¿Cómo cumplir con las leyes canadienses?
La ley C-27 está en proceso de adopción en Canadá, mientras que una parte de la ley 25 ya entró en vigor en Quebec desde el 22 de septiembre de 2022.
Los tratamientos de datos personales en la provincia de Quebec están regulados por la ley 25 y en Canadá por la ley C-27.
Toda la información que encontrarás en esta página es a título informativo y se limita a los perímetros cubiertos por nuestras soluciones.
Nuevas obligaciones de la ley 25
Toda la información que encontrarás en esta página es a título informativo y se limita a los perímetros cubiertos por nuestras soluciones.
Designación de un responsable de la protección de datos personales
La identificación y los datos de contacto del responsable de la protección de datos personales, que debe ser la persona con la mayor autoridad dentro de la organización, deben publicarse en el sitio web de la organización o por cualquier otro medio apropiado.
Reacción a incidentes de confidencialidad
Si un incidente de seguridad afecta a un dato personal, es obligatorio tomar medidas razonables para reducir los riesgos de daño a las personas afectadas, notificar a la Comisión y a la persona afectada si existe un riesgo de daño grave, y mantener un registro de los incidentes.
Concluir un contrato escrito en caso de subcontratación
Para comunicar información a un subcontratista, la empresa debe disponer de un contrato escrito y especificar las medidas para proteger los datos personales transmitidos.
Otras obligaciones aplicables a partir del 22 de septiembre de 2023:
Establecer políticas de gobernanza
La persona que opera datos personales debe establecer políticas y prácticas que guíen la gobernanza de los datos personales y debe informar al público en su sitio web o por cualquier otro medio apropiado.
Realizar una evaluación de los factores relativos a la privacidad
Realizar una evaluación de los factores relativos a la privacidad implica un análisis de los riesgos y garantías que rodean un tratamiento particular, por ejemplo, cuando la información se transmite fuera de Quebec.
Limitar la duración de la conservación de los datos
Los datos personales en posesión de una empresa deben ser destruidos o anonimizados cuando ya no sean necesarios para el propósito de recolección inicial o si no existe un propósito serio y legítimo para su uso.
Respetar los derechos de las personas afectadas
Las personas afectadas tienen numerosos derechos, entre los cuales se incluye el derecho a la cesación de la difusión, a la reindexación o a la desindexación de un dato personal.
Obtener el consentimiento de las personas
El consentimiento para la recolección, comunicación o uso de un dato personal debe ser manifiesto, libre, informado y otorgado para fines específicos.
Finalmente, a partir del 22 de septiembre de 2024, las empresas deberán estar en condiciones de responder a las solicitudes de portabilidad de los datos personales.
Nuevas obligaciones de la ley C-27
La ley C-27 está en proceso de adopción en las instancias gubernamentales y parlamentarias canadienses. Incluye, al igual que la ley 25, nuevas obligaciones a cumplir por las empresas:
Designación de un responsable de la protección de datos personales
Toda organización debe designar a una o más personas encargadas de las cuestiones relativas al tratamiento de datos personales. Los datos de contacto de estas personas deben ser proporcionados a cualquier persona que lo solicite.
Reacción a incidentes de confidencialidad
Cualquier violación a las medidas de seguridad relativas a los datos personales debe ser declarada al Comisionado de la Oficina de Protección de la Privacidad si dicha violación presenta un riesgo real de daño grave a una persona afectada. Esta declaración también debe hacerse a la persona afectada y el incidente debe registrarse.
Concluir un contrato escrito en caso de subcontratación
La transmisión de datos personales por una organización a un proveedor de servicios está subordinada a la verificación y garantía, incluida la contractual, de que el proveedor de servicios ofrece una protección equivalente a la que la organización está obligada a ofrecer.
Informar a las personas afectadas
La organización debe hacer accesible a las personas un conjunto de información relacionada con la forma en que utiliza datos personales: tipo de información, explicación de su uso, incluyendo en caso de perfilamiento, existencia o no de transferencias interprovinciales o fuera de Canadá, duración de la conservación de datos sensibles, cómo ejercer sus derechos y los datos de contacto del responsable encargado de las cuestiones relativas al tratamiento de datos personales internamente.
Limitar la duración de la conservación de los datos
Los datos personales en posesión de una organización no deben conservarse si ya no son necesarios ni para el propósito de recolección inicial, ni para cumplir con una obligación legal o contractual.
Respetar los derechos de las personas afectadas
Las personas afectadas tienen numerosos derechos, entre los cuales se incluye el derecho de acceso y rectificación, derecho a presentar un recurso, o a retirar su consentimiento.
Obtener el consentimiento de las personas
Salvo disposición en contrario, la organización que recopila, utiliza o comunica datos personales debe obtener primero expresamente el consentimiento válido de la persona afectada, lo que supone previamente proporcionarle un conjunto de información. Las excepciones a este principio pueden ser la existencia de una actividad de negocios, la existencia de un interés legítimo en el uso de la información, o en el caso de una recolección manifiestamente en interés de la persona cuyo consentimiento no se puede obtener.
El impacto en los procesos clave del marketing
Lo que ahora está prohibido en términos de recolección de consentimiento
El opt-out pasivo: se refiere al hecho de tener que darse de baja después de haber sido inscrito automáticamente al inscribirse en un servicio cualquiera.
El opt-in pasivo: consiste en pre-marcar por defecto casillas del tipo «deseo recibir solicitudes publicitarias» o un menú desplegable que propone por defecto la respuesta sí.
Lo que está permitido y solicitado en el marco de la protección de datos
El opt-in y doble opt-in: para obtener un consentimiento expreso legalmente válido, se debe hacer una solicitud clara y concisa. ¡Y hacer una doble confirmación para recibir sus campañas es mejor!
La recolección mínima: bajo ciertas condiciones, el uso de estadísticas de asistencia o rendimiento puede considerarse indispensable para la gestión de un sitio, pero sigue siendo necesario informar a las personas afectadas y limitar la duración de la conservación de los datos.
El enlace de desuscripción: visible en cada correo que envías.
El almacenamiento de pruebas de consentimiento: debes poder encontrar el rastro del consentimiento obtenido por cada individuo y esto según el principio de responsabilidad exigido por el RGPD.
Cómo Eulerian te acompaña en 4 etapas clave
Nos aseguramos de que los internautas tengan derecho y así puedan oponerse en cualquier momento al tratamiento de sus datos personales por Eulerian Technologies.
Te proporcionamos un enlace de desuscripción, disponible en nuestra interfaz para que puedas difundirlo luego en tu sitio web. En caso de necesidad o asistencia en este tipo de acción, nuestros equipos de Account Management están disponibles
La herramienta «Privacy manager» te permite configurar la duración de la conservación de cookies y de la información recopilada por las cookies en el límite de 13 meses a partir de la recolección (o de la nueva recolección) del consentimiento de la persona.
Te recomendamos respetar esta duración limitada de conservación de datos para recordar regularmente a tus clientes la existencia de cookies y respetar, en su caso, su derecho de oposición al seguimiento o el derecho de retirada de su consentimiento.
Minimiza tus datos «inútiles» o «caducados» borrando lo que ya no necesitas.
Uno de los impactos del RGPD en las empresas es adoptar una nueva filosofía de datos, racionalizando su recolección y tratamiento. Por lo tanto, te recomendamos no mantener contactos inactivos o desuscritos ya que son datos que ya no vas a utilizar.
Corresponde a cada empresa designar un responsable de la protección de datos personales.
Para contactarlo, es posible en la dirección de correo electrónico: dpo@eulerian.com