PIPEDA y usted: Ley de privacidad en Canadá

No tiene que ser un adicto a las noticias para saber que los datos digitales están más expuestos que nunca. El acceso a la información de salud, la banca y otras transacciones hacen que la vida sea más conveniente, pero ponen en peligro nuestra información por parte de ciberdelincuentes, espías del gobierno y simples errores humanos. Como resultado, los gobiernos y las industrias están haciendo todo lo posible para crear una atmósfera segura para la transmisión y el almacenamiento de datos..


Tales regulaciones como el Reglamento General de Protección de Datos de Europa (GDPR) se crearon para garantizar que los consumidores y las organizaciones estén protegidos por la ley..

Afortunadamente, Canadá es uno de los primeros países en anticipar esta necesidad y responder en consecuencia..

La necesidad de protección de datos en Canadá

Según un informe publicado que describe el crecimiento digital canadiense y las tendencias de la industria, más del 80 por ciento de los canadienses realizaron al menos una transacción en línea durante el año anterior al lanzamiento del estudio (2018). Las tendencias indican que las plataformas en línea para ropa, viajes y artículos para el hogar aumentarán en número y tráfico.

Además del comercio electrónico, las tendencias como el trabajo remoto, los juegos en línea y la transmisión de contenido significan que más canadienses usarán Internet para el trabajo y la recreación. Esto destaca la creciente dependencia del comercio electrónico y la necesidad de regulaciones más estrictas con respecto a la recopilación, almacenamiento y uso de datos..

la privacidad no es un crimen

Ya en 1996, el gobierno canadiense se dio cuenta de la necesidad de leyes de protección de datos y respondió creando un conjunto de principios rectores, el Modelo de Cuidado para la Protección de la Información Personal, por el cual las empresas en línea deberían vivir y hacer negocios..

Estos principios se formalizaron y se convirtieron en ley en 2000 con la creación de la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA), que se actualizó nuevamente en 2015 y estableció una fecha final del 1 de noviembre de 2018 para su cumplimiento. Se introdujo e implementó otra actualización en enero de 2018 y mayo de 2019..

PIPEDA ha sido aprobado por la comisión de regulación digital de la UE y, de hecho, es anterior a la versión final del GDPR en aproximadamente seis meses. Además de estándares como las pautas actuales de accesibilidad al sitio web y otras leyes de privacidad, PIPEDA está diseñado para garantizar que Internet sea una plataforma segura y accesible para todos los que la necesiten o quieran usar..

¿Qué es PIPEDA??

La Ley de Protección de la Información Personal y Documentos Electrónicos cubre cualquier negocio u organización del sector privado que recolecta y / o usa información personal en el curso de la realización de negocios..

Para los propósitos de estas regulaciones, tales organizaciones se definen como cualquier empresa cuyo propósito principal es comercial, incluyendo la venta, el arrendamiento, el trueque con el público, las organizaciones que participan en empresas relacionadas con la membresía y aquellas que recaudan y recaudan fondos. Esto también se aplica a las listas y cantidades de donantes, a menos que esta información sea requerida por ley.logotipo de pipeda

Las regulaciones de PIPEDA están destinadas a cubrir todas las provincias canadienses, aunque muchas tienen sus propias regulaciones similares con respecto a la recopilación y protección de datos. Esas provincias son Alberta, Columbia Británica y Quebec; Labrador, New Brunswick, Newfoundland, Nova Scotia y Ontario han creado regulaciones relacionadas con la recopilación, el uso y el almacenamiento de datos relacionados con la salud..

PIPEDA también cubre información que se transmite a través de las fronteras canadienses y organizaciones reguladas por el gobierno federal como:

  • Aeropuertos, aerolíneas y transporte aéreo.
  • Bancos locales e instituciones financieras extranjeras autorizadas.
  • Compañías de transporte interprovinciales o internacionales.
  • Compañías de telecomunicaciones
  • Emisoras de radio y televisión
  • Operaciones de perforación en alta mar

¿Quién no está obligado por PIPEDA??

El objetivo de PIPEDA es proporcionar una protección amplia y un conjunto unificador de pautas para la recopilación de datos. Pero no todos están sujetos a estas regulaciones.

Estas organizaciones y circunstancias no están reguladas por PIPEDA:

  • Información recopilada por agencias gubernamentales y cubierta por la Ley de Privacidad.
  • Gobiernos y agentes provinciales o territoriales.
  • Información de contacto comercial recopilada, almacenada y / o utilizada para negocios relacionados con empleo o fines profesionales
  • Información recopilada por individuos para uso personal, como listas de tarjetas de felicitación
  • Información recopilada, utilizada y / o almacenada por organizaciones con fines artísticos, periodísticos y literarios.
  • Organizaciones sin fines de lucro, si no se dedican a actividades comerciales.
  • Partidos y organizaciones políticas, para uso durante actividades no comerciales

La mayoría de las escuelas, municipios e instalaciones médicas públicas se rigen por las leyes y reglamentos de su provincia, aunque PIPEDA puede aplicarse en algunos casos..

Definición de información personal

Ahora que tiene una comprensión básica sobre a quién cubre PIPEDA, es posible que se pregunte qué cubre. El gobierno define la información personal como cualquier cosa que pueda identificarlo a usted, su ubicación y su estado laboral, incluyendo:seguridad cibernética de pipeda

  • Nombres, direcciones, edad, números de cuenta o identificación, ingresos, tipo de sangre u origen étnico.
  • Opiniones, respuestas a encuestas, comentarios, estado social o civil, y mención de acciones disciplinarias.
  • Empleo, salud, militar, crédito y registros financieros.
  • Evidencia de disputas entre un consumidor y un comerciante.

Los principios rectores de PIPEDA

El alcance de PIPEDA no define su alcance más allá de las fronteras canadienses, pero el Tribunal Federal de Canadá ha decretado que las organizaciones fuera de Canadá deben cumplir con el cumplimiento si sus actividades e intereses están entrelazados con los intereses canadienses.

Seguir las pautas de PIPEDA no solo garantizará que siga cumpliendo, sino que las actualizaciones de este reglamento están destinadas a mantenerlo en línea con las leyes de protección / recopilación / almacenamiento de datos en otros países. Esto nos permitirá continuar expandiendo las oportunidades financieras en el extranjero y proteger nuestra propia información, y la de los ciudadanos canadienses, en el proceso..

botón de bloqueo

Si no está seguro o no está familiarizado con las pautas de PIPEDA, estos son los 10 principios rectores en los que se basa y la justificación de cada uno. Estos principios de uso justo de la información se detallan en el texto del Anexo 1 del reglamento PIPEDA.

1. Responsabilidad

Debido a que usted es responsable de la información personal que recopila y controla, debe designar un Oficial de Privacidad calificado con el único propósito de garantizar el cumplimiento de PIPEDA.

2. Identificar propósitos

Debe revelar qué datos recopilará y por qué los necesita antes o en el momento de la recopilación de datos.

3. Consentimiento informado

Debe informar a las personas y obtener su consentimiento para cualquier recopilación, uso o divulgación de su información personal. Las exenciones se aplican a casos en los que existen razones legales, médicas o de seguridad que hacen que dicho consentimiento informado sea imposible o poco práctico.

4. Limitación de la colección

Cualquier información personal recopilada debe recopilarse por medios justos y legales, y debe limitarse solo a esa información que sea necesaria para los fines legales identificados por la organización.

5. Limitación de divulgación, retención y uso

La información personal solo se puede usar o divulgar para el propósito declarado de recopilación. Cualquier información que recopile solo puede conservarse durante el período de tiempo descrito para cumplir con esos fines, y debe obtener un consentimiento adicional de la persona si esas condiciones cambian o es requerido por la ley.

6. Precisión de datos

Cualquier información personal o confidencial debe ser lo más precisa, completa y actualizada posible para cumplir con el propósito previsto.

7. Salvaguardas de datos

Usted es responsable de proteger la información personal mediante los estándares de seguridad adecuados contra pérdida, robo, copia, modificación, divulgación, acceso no autorizado o uso.

8. Apertura y transparenciaicono de transparencia de datos

Debe ser completamente transparente sobre su recopilación / retención de datos. Políticas y prácticas de almacenamiento. Estas políticas y procedimientos deben estar fácilmente disponibles, accesibles y comprensibles para las personas y las agencias gubernamentales..

9. Acceso individual

Cualquier persona que solicite información sobre datos personales y la gestión / protección de datos debe ser informada sobre la existencia, uso y divulgación de su información y se le debe proporcionar acceso total a dichos datos. También tienen el derecho de cuestionar la precisión e integridad y solicitar que se modifiquen sus datos..

Su derecho a denegar dichas solicitudes se limita a razones comerciales, legales o de seguridad, incluidas aquellas cubiertas por el privilegio de litigio o las relaciones entre abogado y cliente..

10. Cumplimiento desafiante

Las personas tienen derecho a cuestionar el cumplimiento de una organización con los principios de PIPEDA y dirigir ese desafío a la OP de la organización a cargo del cumplimiento de PIPEDA.

Cumplimiento de la OPC

Para cada uno de los principios, hay una manera de asegurarse de cumplir y evitar el escrutinio o castigo por parte de la Oficina del Comisionado de Privacidad. Aquí hay 10 consejos fáciles que están diseñados para evitar problemas..

  1. Asegúrese de que su política de privacidad esté visible en su sitio web a los visitantes y al oficial de privacidad (PO) de su organización.
  2. Informar y capacitar a los miembros del personal. con respecto a sus protocolos de privacidad y asegúrese de que tengan información de contacto para su PO.
  3. Recuerda que el dinero se detiene contigo. Usted es responsable del cumplimiento y de asegurarse de que todos los miembros del personal estén debidamente capacitados y tengan las herramientas que necesitan.Recopilación de información personal sobre ciberseguridad
  4. Refine sus requisitos y procedimientos de recopilación de datos. Si está recopilando información personal de alguien, incluidos el personal y los clientes, recopile solo lo que necesita y asegúrese de que esté almacenada en un entorno seguro.
  5. Hacer usando un SIN opcional. A menos que exista una razón legal para hacerlo, no solicite a los clientes que revelen su SIN al completar formularios en su sitio web.
  6. No haga copias de identificaciones personales o gubernamentales. Hay momentos en los que es posible que deba verificar la identidad o residencia de alguien. Su personal puede ver la licencia de conducir u otra identificación del gobierno, pero no necesita hacer ni guardar una copia.
  7. Informar a los clientes cuando están siendo grabados en video o grabados. Si utiliza equipos de videovigilancia en su propiedad o graba llamadas entrantes, publique letreros e informe a las personas que llaman sobre este hecho, e intente no guardar copias a menos que sean necesarias para su uso comercial.
  8. Protege toda la información personal. Recopilar información es inevitable, especialmente en las industrias de salud o financieras. Si necesita dichos datos, recopile solo lo que necesita, informe a los clientes de qué datos está recopilando y por qué, y manténgalos seguros a través del almacenamiento seguro e instalando una VPN en todos los dispositivos y redes. Pero tenga en cuenta que las VPN gratuitas pueden no ser tan confiables y seguras.
  9. Responder con prontitud a las solicitudes de acceso.. Tiene el deber de cumplir con todos los protocolos de recopilación de datos y la responsabilidad de responder a cualquier solicitud de información de clientes o solicitantes de empleo. Cuando reciba una solicitud legal, responda rápida y completamente.
  10. Ser transparente. Tan pronto como tenga su política de privacidad, asegúrese de ser completamente transparente sobre sus necesidades de recopilación de datos, usos y cualquier medida de seguridad para la protección de datos..

¿Qué sucede si no cumple con PIPEDA??

Si le preocupa su estado, puede comunicarse con la OP asignada a su organización o industria. Uno de los requisitos más nuevos según la regulación actualizada es la introducción de notificaciones obligatorias de violación de datos.

A partir del 1 de noviembre de 2018, las organizaciones que están sujetas a las regulaciones de PIPEDA están legalmente obligadas a notificar al Comisionado de Privacidad de Canadá tan pronto como se den cuenta de cualquier violación de las salvaguardas de seguridad que involucre información personal que presente un riesgo real de causar un daño significativo a los empleados, consumidores y otras personas.

bandera canadiense

Por ley, estas empresas y organizaciones también tienen que informar a todas y cada una de las personas afectadas por tales infracciones. También deben conservar registros de todas estas infracciones por un período de al menos dos años, incluso si tales infracciones ya se informaron al Comisionado de Privacidad de Canadá.

Le conviene desarrollar un proceso de trabajo para evaluar el riesgo de daño significativo en lo que respecta a su organización y la definición legal de daño significativo. El Comisionado de Privacidad de Canadá recomienda que tenga en cuenta la confidencialidad de la información personal involucrada y la probabilidad de que dicha información sea mal utilizada si es expuesta o accedida por un individuo o grupo no autorizado.

Dicho riesgo se puede calcular haciendo las preguntas correctas con respecto a la naturaleza de la violación, como la intención, y si se protegió utilizando los protocolos, estándares y mejores prácticas actuales para la protección de datos. Si ignora a sabiendas e intencionalmente los nuevos requisitos de PIPEDA para notificaciones de violación de datos y retención de registros, estará sujeto a multas de hasta CAD $ 100,000.

Pensamientos finales

En una economía cada vez más globalizada, es esencial mantener el cumplimiento de todas las regulaciones pertinentes. Canadá ha sido un líder durante mucho tiempo cuando se trata de proteger la privacidad de sus ciudadanos y líderes empresariales.

Las mejoras a nuestras leyes de privacidad servirán para informar a los canadienses sobre sus derechos cuando se trata de transacciones digitales y garantizar que continuaremos expandiendo nuestros intereses comerciales internacionales..

Si es propietario de un sitio web preocupado por el cumplimiento de PIPEDA, hay una serie de guías y publicaciones del gobierno disponibles para ayudarlo a medir su nivel de preparación y ponerse al día. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map