante

Os princípios orientadores do PIPEDA

O escopo do PIPEDA não define seu alcance além das fronteiras do Canadá, mas o Tribunal Federal do Canadá decretou que as organizações fora do Canadá devem cumprir a conformidade se suas atividades e interesses estiverem entrelaçados com os interesses do Canadá.

Seguir as diretrizes do PIPEDA não apenas garantirá sua conformidade, mas as atualizações deste regulamento devem mantê-lo alinhado às leis de proteção / coleta de dados / armazenamento de dados em outros países. Isso nos permitirá continuar a expandir oportunidades financeiras no exterior e proteger nossas próprias informações – e as dos cidadãos canadenses – no processo.

botão de bloqueio

Se você não tiver certeza ou não estiver familiarizado com as diretrizes do PIPEDA, aqui estão os 10 princípios orientadores nos quais ela se baseia e a justificativa de cada uma. Esses princípios de uso justo da informação são detalhados mais detalhadamente no texto do Anexo 1 do regulamento PIPEDA.

1. Responsabilização

Como você é responsável pelas informações pessoais que coleta e controla, você deve nomear um Oficial de Privacidade qualificado com o único objetivo de garantir a conformidade com o PIPEDA.

2. Objetivos de identificação

Você deve divulgar quais dados coletará e por que precisa deles antes ou no momento da coleta de dados.

3. Consentimento Informado

Você deve informar os indivíduos e obter seu consentimento para qualquer coleta, uso ou divulgação de suas informações pessoais. As isenções se aplicam aos casos em que existem razões legais, médicas ou de segurança que tornam impossível ou impraticável esse consentimento informado.

4. Limitar a coleta

Quaisquer informações pessoais coletadas devem ser coletadas por meios justos e legais, e devem ser limitadas apenas às informações necessárias aos propósitos legais identificados pela organização..

5. Limitação da divulgação, retenção e uso

As informações pessoais só podem ser usadas ou divulgadas para os fins declarados de coleta. Qualquer informação que você coletar pode ser retida apenas pelo período de tempo indicado para cumprir esses propósitos, e você deve obter um consentimento adicional do indivíduo se essas condições mudarem ou forem exigidas por lei.

6. Precisão dos dados

Quaisquer dados pessoais ou confidenciais devem ser tão precisos, completos e atualizados quanto possível para cumprir o objetivo pretendido.

7. Salvaguardas de dados

Você é responsável por proteger as informações pessoais por padrões de segurança apropriados contra perda, roubo, cópia, modificação, divulgação, acesso não autorizado ou uso.

8. Abertura e Transparênciaícone de transparência de dados

Você precisa ser totalmente transparente sobre sua coleta / retenção de dados. políticas e práticas de armazenamento. Essas políticas e procedimentos devem estar prontamente disponíveis, acessíveis e compreensíveis para indivíduos e agências governamentais.

9. Acesso Individual

Qualquer pessoa que solicite informações sobre dados pessoais e gerenciamento / proteção de dados deve ser informada sobre a existência, uso e divulgação de suas informações e deve ter acesso total a esses dados. Eles também têm o direito de contestar a precisão e a integridade e solicitar que seus dados sejam alterados.

Seu direito de negar tais solicitações é limitado a razões comerciais, legais ou de propriedade comercial, incluindo aquelas cobertas por privilégios de litígio ou relações advogado-cliente.

10. Conformidade desafiadora

Os indivíduos têm o direito de contestar a conformidade de uma organização com os princípios do PIPEDA e direcionar esse desafio ao OP da organização responsável pela conformidade com o PIPEDA.

Permanecendo em conformidade com o OPC

Para cada um dos princípios, existe uma maneira de garantir a conformidade e evitar o escrutínio ou a punição pelo Gabinete do Comissário de Privacidade. Aqui estão 10 dicas fáceis, projetadas para mantê-lo longe de problemas.

  1. Verifique se sua política de privacidade está visível no seu site aos visitantes e ao oficial de privacidade (PO) da sua organização.
  2. Informar e treinar funcionários sobre seus protocolos de privacidade e verifique se eles têm informações de contato para seu PO.
  3. Lembre-se que o dinheiro para com você. Você é responsável pela conformidade e por garantir que todos os funcionários sejam treinados adequadamente e tenham as ferramentas necessárias.coletando informações pessoais de segurança cibernética
  4. Refine seus requisitos e procedimentos de coleta de dados. Se você estiver coletando informações pessoais de alguém, incluindo funcionários e clientes, colete apenas o que você precisa e verifique se elas estão armazenadas em um ambiente seguro.
  5. Tornar o uso de um SIN opcional. A menos que haja uma razão legal para fazer isso, não exija que os clientes divulguem seu SIN ao preencher formulários em seu site.
  6. Não faça cópias de IDs pessoais ou governamentais. Há momentos em que você pode precisar verificar a identidade ou residência de alguém. Sua equipe pode consultar a carteira de motorista ou outro documento de identidade do governo, mas não precisa fazer nem manter uma cópia.
  7. Informar os clientes quando eles estão sendo gravados em vídeo ou gravados. Se você usa equipamento de vigilância por vídeo em sua propriedade ou grava chamadas, publique sinais e informe os chamadores sobre esse fato e tente não manter cópias, a menos que sejam necessários para o uso comercial.
  8. Proteger todas as informações pessoais. A coleta de informações é inevitável, especialmente nos setores de saúde ou financeiro. Se você precisar desses dados, colete apenas o que você precisa, informe os clientes sobre quais dados você está coletando e por quê e mantenha-os seguros por meio de armazenamento seguro e instalando uma VPN em todos os dispositivos e redes. Mas lembre-se de que as VPNs gratuitas podem não ser tão confiáveis ​​e seguras.
  9. Responda prontamente às solicitações de acesso. Você tem o dever de cumprir todos os protocolos de coleta de dados e a responsabilidade de responder a quaisquer solicitações de informações de clientes ou candidatos a emprego. Ao receber uma solicitação legal, responda rápida e totalmente.
  10. Seja transparente. Assim que você tiver sua política de privacidade, certifique-se de ser totalmente transparente sobre suas necessidades, usos e medidas de segurança de coleta de dados para proteção de dados.

O que acontece se você não estiver em conformidade com o PIPEDA?

Se você está preocupado com seu status, pode entrar em contato com o pedido atribuído à sua organização ou setor. Um dos requisitos mais recentes do regulamento atualizado é a introdução de notificações obrigatórias de violação de dados.

A partir de 1º de novembro de 2018, as organizações sujeitas aos regulamentos do PIPEDA são legalmente obrigadas a notificar o Comissário de Privacidade do Canadá assim que tomar conhecimento de qualquer violação das salvaguardas de segurança que envolvam informações pessoais que apresentam risco real de causar danos significativos aos funcionários, consumidores e outros indivíduos.

bandeira canadense

Por lei, essas empresas e organizações também precisam informar todos e quaisquer indivíduos afetados por essas violações. Eles também devem manter registros de todas essas violações por um período de pelo menos dois anos, mesmo que essas violações já tenham sido relatadas ao Comissário de Privacidade do Canadá..

É do seu interesse desenvolver um processo de trabalho para avaliar o risco de dano significativo, no que diz respeito à sua organização e à definição legal de dano significativo. O Privacy Commissioner do Canadá recomenda que você leve em consideração a sensibilidade das informações pessoais envolvidas e a probabilidade de que essas informações sejam usadas indevidamente se expostas ou acessadas por um indivíduo ou grupo não autorizado..

Esse risco pode ser calculado com as perguntas corretas sobre a natureza da violação, como intenção e se foi protegida usando protocolos, padrões e práticas recomendadas atuais para proteção de dados. Se você conscientemente e intencionalmente desconsiderar os novos requisitos do PIPEDA para notificações de violação de dados e retenção de registros, estará sujeito a multas de até CAD $ 100.000.

Pensamentos finais

Em uma economia cada vez mais global, é essencial manter a conformidade com todos os regulamentos pertinentes. O Canadá é um líder há muito tempo quando se trata de proteger a privacidade de seus cidadãos e líderes empresariais.

As melhorias em nossas leis de privacidade servirão para informar os canadenses de seus direitos quando se trata de transações digitais e garantir que continuaremos a expandir nossos interesses comerciais internacionais..

Se você é proprietário de um site preocupado com a conformidade com o PIPEDA, existem vários guias e publicações do governo disponíveis para ajudá-lo a avaliar seu nível de preparação e acelerar o processo. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map