Guia de cumplimiento de la Ley 25 de Quebec
La ley de privacidad modernizada de Quebec introduce requisitos similares al GDPR incluyendo Evaluaciones de Impacto en la Privacidad obligatorias, notificacion de incidentes en 72 horas y transparencia en la toma de decisiones automatizada. Le ayudamos a navegar las tres fases de implementacion.
¿Que es la Ley 25 de Quebec?
La Ley 25 de Quebec (Proyecto de Ley 64) es la Ley para modernizar las disposiciones legislativas en materia de proteccion de la informacion personal. Promulgada en 2021, fortalece significativamente las protecciones de privacidad en Quebec al modificar la Ley sobre la Proteccion de la Informacion Personal en el Sector Privado.
Por que esto importa ahora: Las tres fases de implementacion estan en vigor desde el 22 de septiembre de 2024. Las organizaciones deben cumplir con las EIPs obligatorias, la notificacion de incidentes en 72 horas, la privacidad por defecto y la transparencia en la toma de decisiones automatizada. Las sanciones maximas de CAD $25 millones son ahora aplicables.
Alineada con GDPR
Alcance y sanciones similares a la regulacion de la UE
Notificacion de brechas en 72 horas
Informe obligatorio a la CAI e individuos
Complementa el cumplimiento del GDPR y la CCPA para organizaciones que operan en multiples jurisdicciones.
¿Quien necesita cumplimiento de la Ley 25?
Organizaciones con sede en Quebec
Cualquier organizacion que opere en Quebec recopilando informacion personal
Tratamiento de datos de residentes de Quebec
Organizaciones fuera de Quebec que tratan informacion de residentes de Quebec
Entidades del sector publico
Organismos gubernamentales sujetos a las disposiciones de modernizacion de la Ley 25
Operadores de sistemas de IA
Organizaciones que usan toma de decisiones automatizada que afecta a residentes de Quebec
Encargados del tratamiento de datos
Proveedores de servicios que manejan informacion personal en nombre de entidades de Quebec
Transferencias transfronterizas de datos
Organizaciones que transfieren informacion personal fuera de Quebec
Como VerifyWise apoya el cumplimiento de la Ley 25
Capacidades integrales que abordan las obligaciones de privacidad obligatorias
Evaluaciones de Impacto en la Privacidad (EIP)
Realice EIPs obligatorias para actividades de tratamiento de alto riesgo con cuestionarios estructurados alineados con la orientacion de la CAI. La plataforma documenta necesidad, proporcionalidad, salvaguardas y genera evidencia de cumplimiento para revision regulatoria.
Aborda: Art. 3.3 - Obligaciones de EIP para tratamiento de alto riesgo
Notificacion de incidentes y gestion de brechas
Rastree incidentes de privacidad con flujos de trabajo automatizados de notificacion de 72 horas a la CAI e individuos afectados. La plataforma mantiene cronogramas de incidentes, evaluaciones de impacto y acciones de remediacion requeridas bajo la Ley 25.
Aborda: Art. 3.5-3.8 - Notificacion de incidentes dentro de 72 horas
Transparencia en la toma de decisiones automatizada
Documente los sistemas de IA que toman decisiones exclusivamente a traves de medios automatizados. La plataforma rastrea obligaciones de divulgacion, requisitos de notificacion individual y proporciona flujos de trabajo para la presentacion de observaciones segun lo exige la ley.
Aborda: Art. 12.1 - Transparencia en decisiones automatizadas y derechos individuales
Gobernanza y politicas de privacidad
Establezca estructuras de gobernanza de privacidad con oficiales de privacidad designados, marcos de responsabilidad y gestion de politicas. La plataforma mantiene documentacion de gobernanza y asegura la preparacion de cumplimiento organizacional.
Aborda: Art. 3.1-3.2 - Gobernanza de privacidad y designacion de oficial
Privacidad por diseno y por defecto
Implemente medidas tecnicas y organizativas que aseguren la proteccion de la privacidad desde el diseno del sistema hasta el despliegue. La plataforma rastrea controles de privacidad, practicas de minimizacion de datos y configuraciones de privacidad por defecto.
Aborda: Art. 3.4 - Privacidad por diseno y por defecto
Evaluaciones de transferencias transfronterizas
Evalue la proteccion equivalente para transferencias de informacion personal fuera de Quebec. La plataforma documenta mecanismos de transferencia, evaluaciones de adecuacion y salvaguardas contractuales requeridas para flujos internacionales de datos.
Aborda: Art. 17 - Proteccion equivalente para transferencias fuera de Quebec
Todas las actividades de privacidad se rastrean con marcas de tiempo, propietarios asignados y flujos de trabajo de aprobacion. Esto crea la pista de auditoria que demuestra el cumplimiento sistematico requerido para las investigaciones de la CAI.
Cobertura completa de requisitos de la Ley 25
VerifyWise proporciona herramientas dedicadas para todas las obligaciones principales de la Ley 25
Requisitos clave de la Ley 25
Requisitos con herramientas dedicadas
Cobertura en todas las categorias
Politicas, responsabilidad, oficial de privacidad, estructura de gobernanza
Acceso, portabilidad, supresion, retirada de consentimiento, decisiones automatizadas
EIPs, privacidad por defecto, salvaguardas de seguridad, limites de retencion
Notificacion de 72 horas, alertas individuales, informes a la CAI, remediacion
Disenado para el cumplimiento de privacidad de Quebec
Flujos de trabajo de EIP
Plantillas y procesos de Evaluacion de Impacto en la Privacidad alineados con la CAI
Notificacion de 72 horas
Seguimiento automatizado de incidentes y flujos de trabajo de informe a la CAI
Transparencia de decisiones automatizadas
Documentacion de sistemas de IA y herramientas de notificacion individual
Mapeo multi-jurisdiccional
Referencia cruzada con requisitos de GDPR y CCPA
Cronograma de implementacion en tres fases
La Ley 25 entro en vigor gradualmente entre septiembre de 2022 y septiembre de 2024
Requisitos iniciales
- Obligaciones de gobernanza y responsabilidad de privacidad
- Modificaciones de consentimiento (opt-in para menores)
- Requisitos de transparencia mejorados
- Nuevos derechos individuales (portabilidad de datos)
Cumplimiento esencial
- Evaluaciones de Impacto en la Privacidad (EIP) obligatorias
- Implementacion de privacidad por defecto
- Notificacion de incidentes (72 horas a la CAI)
- Requisito de oficial de privacidad designado
Aplicacion completa
- Todas las disposiciones de la Ley 25 plenamente en vigor
- Sanciones maximas ahora aplicables
- Transparencia completa en toma de decisiones automatizada
- Todas las protecciones de transferencia transfronteriza activas
Todas las disposiciones estan ahora plenamente en vigor. Las organizaciones deben cumplir con todos los requisitos de la Ley 25 incluyendo EIPs, notificacion de incidentes, privacidad por defecto y transparencia en la toma de decisiones automatizada.
Obligaciones clave de cumplimiento
Requisitos principales que las organizaciones deben implementar bajo la Ley 25
Evaluaciones de Impacto en la Privacidad
Art. 3.3Las EIPs obligatorias son requeridas para actividades de tratamiento que probablemente creen un riesgo significativo de dano grave a la privacidad. Deben completarse antes de que comience el tratamiento y actualizarse cuando las circunstancias cambien.
Requisitos clave
- Actividades de tratamiento de alto riesgo
- Nuevas tecnologias o metodos de tratamiento
- Seguimiento sistematico a gran escala
- Categorias de datos sensibles
Notificacion de incidentes
Art. 3.5-3.8Las organizaciones deben notificar a la CAI e individuos afectados dentro de 72 horas desde que tengan conocimiento de un incidente que involucre informacion personal que presente un riesgo de dano grave.
Requisitos clave
- Notificacion a la CAI dentro de 72 horas
- Notificacion directa a individuos afectados
- Documentacion y registro de incidentes
- Implementacion de medidas de remediacion
Toma de decisiones automatizada
Art. 12.1Cuando las decisiones se toman exclusivamente mediante tratamiento automatizado, los individuos deben ser informados y tener derecho a presentar observaciones, obtener intervencion humana e impugnar la decision.
Requisitos clave
- Informar a los individuos sobre decisiones automatizadas
- Proporcionar oportunidad de presentar observaciones
- Permitir intervencion humana a solicitud
- Explicar los criterios de toma de decisiones
Transparencia y consentimiento
Art. 8-14Las obligaciones de transparencia mejoradas requieren avisos de privacidad claros. El consentimiento debe ser especifico, expreso y obtenido por separado para diferentes finalidades. Se aplican protecciones especiales a menores.
Requisitos clave
- Avisos de privacidad claros y sencillos
- Consentimiento especifico para cada finalidad
- Consentimiento opt-in requerido para menores
- Mecanismos de retirada del consentimiento
Hoja de ruta de implementacion de la Ley 25
Un camino practico para lograr el cumplimiento completo
Evaluacion de brechas
- Auditar las practicas actuales de privacidad contra la Ley 25
- Identificar tratamientos de alto riesgo que requieren EIPs
- Designar o confirmar oficial de privacidad
- Documentar mecanismos de consentimiento existentes
Base de gobernanza
- Desarrollar politicas de gobernanza de privacidad
- Implementar marco de privacidad por diseno
- Establecer procedimientos de respuesta a incidentes
- Crear plantillas de avisos de privacidad
Cumplimiento operativo
- Realizar EIPs obligatorias para tratamiento de alto riesgo
- Implementar flujos de trabajo de notificacion de incidentes de 72 horas
- Documentar sistemas de toma de decisiones automatizada
- Evaluar mecanismos de transferencia transfronteriza
Seguimiento continuo
- Supervisar el cumplimiento de todas las obligaciones de la Ley 25
- Actualizar EIPs cuando cambie el tratamiento
- Mantener preparacion de respuesta a incidentes
- Formacion y concienciacion periodica en privacidad
Sanciones y aplicacion
La Commission d'acces a l'information du Quebec tiene amplios poderes y sanciones significativas
Sanciones administrativas
Lo que sea mayor, por infracciones graves
Ejemplos
- • Fallo en realizar EIPs obligatorias
- • Incumplimiento de notificacion de incidentes
- • Gobernanza de privacidad inadecuada
- • Infracciones de transferencias transfronterizas
Sanciones penales
Por infracciones penales e incumplimiento reiterado
Ejemplos
- • Obstruccion de investigaciones de la CAI
- • Informacion falsa o enganosa a la CAI
- • Infracciones intencionales de privacidad
- • Fallos reiterados en cumplir ordenes
Autoridad de aplicacion
Autoridad independiente con poderes de investigacion y aplicacion
Ejemplos
- • Investigaciones y auditorias de cumplimiento
- • Ordenes de cesar practicas no conformes
- • Informes publicos de infracciones
- • Derivacion a fiscalia para asuntos penales
Autoridad de aplicacion
La Commission d'acces a l'information du Quebec (CAI) es la autoridad de privacidad independiente de Quebec. La CAI tiene poderes para investigar quejas, realizar auditorias, emitir ordenes e imponer sanciones.
Visitar sitio web de la CAI →Como se compara la Ley 25 con otras leyes de privacidad
Comprender la ley de privacidad de Quebec en el contexto de las regulaciones globales
| Aspecto | Ley 25 de Quebec | GDPR | CCPA |
|---|---|---|---|
Jurisdiccion | Quebec (Canada) | Union Europea + EEE | California (EE.UU.) |
Estatus legal | Ley provincial (Quebec) | Reglamento de la UE (obligatorio) | Ley estatal (California) |
Aplicabilidad | Datos de residentes de Quebec | Datos de residentes de la UE | Datos de consumidores de California |
Sanciones | Hasta CAD $25M o 4% facturacion | Hasta 20M EUR o 4% facturacion | Hasta $7.500 por infraccion intencional |
Notificacion de brechas | 72 horas a la CAI + individuos | 72 horas a la DPA + individuos | Sin plazo obligatorio de notificacion de brechas |
Modelo de consentimiento | Opt-in (especialmente menores) | Opt-in (consentimiento explicito) | Opt-out (derecho a decir no) |
Evaluaciones de impacto | EIPs obligatorias para alto riesgo | EIPDs obligatorias para alto riesgo | Sin evaluaciones de impacto obligatorias |
Portabilidad de datos | Si (nuevo derecho bajo Ley 25) | Si (derecho integral) | Derechos de portabilidad limitados |
Aplicacion | CAI (Quebec) | DPAs nacionales | Fiscal General de California + CPPA |
Consejo: Las organizaciones que cumplen con elGDPRencontraran familiares los requisitos de la Ley 25. Muchas practicas del GDPR (EIPs, notificacion de brechas, privacidad por diseno) se transfieren directamente a la Ley 25 con ajustes especificos de Quebec.
Discutir cumplimiento multi-jurisdiccionalRepositorio de politicas de gobernanza de privacidad
Acceda a plantillas de politicas de privacidad listas para usar, alineadas con la Ley 25, el GDPR y los requisitos de la CCPA
Gobernanza de privacidad
- • Politica de gobernanza de privacidad
- • Carta del oficial de privacidad
- • Marco de responsabilidad
- • Politica de privacidad por diseno
- • Politica de privacidad de terceros
- • Programa de formacion en privacidad
- + 4 politicas mas
Riesgos y evaluacion
- • Politica de Evaluacion de Impacto en la Privacidad
- • Plantillas de EIP (alineadas con CAI)
- • Metodologia de evaluacion de riesgos
- • Evaluacion de impacto en proteccion de datos
- • Evaluacion de riesgos de transferencia
- • Evaluacion de privacidad de proveedores
- + 5 politicas mas
Incidentes y respuesta
- • Politica de respuesta a incidentes
- • Procedimiento de notificacion de 72 horas
- • Plantilla de evaluacion de brechas
- • Formulario de notificacion a la CAI
- • Plantilla de notificacion individual
- • Documentacion de incidentes
- + 3 politicas mas
Preguntas frecuentes
Preguntas comunes sobre el cumplimiento de la Ley 25 de Quebec
¿Listo para lograr el cumplimiento de la Ley 25?
Comience su viaje de cumplimiento de privacidad en Quebec con nuestras herramientas integrales de evaluacion e implementacion.