Come essere conformi alle leggi canadesi?
La legge C-27 è in corso di adozione in Canada, mentre una parte della legge 25 è già entrata in vigore in Québec dal 22 settembre 2022.
I trattamenti dei dati personali nella provincia del Québec sono regolati dalla legge 25 e in Canada dalla legge C-27.
Tutte le informazioni che troverai in questa pagina hanno solo scopo informativo e sono da considerarsi limitate agli aspetti coperti dalle nostre soluzioni.
Le nuove obbligazioni derivanti dalla legge 25
La legge 25 prevede una serie di nuove obbligazioni da rispettare per essere conformi, applicabili a partire dal 22 settembre 2022:
Designazione di un responsabile della protezione dei dati personali
L’identificazione e i contatti del responsabile della protezione dei dati personali, la persona con l’autorità più alta all’interno dell’organizzazione, devono essere pubblicati sul sito web dell’organizzazione o attraverso qualsiasi altro mezzo appropriato.
Reazione agli incidenti di riservatezza
In caso di incidente di sicurezza che coinvolge un dato personale, è obbligatorio prendere misure ragionevoli per ridurre i rischi di danno per le persone interessate, avvisare la Commissione e la persona interessata se esiste un rischio di danno grave, e tenere un registro degli incidenti.
Concludere un contratto scritto in caso di subappalto
Per comunicare informazioni a un subappaltatore, l’azienda deve disporre di un contratto scritto e specificare le misure per proteggere i dati personali trasmessi.
Altre obbligazioni saranno applicabili a partire dal 22 settembre 2023:
Stabilire politiche di governance
La persona che gestisce dati personali deve stabilire politiche e pratiche per guidare la governance dei dati personali e informarne il pubblico sul proprio sito web o tramite qualsiasi altro mezzo appropriato.
Effettuare una valutazione dei fattori relativi alla privacy
Effettuare una valutazione dei fattori relativi alla privacy implica un’analisi dei rischi e delle garanzie che regolano un trattamento particolare, ad esempio quando i dati vengono trasmessi al di fuori del Québec.
Limitare la durata di conservazione dei dati
I dati personali detenuti da un’azienda devono essere distrutti o anonimizzati quando non sono più necessari per la finalità di raccolta iniziale o se non esiste una finalità seria e legittima per il loro utilizzo.
Rispettare i diritti delle persone interessate
Le persone interessate hanno numerosi diritti, tra cui il diritto alla cessazione della diffusione, alla reindicizzazione o alla deindicizzazione di un dato personale.
Ottenere il consenso delle persone
Il consenso alla raccolta, alla comunicazione o all’uso di un dato personale deve essere manifesto, libero, informato e dato per scopi specifici.
Infine, a partire dal 22 settembre 2024, le aziende dovranno essere in grado di rispondere alle richieste di portabilità dei dati personali.
Le nuove obbligazioni derivanti dalla legge C-27
La legge C-27 è in corso di adozione presso le istanze governative e parlamentari canadesi. Include, come la legge 25, nuove obbligazioni da rispettare per le aziende:
Designazione di un responsabile della protezione dei dati personali
Ogni organizzazione deve designare una o più persone incaricate delle questioni relative al trattamento dei dati personali. I contatti di queste persone devono essere forniti a chiunque ne faccia richiesta.
Reazione agli incidenti di riservatezza
Qualsiasi violazione delle misure di sicurezza relative ai dati personali deve essere dichiarata al Commissario dell’Ufficio per la protezione della privacy se tale violazione presenta un rischio reale di danno grave contro una persona interessata. Questa dichiarazione deve essere fatta anche alla persona interessata e l’incidente deve essere registrato.
Concludere un contratto scritto in caso di subappalto
La trasmissione di dati personali da un’organizzazione a un fornitore di servizi è subordinata alla verifica e alla garanzia, anche contrattuale, che il fornitore di servizi offra una protezione equivalente a quella che l’organizzazione è tenuta a offrire.
Informare le persone interessate
L’organizzazione deve rendere accessibile alle persone un insieme di informazioni relative al modo in cui utilizza i dati personali: tipo di dati, spiegazione del loro uso, compreso in caso di profilazione, esistenza o meno di trasferimenti interprovinciali o fuori Canada, durata di conservazione dei dati sensibili, come esercitare i loro diritti e i contatti del responsabile interno incaricato delle questioni relative al trattamento dei dati personali.
Limitare la durata di conservazione dei dati
I dati personali detenuti da un’organizzazione non devono più essere conservati se non sono più necessari né per la finalità di raccolta iniziale né per rispettare un obbligo legale o contrattuale.
Rispettare i diritti delle persone interessate
Le persone interessate hanno numerosi diritti, tra cui il diritto di accesso e rettifica, diritto di presentare un reclamo, o di ritirare il proprio consenso.
Ottenere il consenso delle persone
Salvo disposizione contraria, l’organizzazione che raccoglie, utilizza o comunica dati personali deve prima ottenere espressamente il consenso valido della persona interessata, il che presuppone di fornirle un insieme di informazioni. Le eccezioni a questo principio possono essere l’esistenza di un’attività commerciale, l’esistenza di un interesse legittimo all’uso dei dati, o ancora nel caso di una raccolta chiaramente nell’interesse della persona il cui consenso non può essere ottenuto.
L'impatto sui processi chiave del marketing
Cosa è ora vietato in termini di raccolta del consenso
L’opt-out passivo: si riferisce al dover disiscriversi dopo essere stati iscritti automaticamente durante la registrazione a un servizio qualunque.
L’opt-in passivo: consiste nel pre-selezionare per impostazione predefinita caselle del tipo “desidero ricevere sollecitazioni pubblicitarie” o un menu a tendina che propone di default la risposta sì.
Cosa è permesso e richiesto nell'ambito della protezione dei dati
L’opt-in e double opt-in: per ottenere un consenso espresso legalmente valido, è necessario farne richiesta in modo chiaro e conciso. E fare una doppia conferma per ricevere le vostre campagne è meglio!
La raccolta minima: sotto certe condizioni, l’uso di statistiche di frequenza o di performance può essere considerato indispensabile alla gestione di un sito, ma è necessario informare le persone interessate e limitare la durata di conservazione dei dati.
Il link di disiscrizione: visibile in ogni email che inviate.
La conservazione delle prove di consenso: è necessario poter rintracciare la traccia del consenso ottenuto da ciascun individuo secondo il principio di responsabilità esigito dal GDPR.
Come Eulerian vi supporta in 4 passaggi chiave
Ci assicuriamo che gli internauti abbiano il diritto e quindi possano opporsi in qualsiasi momento al trattamento dei loro dati personali da parte di Eulerian Technologies.
Forniamo un link di disiscrizione, disponibile sulla nostra interfaccia affinché possiate diffonderlo successivamente sul vostro sito internet. In caso di necessità o assistenza su questo tipo di azione, i nostri team di Account Management sono a disposizione.
Lo strumento “Privacy manager” vi permette di impostare la durata di conservazione dei cookie e delle informazioni raccolte dai cookie entro il limite di 13 mesi dalla raccolta (o dalla nuova raccolta) del consenso della persona.
Vi raccomandiamo di rispettare questa durata limitata di conservazione dei dati per ricordare regolarmente ai vostri clienti l’esistenza dei cookie e, se necessario, rispettare il loro diritto di opposizione al monitoraggio o il diritto al ritiro del loro consenso.
Minimizzate i vostri dati “inutili” o “scaduti” cancellando ciò di cui non avete più bisogno.
Uno degli impatti del GDPR sulle aziende è di adottare una nuova filosofia dei dati, razionalizzando la loro raccolta e il loro trattamento. Pertanto, vi consigliamo di non conservare i contatti inattivi o disiscritti poiché sono dati che non utilizzerete più.
Spetta a ciascuna azienda designare un responsabile della protezione dei dati personali.
Per contattarlo, è possibile all’indirizzo email: dpo@eulerian.com