PIPEDA e te: legge sulla privacy in Canada

Non devi essere un drogato di notizie per sapere che i dati digitali sono più a rischio che mai. L’accesso alle informazioni sanitarie, le operazioni bancarie e altre transazioni rendono la vita più comoda, ma mettono in pericolo le nostre informazioni da cyber criminali, ficcanaso del governo e semplici errori umani. Di conseguenza, i governi e le industrie stanno facendo del loro meglio per creare un’atmosfera sicura per la trasmissione e l’archiviazione dei dati.


Tali regolamenti come il Regolamento generale sulla protezione dei dati (GDPR) in Europa sono stati creati per garantire che i consumatori e le organizzazioni siano protetti dalla legge.

Fortunatamente, il Canada è uno dei primi paesi ad anticipare questa necessità e rispondere di conseguenza.

La necessità di proteggere i dati in Canada

Secondo un rapporto pubblicato che delinea la crescita digitale canadese e le tendenze del settore, oltre l’80% dei canadesi ha effettuato almeno una transazione online durante l’anno precedente al rilascio dello studio (2018). Le tendenze indicano che le piattaforme online per abbigliamento, viaggi e articoli per la casa aumenteranno in numero e traffico.

Oltre all’eCommerce, tendenze come il lavoro a distanza, i giochi online e lo streaming di contenuti significano che un maggior numero di canadesi utilizzerà Internet per lavoro e svago. Ciò evidenzia la crescente dipendenza dall’eCommerce e la necessità di normative più severe in materia di raccolta, archiviazione e utilizzo dei dati.

la privacy non è un crimine

Già nel 1996, il governo canadese ha compreso la necessità di leggi sulla protezione dei dati e ha risposto creando un insieme di principi guida, il modello di cura per la protezione delle informazioni personali, secondo il quale le imprese online dovrebbero vivere e condurre affari.

Questi principi sono stati formalizzati e resi giuridici nel 2000 con la creazione della legge sulla protezione dei dati personali e dei documenti elettronici (PIPEDA), che è stata nuovamente aggiornata nel 2015 e ha fissato una data finale del 1 ° novembre 2018, per conformità. Un altro aggiornamento è stato introdotto e implementato a gennaio, 2018 e maggio del 2019.

PIPEDA è stato approvato dalla commissione europea di regolamentazione digitale e in effetti precede la versione finale del GDPR di circa sei mesi. Oltre a standard come le attuali linee guida sull’accessibilità del sito Web e altre leggi sulla privacy, PIPEDA è progettato per garantire che Internet sia una piattaforma sicura e accessibile per tutti coloro che hanno bisogno o vogliono usarla.

Che cos’è PIPEDA?

La legge sulla protezione delle informazioni personali e sui documenti elettronici copre qualsiasi attività o organizzazione del settore privato che raccoglie e / o utilizza le informazioni personali nel corso della conduzione degli affari.

Ai fini del presente regolamento, tali organizzazioni sono definite come qualsiasi impresa il cui scopo principale è commerciale, comprese la vendita, il leasing, il baratto con il pubblico, le organizzazioni che si impegnano in imprese collegate ai soci e quelle che raccolgono e raccolgono fondi. Ciò vale anche per gli elenchi e gli importi dei donatori, a meno che tali informazioni non siano richieste dalla legge.logo pipeda

I regolamenti PIPEDA hanno lo scopo di coprire tutte le province canadesi, anche se molti hanno le proprie normative simili in materia di raccolta e protezione dei dati. Quelle province sono Alberta, British Columbia e Quebec; Labrador, New Brunswick, Newfoundland, Nova Scotia e Ontario hanno creato regolamenti relativi alla raccolta, all’utilizzo e alla memorizzazione di dati relativi alla salute.

PIPEDA copre anche le informazioni che vengono trasmesse attraverso i confini canadesi e le organizzazioni federalmente regolamentate come:

  • Aeroporti, compagnie aeree e trasporto aereo
  • Banche locali e istituti finanziari esteri autorizzati
  • Compagnie di trasporto interprovinciali o internazionali
  • Società di telecomunicazioni
  • Emittenti radiofoniche e televisive
  • Operazioni di perforazione offshore

Chi non è vincolato da PIPEDA?

L’obiettivo di PIPEDA è fornire un’ampia protezione e un insieme unificante di linee guida per la raccolta dei dati. Ma non tutti sono vincolati da questi regolamenti.

Queste organizzazioni e circostanze non sono regolate da PIPEDA:

  • Informazioni raccolte da agenzie governative e coperte dalla legge sulla privacy.
  • Governi e agenti provinciali o territoriali
  • Informazioni di contatto commerciali raccolte, archiviate e / o utilizzate per affari connessi a scopi lavorativi o professionali
  • Informazioni raccolte da persone per uso personale, come elenchi di biglietti di auguri
  • Informazioni raccolte, utilizzate e / o archiviate da organizzazioni per scopi artistici, giornalistici e letterari
  • Organizzazioni senza scopo di lucro, se non impegnate in attività commerciali
  • Partiti e organizzazioni politiche, da utilizzare durante attività non commerciali

La maggior parte delle scuole, dei comuni e delle strutture mediche pubbliche sono regolate dalle leggi e dai regolamenti della loro provincia, sebbene in alcuni casi PIPEDA possa essere applicabile.

Definizione delle informazioni personali

Ora che hai una conoscenza di base su chi copre PIPEDA, potresti chiederti cosa copre. Il governo definisce le informazioni personali come qualsiasi cosa in grado di identificare te, la tua posizione e lo stato di occupazione, tra cui:pipeda cyber security

  • Nomi, indirizzi, età, numeri di conto o ID, reddito, gruppo sanguigno o origine etnica
  • Opinioni, risposte al sondaggio, commenti, stato sociale o civile e menzione di azioni disciplinari
  • Registri dell’occupazione, della salute, militari, del credito e finanziari
  • Prova di controversie tra un consumatore e un commerciante

I principi guida di PIPEDA

L’ambito di applicazione di PIPEDA non definisce la sua portata oltre i confini canadesi, ma il Tribunale federale in Canada ha decretato che le organizzazioni al di fuori del Canada devono conformarsi se le loro attività e interessi sono intrecciati con gli interessi canadesi.

Seguire le linee guida PIPEDA non solo ti garantirà la conformità, ma gli aggiornamenti a questo regolamento sono intesi a mantenerlo in linea con le leggi sulla raccolta / archiviazione dei dati. Ciò ci consentirà di continuare ad espandere le opportunità finanziarie all’estero e di proteggere le nostre informazioni – e quelle dei cittadini canadesi – nel processo.

pulsante di blocco

Se non sei sicuro o non hai familiarità con le linee guida PIPEDA, ecco i 10 principi guida su cui si basa e la logica di ciascuno. Questi principi di uso corretto delle informazioni sono ulteriormente dettagliati nel testo dell’allegato 1 del regolamento PIPEDA.

1. Responsabilità

Poiché sei responsabile delle informazioni personali che raccogli e controlli, devi nominare un Responsabile della privacy qualificato al solo scopo di garantire la conformità PIPEDA.

2. Identificazione degli scopi

Devi rivelare quali dati raccoglierai e perché ne hai bisogno prima o al momento della raccolta dei dati.

3. Consenso informato

È necessario informare le persone e ottenere il loro consenso per qualsiasi raccolta, utilizzo o divulgazione delle loro informazioni personali. Le esenzioni si applicano ai casi in cui sussistono motivi legali, medici o di sicurezza che rendono impossibile o impraticabile tale consenso informato.

4. Limitazione della raccolta

Tutte le informazioni personali raccolte devono essere raccolte con mezzi equi e leciti e devono essere limitate solo a quelle informazioni che sono necessarie ai fini scopi legali identificati dall’organizzazione.

5. Limitazione di divulgazione, conservazione e utilizzo

Le informazioni personali possono essere utilizzate o divulgate solo ai fini dichiarati della raccolta. Tutte le informazioni che raccogli possono essere conservate solo per il periodo di tempo indicato per soddisfare tali scopi e devi ottenere ulteriore consenso dall’individuo se tali condizioni cambiano o sono richieste dalla legge.

6. Precisione dei dati

Qualsiasi dato personale o sensibile deve essere il più accurato, completo e aggiornato possibile per raggiungere lo scopo previsto.

7. Salvaguardia dei dati

Sei responsabile della protezione delle informazioni personali mediante adeguati standard di sicurezza da perdita, furto, copia, modifica, divulgazione, accesso non autorizzato o utilizzo.

8. Apertura e trasparenzaicona di trasparenza dei dati

È necessario essere completamente trasparenti sulla raccolta / conservazione dei dati. politiche e pratiche di archiviazione. Tali politiche e procedure devono essere prontamente disponibili, accessibili e comprensibili per gli individui e le agenzie governative.

9. Accesso individuale

Ogni individuo che richiede informazioni sui dati personali e sulla gestione / protezione dei dati deve essere informato dell’esistenza, dell’uso e della divulgazione delle loro informazioni e deve avere pieno accesso a tali dati. Hanno anche il diritto di contestare l’accuratezza e la completezza e di richiedere la modifica dei loro dati.

Il diritto di rifiutare tali richieste è limitato a motivi commerciali, legali o di sicurezza, inclusi quelli coperti da privilegi di controversia o relazioni avvocato-cliente.

10. Conformità alla sfida

Gli individui hanno il diritto di contestare la conformità di un’organizzazione ai principi di PIPEDA e di indirizzare tale sfida al PO dell’organizzazione responsabile della conformità di PIPEDA.

Rimanere conformi all’OPC

Per ciascuno dei principi, esiste un modo per garantire la propria conformità ed evitare controlli o punizioni da parte dell’Ufficio del Commissario per la privacy. Ecco 10 semplici suggerimenti progettati per tenerti fuori dai guai.

  1. Assicurati che la tua politica sulla privacy sia visibile sul tuo sito web ai visitatori e al responsabile della privacy della tua organizzazione (PO).
  2. Informare e formare i membri del personale per quanto riguarda i tuoi protocolli sulla privacy e assicurati che abbiano le informazioni di contatto per il tuo PO.
  3. Ricorda che il dollaro si ferma con te. Sei responsabile della conformità e assicurati che tutti i membri del personale siano adeguatamente formati e dispongano degli strumenti di cui hanno bisogno.raccolta di informazioni personali sulla sicurezza informatica
  4. Affina i requisiti e le procedure di raccolta dei dati. Se stai raccogliendo informazioni personali su chiunque, incluso il personale e i clienti, raccogli solo ciò di cui hai bisogno e assicurati che siano archiviate in un ambiente sicuro.
  5. Rendere l’utilizzo di un SIN opzionale. A meno che non ci sia un motivo legale per farlo, non richiedere ai clienti di rivelare il loro SIN durante la compilazione di moduli sul tuo sito Web.
  6. Non effettuare copie di ID personali o governativi. Ci sono momenti in cui potresti dover verificare l’identità o la residenza di qualcuno. Il personale può consultare la patente di guida o altro documento di identità governativo, ma non è necessario che ne faccia una copia.
  7. Informare i clienti quando vengono filmati o registrati. Se utilizzi apparecchiature di videosorveglianza sulla tua proprietà o registri chiamate in arrivo, pubblica segnali e informa i chiamanti di questo fatto e cerca di non conservare copie a meno che non siano necessarie per il tuo uso aziendale.
  8. Proteggi tutte le informazioni personali. La raccolta di informazioni è inevitabile, soprattutto nel settore sanitario o finanziario. Se hai bisogno di tali dati, raccogli solo ciò di cui hai bisogno, informa i clienti di quali dati stai raccogliendo e perché, e proteggili attraverso l’archiviazione sicura e installando una VPN su tutti i dispositivi e le reti. Ma tieni presente che le VPN gratuite potrebbero non essere così affidabili e sicure.
  9. Rispondi prontamente alle richieste di accesso. Hai il dovere di rispettare tutti i protocolli di raccolta dei dati e hai la responsabilità di rispondere a qualsiasi richiesta da parte dei clienti o dei candidati per le loro informazioni. Quando si riceve una richiesta lecita, rispondere rapidamente e completamente.
  10. Sii trasparente. Non appena avrai messo in atto la tua politica sulla privacy, assicurati di essere completamente trasparente sulle tue esigenze di raccolta dei dati, sugli usi e su eventuali misure di sicurezza per la protezione dei dati.

Cosa succede se non sei conforme a PIPEDA?

Se sei preoccupato per il tuo stato, sei libero di contattare l’OP assegnato alla tua organizzazione o settore. Uno dei nuovi requisiti previsti dal regolamento aggiornato è l’introduzione delle notifiche obbligatorie di violazione dei dati.

A partire dal 1 ° novembre 2018, le organizzazioni soggette ai regolamenti PIPEDA sono legalmente obbligate a informare il Commissario per la privacy del Canada non appena vengono a conoscenza di eventuali violazioni delle misure di sicurezza che comportano informazioni personali che comportano un rischio reale di causare danni significativi ai dipendenti, consumatori e altri individui.

bandiera canadese

Per legge, queste aziende e organizzazioni devono anche informare tutte le persone interessate da tali violazioni. Devono inoltre conservare le registrazioni di tutte queste violazioni per un periodo di almeno due anni, anche se tali violazioni sono già state segnalate al commissario per la privacy del Canada.

È nel tuo interesse sviluppare un processo operativo per valutare il rischio di danni significativi in ​​relazione alla tua organizzazione e la definizione legale di danni significativi. Il Commissario per la privacy del Canada raccomanda di prendere in considerazione la sensibilità delle informazioni personali coinvolte e la probabilità che tali informazioni vengano utilizzate in modo improprio se esposte o accessibili da un individuo o un gruppo non autorizzato.

Tale rischio può essere calcolato ponendo le giuste domande sulla natura della violazione, come l’intenzione, e se è stato protetto utilizzando i protocolli, gli standard e le migliori pratiche attuali per la protezione dei dati. Se ignori consapevolmente e intenzionalmente i nuovi requisiti PIPEDA per le notifiche di violazione dei dati e la conservazione dei registri, sei soggetto a multe fino a $ 100.000 CAD.

Pensieri finali

In un’economia sempre più globale, è essenziale mantenere la conformità a tutte le normative pertinenti. Il Canada è stato a lungo un leader quando si tratta di proteggere la privacy dei suoi cittadini e leader aziendali.

I miglioramenti alle nostre leggi sulla privacy serviranno allo scopo di informare i canadesi dei loro diritti quando si tratta di transazioni digitali e garantire che continueremo ad espandere i nostri interessi commerciali internazionali.

Se sei un proprietario di un sito web preoccupato per la tua conformità PIPEDA, ci sono una serie di guide e pubblicazioni del governo disponibili che ti aiutano a valutare il tuo livello di preparazione e ad aggiornarti. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Adblock
detector