PIPEDA i tu: Llei de privadesa al Canadà

No heu de ser una notícia que sàpiga que les dades digitals corren més risc que mai. L’accés a la informació sobre salut, la banca i altres transaccions fan que la vida sigui més còmoda, però posen en perill la nostra informació derivada de ciberdelinqüents, d’atropellament del govern i d’un simple error humà. Com a resultat, els governs i les indústries estan fent tot el possible per crear una atmosfera segura per a la transmissió i emmagatzematge de dades.


Normes com el Reglament general de protecció de dades (GDPR) a Europa es van crear per garantir que els consumidors i les organitzacions siguin protegits segons la legislació.

Afortunadament, el Canadà és un dels primers països a preveure aquesta necessitat i respondre en conseqüència.

Necessitat de protecció de dades al Canadà

Segons un informe publicat en què es recullen el creixement digital canadenc i les tendències de la indústria, més del 80 per cent dels canadencs van realitzar almenys una transacció en línia durant l’any abans de la publicació de l’estudi (2018). Les tendències indiquen que les plataformes en línia de roba, viatges i articles de la llar augmentaran en nombre i trànsit.

A més del comerç electrònic, tendències com el treball remot, el joc en línia i la transmissió de contingut significa que més canadencs utilitzaran Internet per a la feina i la recreació. Això posa de manifest la confiança creixent en comerç electrònic i la necessitat de disposar de regulacions més estrictes sobre la recollida, emmagatzematge i ús de dades.

la privadesa no és cap delicte

Fins al 1996, el govern canadenc es va adonar de la necessitat de lleis sobre protecció de dades i va respondre creant un conjunt de principis directius, el model de cura per a la protecció de la informació personal, pel qual les empreses en línia haurien de viure i conduir negocis..

Aquests principis es van formalitzar i posar en vigor el 2000 amb la creació de la Llei de protecció de dades d’informació personal i documents electrònics (PIPEDA), que es va actualitzar de nou el 2015 i va fixar la data final de l’1 de novembre de 2018 per al seu compliment. Una altra actualització es va introduir i implementar el gener del 2018 i el maig del 2019.

La PIPEDA ha estat aprovada per la comissió de regulació digital de la UE i, de fet, és anterior a la versió final del GDPR uns sis mesos. A més d’estàndards com ara les directrius d’accessibilitat del lloc web actuals i altres lleis de privacitat, PIPEDA està dissenyat per garantir que Internet sigui una plataforma segura i accessible per a tots aquells que ho necessitin o vulguin fer servir..

Què és PIPEDA?

La Llei de protecció de dades de caràcter personal i documents electrònics cobreix qualsevol empresa o organització del sector privat que reculli i / o utilitzi informació personal en el curs de la realització de negocis..

Als efectes d’aquesta normativa, aquestes organitzacions es defineixen com qualsevol empresa que tingui com a finalitat comercial, inclosa la venda, arrendament, intercanvi amb el públic, organitzacions que participen en empreses relacionades amb membres i aquelles que recaptin i recaptin fons. Això també s’aplica a les llistes i els imports de donants, llevat que aquesta informació exigeixi la legislació.logotip de pipeda

La normativa PIPEDA està destinada a abastar totes les províncies canadenques, tot i que moltes tenen les seves normes similars sobre recollida i protecció de dades. Aquestes províncies són Alberta, Colúmbia Britànica i Quebec; Labrador, Nou Brunswick, Terranova, Nova Escòcia i Ontario han creat regulacions relatives a la recollida, l’ús i l’emmagatzematge de dades relacionades amb la salut.

PIPEDA també cobreix la informació que es transmet a les fronteres canadenques i organitzacions regulades federalment com:

  • Aeroports, companyies aèries i transport aeri
  • Els bancs locals i les institucions financeres estrangeres autoritzades
  • Empreses de transport interprovincials o internacionals
  • Empreses de telecomunicacions
  • Emissores de ràdio i televisió
  • Operacions de perforació fora del mar

PIPEDA Qui no està lligat?

L’objectiu de PIPEDA és proporcionar una àmplia protecció i un conjunt unificador de directrius per a la recollida de dades. Però no tothom està obligat per aquesta normativa.

Aquestes organitzacions i circumstàncies no estan regulades per PIPEDA:

  • Informació recopilada per les agències governamentals i coberta per la Llei de privadesa.
  • Governs i agents provincials o territorials
  • Informació de contacte empresarial recollida, emmagatzemada i / o utilitzada per a negocis relacionats amb la feina o amb finalitats professionals
  • Informació que recopilen les persones per a ús personal, com ara llistes de targetes de felicitació
  • Informació recollida, utilitzada o emmagatzemada per organitzacions amb finalitats artístiques, periodístiques i literàries
  • Organitzacions sense ànim de lucre, si no es dediquen a activitats comercials
  • Partits i organitzacions polítiques, per utilitzar-los durant activitats no comercials

La majoria de les escoles, municipis i instal·lacions mèdiques públiques es regeixen per les lleis i regulacions de la seva província, tot i que en alguns casos pot aplicar-se PIPEDA.

Definició de dades personals

Ara que teniu una comprensió bàsica sobre qui cobreix PIPEDA, us podríeu preguntar què inclou. El govern defineix la informació personal com qualsevol cosa que us pugui identificar, la vostra ubicació i l’estat de treball, inclosos:pipeda ciberseguretat

  • Noms, adreces, edat, números de compte o identificadors, ingressos, tipus de sang o origen ètnic
  • Opinions, respostes a l’enquesta, comentaris, estat social o civil i menció a accions disciplinàries
  • Registres laborals, sanitaris, militars, de crèdit i financers
  • Evidència de disputes entre un consumidor i un comerciant

Els principis rectors de PIPEDA

L’abast de la PIPEDA no defineix el seu abast més enllà de les fronteres canadenques, però el Tribunal Federal del Canadà ha decretat que les organitzacions de fora del Canadà han de complir el compliment si les seves activitats i interessos s’entrellacen amb els interessos canadencs..

No només seguireu les directrius de PIPEDA per mantenir-vos conformes, les actualitzacions d’aquest reglament es mantindran en línia amb les lleis de recollida de dades / emmagatzematge de dades d’altres països. Això ens permetrà continuar ampliant les oportunitats financeres a l’estranger i protegir la nostra pròpia informació (i la dels ciutadans canadencs) en el procés.

botó de bloqueig

Si no coneixeu o no coneixeu les directrius de PIPEDA, aquí teniu els deu principis directius en els quals es basa i la justificació de cadascuna. Aquests principis d’ús just d’informació es detallen més en el text de l’Annex 1 del reglament PIPEDA.

1. Responsabilitat

Com que sou els responsables de la informació personal que recopileu i controleu, heu de nomenar un oficial de privadesa qualificat amb l’únic propòsit d’assegurar el compliment de PIPEDA..

2. Identificar els propòsits

Heu de divulgar quines dades recopilareu i per què les necessiteu abans o en el moment de la recollida de dades.

3. Consentiment informat

Cal informar les persones i obtenir el seu consentiment per a qualsevol recollida, ús o divulgació de la seva informació personal. Les exempcions s’apliquen als casos en què hi hagi raons legals, mèdiques o de seguretat que facin impossible o impracticable aquest consentiment informat.

4. Limitació de la recollida

La informació personal recopilada s’ha de recopilar per mitjans legals i legals i s’ha de limitar només a aquella informació que sigui necessària per a les finalitats legals identificades per l’organització..

5. Limitació de la divulgació, retenció i ús

La informació personal només es pot utilitzar o divulgar amb la finalitat de recollida indicada. Qualsevol informació que recopileu només es podrà conservar durant el temps previst per complir aquests propòsits, i haureu d’aconseguir més consentiments de la persona si aquestes condicions canvien o la llei ho exigeix.

6. Precisió de les dades

Totes les dades personals o sensibles han de ser el més exactes, completes i actualitzades possible per complir la seva finalitat prevista.

7. Salvaguardes de dades

És responsable de protegir la informació personal mitjançant normes de seguretat adequades contra pèrdues, robatori, còpia, modificació, divulgació, accés no autoritzat o ús.

8. Obertura i transparènciaicona de transparència de dades

Cal que sigueu completament transparents sobre la vostra recollida / retenció de dades. polítiques i pràctiques d’emmagatzematge. Aquestes polítiques i procediments han de ser fàcilment disponibles, accessibles i comprensibles per als individus i les agències de govern.

9. Accés Individual

Qualsevol persona que sol·liciti informació sobre dades personals i gestió / protecció de dades ha d’estar informada sobre l’existència, l’ús i la divulgació de la seva informació i se li pot accedir completament a aquestes dades. També tenen dret a impugnar l’exactitud i l’exclusivitat i sol·licitar que es modifiquin les seves dades.

El seu dret a denegar aquestes sol·licituds es limita a motius comercials, legals o de seguretat comercials, inclosos els que estan inclosos en el privilegi de litigi o les relacions sol·licitant-client..

10. El compliment del repte

Les persones tenen dret a impugnar el compliment d’una organització amb els principis de la PIPEDA i a dirigir-la al PO de l’organització a càrrec del compliment de PIPEDA..

Complir amb l’OPC

Per a cadascun dels principis, hi ha una manera que pugueu assegurar que compliu el control i el càstig per part de l’Oficina del Comissari de Privacitat. A continuació, es mostren 10 consells fàcils dissenyats per a evitar que tingueu problemes.

  1. Assegureu-vos que la vostra política de privadesa sigui visible al vostre lloc web als visitants i a l’oficial de privadesa de la vostra organització (PO).
  2. Informar i formar els membres del personal pel que fa als vostres protocols de privadesa i assegureu-vos que tinguin informació de contacte del vostre CP.
  3. Recordeu que el milió s’atura amb vosaltres. Ets responsable de complir-vos i assegurar-vos que tots els membres del personal estiguin preparats adequadament i tinguin les eines necessàries.recollida d'informació personal ciberseguretat
  4. Afineu els vostres requisits i procediments de recollida de dades. Si recopileu informació personal sobre algú, inclosos personal i clients, recopileu només el que necessiteu i assegureu-vos que es guardi en un entorn segur.
  5. Feu que usi un SIN opcional. Si no hi ha cap motiu legal per fer-ho, no cal que els clients divulguin el seu SIN quan emplenin formularis al vostre lloc web..
  6. No feu còpies d’identificacions personals ni de govern. Hi ha moments que potser haureu de verificar la identitat o la residència d’algú. El vostre personal pot veure la llicència de conduir o un altre document de govern, però no és necessari que en realitzi ni en mantingui cap còpia.
  7. Informeu els clients quan se’ls enregistra la gravació o el registre. Si utilitzeu equips de vigilància de vídeo a la vostra propietat o registreu trucades entrants, publiqueu signes i informeu les persones que diuen aquest fet i no intenteu guardar còpies tret que sigui necessari per al vostre ús empresarial..
  8. Protegiu tota la informació personal. La recopilació d’informació és inevitable, especialment a la indústria sanitària o financera. Si necessiteu aquestes dades, recopileu només el que necessiteu, informeu els clients de quines dades recopileu i per què, manteniu-les segures mitjançant un emmagatzematge segur i mitjançant la instal·lació d’una VPN a tots els dispositius i xarxes. Però tingueu en compte que les VPN gratuïtes poden no ser tan fiables i segures.
  9. Respondreu ràpidament a les sol·licituds d’accés. Teniu el deure de complir tots els protocols de recollida de dades i teniu la responsabilitat de respondre a les peticions dels clients o sol·licitants de feina per obtenir la seva informació. Quan rebeu una sol·licitud lícita, respongueu de forma ràpida i completa.
  10. Sigui transparent. Tan aviat com hagueu establert la vostra política de privadesa, assegureu-vos de ser completament transparent sobre les vostres necessitats, usos i recollida de dades i totes les mesures de seguretat vigents per a la protecció de dades..

Què passa si no compleixes la PIPEDA?

Si us preocupa el vostre estat, no heu de posar-vos en contacte amb l’OP assignat a la vostra organització o indústria. Un dels requisits més nous del reglament actualitzat és la introducció de notificacions d’incompliment obligatori de dades.

A partir de l’1 de novembre de 2018, les organitzacions sotmeses a la normativa PIPEDA estan obligades legalment a notificar el comissari de privadesa del Canadà tan bon punt tinguin coneixement de qualsevol incompliment de les garanties de seguretat que impliquin informació personal que suposi un risc real de causar danys importants als empleats, consumidors i altres individus.

bandera canadiana

Per llei, aquestes empreses i organitzacions també han d’informar a totes les persones afectades per aquests incompliments. També han de conservar registres de totes aquestes infraccions durant un període mínim de dos anys, fins i tot si aquests incompliments ja van ser denunciats al comissari de privadesa del Canadà..

És del vostre interès desenvolupar un procés de treball per avaluar el risc de danys importants pel que fa a la vostra organització i la definició legal de danys importants. El comissari de privadesa del Canadà recomana que tingui en compte la sensibilitat de la informació personal implicada i la probabilitat que aquesta informació sigui mal utilitzada si la persona o el grup no autoritzats són exposats o accedits..

Aquest risc es pot calcular fent preguntes correctes sobre la naturalesa de la violació, com ara la intenció, i si es va protegir mitjançant protocols, normes i pràctiques adequades per a la protecció de dades. Si ignora de manera conscient i intencionada els nous requisits de PIPEDA per a les notificacions d’incompliment de dades i la retenció de registres, estareu subjectes a multes de fins a 100.000 dòlars CAD.

Pensaments finals

En una economia cada cop més global, és fonamental mantenir el compliment de totes les normatives pertinents. El Canadà fa temps que és líder a l’hora de protegir la privacitat dels seus ciutadans i líders empresarials.

Les millores de les nostres lleis de privadesa serviran per informar els canadencs dels seus drets a l’hora de realitzar transaccions digitals i garantir que continuem ampliant els nostres interessos empresarials internacionals..

Si sou propietari d’un lloc web preocupat pel compliment de PIPEDA, hi ha diverses guies i publicacions del govern disponibles per ajudar-vos a avaluar el nivell de preparació i avançar-vos al màxim.. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map