Ley de Protección de Información Personal y Documentos Electrónicos de Canadá

La Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) es la principal ley federal de Canadá en relación con la privacidad en el sector privado. La PIPEDA se promulgó en el año 2000 con el fin de fomentar la confianza en la infraestructura de comercio electrónico de Canadá. Desde entonces la legislación se ha ampliado para aplicarse a otros sectores como la radiodifusión, la banca y la salud. El objetivo de la PIPEDA es “regular la recogida, el uso y la divulgación de información personal de manera que se reconozca el derecho a la privacidad de los individuos con respecto a su información personal y la necesidad de las organizaciones de recoger, utilizar o divulgar información personal para fines que una persona razonable consideraría adecuados en determinadas circunstancias”.

Al igual que el Reglamento General de Protección de Datos de la UE o GDPR, la PIPEDA otorga a los individuos dentro de Canadá el derecho a acceder a la información personal en poder de una organización, a saber quién es el responsable de la recopilación de esta información y por qué se está recopilando y a cuestionar cualquier información inexacta. Además, la PIPEDA se diseñó para garantizar que los requisitos de notificación de Canadá fueran coherentes con los de sus diversos socios comerciales, más concretamente con los de la UE. Según una declaración de análisis de impacto normativo publicada por el gobierno canadiense en 2017, “se considera que la PIPEDA proporciona actualmente un nivel de protección de la privacidad básicamente equivalente al de la UE, lo que permite el libre flujo de información personal de la UE a las organizaciones canadienses”.

¿Con qué requisitos deben cumplir las organizaciones en virtud de la PIPEDA?

La PIPEDA exige a las organizaciones obtener el consentimiento del individuo, ya sea expreso, implícito o presunto, antes de llevar a cabo la recogida, utilización o divulgación de su información personal. Esta acción se debe ejecutar aun cuando los datos personales sean recogidos con un fin legítimo y explícitamente especificado. La PIPEDA protege la información personal de todos los ciudadanos canadienses, la cual define como “información sobre un individuo identificable”. Según la PIPEDA, las siguientes categorías de información personal se ajustan a la anterior definición:

• nombre, edad, números de identificación e información financiera o relacionada con los ingresos
• raza, nacionalidad u origen étnico
• estado civil
• tipo de sangre
• historial médico, laboral o educativo
• información sobre el ADN
• licencia de conducir o número de Seguro Social
• Comentarios, opiniones, evaluaciones, situación social o acciones disciplinarias relacionadas con el individuo
• expedientes de empleado, historiales médicos, registros de préstamos y registros de crédito
• la existencia de un litigio entre un consumidor y un comerciante
• las intenciones específicas de un ciudadano canadiense, por ejemplo, de cambiar de trabajo o adquirir bienes y servicios

Por otra parte, las siguientes formas de información personal no están cubiertas por la PIPEDA:

• gobiernos provinciales o territoriales y sus agentes asociados
• La información personal que manejan las organizaciones del gobierno federal canadiense en relación con la Ley de Privacidad.
• La información de contacto comercial, como el nombre, la dirección comercial, el cargo, la dirección de correo electrónico o el número de teléfono de un empleado, que se recopila, utiliza y divulga con el fin de comunicarse con él en relación con su empleo o profesión.
• La recogida, uso o divulgación de información personal por parte de una organización con fines artísticos, literarios o periodísticos.

Además, hay varias provincias e industrias dentro de Canadá que están exentas del cumplimiento de la PIPEDA, ya que estas están obligadas a cumplir con otras leyes provinciales de privacidad. Estas exenciones incluyen:

• Alberta – regida por la Ley de Privacidad de la Información Personal o PIPA
• Columbia Británica – también regida por la PIPA
• Quebec – regida por la Ley de Protección de Datos Personales en el Sector Privado.

Los proveedores de servicios sanitarios de algunas provincias de Canadá también están obligados a cumplir otras leyes que prevalecen sobre la jurisdicción de la PIPEDA. Las provincias con estas especificidades son:

• Ontario – regida por la Ley de Protección de la Información Sanitaria Personal
• Nuevo Brunswick – regida por la Orden de Exención de los Custodios de la Información Sanitaria Personal en Nuevo Brunswick
• Terranova y Labrador – regida por la Orden de Exención de los Custodios de la Información Sanitaria Personal en Terranova y Labrador
• Nueva Escocia – regida por la Ley de Información Sanitaria Personal

Existen excepciones a las exenciones indicadas anteriormente. Los negocios o empresas pertenecientes a los siguientes sectores e industrias deben seguir la normativa de la PIPEDA independientemente de la provincia en la que se encuentren situados:

• organizaciones del sector privado que manejan información personal que cruza las fronteras nacionales y provinciales
• organizaciones reguladas por el gobierno federal, como aerolíneas, aeropuertos, bancos, empresas de transporte internacional y nacional, operaciones de perforación en alta mar, emisoras de televisión y radio y empresas de telecomunicaciones

¿Qué significa la enmienda de la PIPEDA relacionada con las violaciones de datos para las normas de notificación de violaciones de datos en Canadá?

A partir del 1 de noviembre de 2018, todas las empresas canadienses e internacionales bajo la jurisdicción de la PIPEDA deben determinar si la pérdida o el acceso a datos o información personal puede potencialmente causar “riesgo de daño significativo a los individuos” después de experimentar una violación de datos. En virtud de estas nuevas modificaciones, las organizaciones deben llevar a cabo las siguientes acciones para cumplir con las regulaciones de la PIPEDA en relación con las violaciones de datos:

• Informar al Comisionado de Privacidad de Canadá sobre cualquier violación de las salvaguardias de seguridad relacionada con información personal que suponga un riesgo real de daño significativo para los individuos canadienses.
• Notificar a todas las personas afectadas por una violación de datos.
• Notificar a cualquier otra organización que pueda mitigar el daño causado a los individuos por una violación de datos.
• Hacer un seguimiento y mantener registros sobre las violaciones de datos durante al menos 24 meses después de la fecha en que se determinó que se había producido la primera violación de datos.

Las organizaciones también están obligadas a rellenar un formulario de notificación de violación de la PIPEDA, lo que permite a las organizaciones informar a los individuos “tan pronto como sea posible después de que se determine que se ha producido una violación de las salvaguardias de seguridad que implica un riesgo real de daño significativo”. Según la PIPEDA, una violación de datos se define como “la pérdida, el acceso no autorizado o la divulgación no autorizada de información personal que resulta de una violación de las salvaguardias de seguridad de una organización (cláusula 4.7 del anexo 1 de la PIPEDA) o de un fallo en el establecimiento de dichas salvaguardias”.

El Comisionado de Privacidad de Canadá o OPC define el daño como “daño corporal, humillación, daño a la reputación o las relaciones, pérdida de empleo, de oportunidades comerciales o profesionales, pérdida financiera, robo de identidad, efectos negativos en el historial crediticio y daño o pérdida de bienes”. Además, el OPC considera que el riesgo de daño significativo está asociado a cualquiera de los siguientes factores:

• la sensibilidad de la información personal que estuvo involucrada en la violación de datos
• la probabilidad de que la información personal filtrada durante la violación de datos haya sido, esté siendo o vaya a ser utilizada de forma indebida
• cualquier otro factor aplicable o prescrito

¿Cuáles son los diez principios de información justa de la PIPEDA?

La PIPEDA se articula en torno a los llamados “diez principios de información justa”. Todas las organizaciones del sector privado que se encuentren y operen en Canadá están obligadas a cumplir los siguientes principios en todo momento:

• responsabilidad – Las organizaciones son responsables por la información personal bajo su control. Las organizaciones deben designar a un “Oficial de Privacidad” que será responsable de cumplir lo normado por la PIPEDA.
• identificación de los fines – Las organizaciones deben identificar los fines para los que recogen información personal, antes o en el momento de dicha recogida.
• consentimiento – Cuando corresponda, las organizaciones son responsables de obtener el consentimiento para la recogida, uso o divulgación de la información personal que manejan sobre los ciudadanos canadienses. La PIPEDA reconoce dos formas de consentimiento. La primera es el consentimiento expreso. Este se conoce también como consentimiento de inclusión y tienen lugar cuando una persona acepta activamente algo. La segunda es el consentimiento implícito o de exclusión, que ocurre cuando una persona tiene la oportunidad de rechazar algo y decide no hacerlo.
• limitación de la recogida – Las organizaciones sólo deben recoger la cantidad de información personal necesaria para cumplir con los fines específicamente identificados con los que dicha recolección se lleva a cabo.
• limitación del uso, la divulgación y la conservación – Las organizaciones sólo pueden utilizar o compartir la información personal para los fines para los que se recogió, a menos que tengan el consentimiento o estén legalmente obligadas a utilizarla o compartirla para otro fin. Las organizaciones también deben abstenerse de almacenar información personal durante más tiempo del necesario.
• exactitud – Toda la información personal recopilada sobre los consumidores debe ser exacta, completa y actualizada.
• salvaguardias – Las organizaciones deben adoptar las medidas de seguridad adecuadas para proteger la información personal de los consumidores canadienses.
• transparencia – Las organizaciones deben poner a disposición del público información detallada sobre sus políticas y prácticas de información personal en relación con la privacidad. En virtud de la PIPEDA, la política de privacidad de una organización debe contener los datos de contacto del Oficial de Privacidad, detalles sobre cómo los consumidores pueden ejercer su derecho de acción privada, la descripción de los tipos de información personal que posee la organización, una copia de cualquier otra información que revele las políticas de la organización y la explicación de cuál es el fin para el que se utiliza dicha información y qué parte de esta se pone a disposición de otras organizaciones relacionadas, como filiales o terceros.
• acceso individual – Los consumidores canadienses tienen derecho a acceder y corregir su información personal.
• impugnación del cumplimiento – Los individuos deben poder impugnar el cumplimiento de la PIPEDA por parte de una organización mediante la presentación de una reclamación.

¿Cuáles son las sanciones por infringir la PIPEDA?

Las organizaciones que, a sabiendas, cometan infracciones de lo normado por la PIPEDA en relación con las salvaguardias de seguridad proactivas, la notificación de las violaciones de datos o la conservación de los registros de las violaciones de datos pueden ser multadas con hasta 100 000 dólares canadienses por infracción. El OPC supervisa el cumplimiento de la PIPEDA y la ley también enumera tres casos específicos en los que las violaciones de la PIPEDA pueden dar lugar a delitos penales:

• Destruir de forma intencionada de información después de recibir una solicitud de revisión de dicha información.
• Tomar represalia contra los empleados que intentan seguir la normativa de la PIPEDA.
• Obstaculizar o interferir en las investigaciones tras la presentación de una denuncia ante la PIPEDA.

Al igual que el Reglamento General de Protección de Datos de la UE y leyes estatales de Estados Unidos, como la Ley de Protección de Datos del Consumidor de Virginia, la PIPEDA fue creada para proteger la privacidad y la información personales de los ciudadanos. Dado que las violaciones de datos han aumentado en los últimos años, la PIPEDA también protege a los residentes canadienses de cualquier daño o perjuicio que pueda resultar de dichas violaciones de datos. Aunque Canadá está en proceso de aprobar una ley de privacidad de datos más completa, la PIPEDA sigue siendo el principal medio legal para proteger la privacidad de los residentes y consumidores canadienses. Por tanto, los residentes canadienses pueden tener la tranquilidad de que su información personal está protegida en todo momento después de ser recogida, utilizada o divulgada en línea.