La ley de privacidad modernizada de Quebec introduce requisitos similares al GDPR incluyendo Evaluaciones de Impacto en la Privacidad obligatorias, notificacion de incidentes en 72 horas y transparencia en la toma de decisiones automatizada. Le ayudamos a navegar las tres fases de implementacion.
La Ley 25 de Quebec (Proyecto de Ley 64) es la Ley para modernizar las disposiciones legislativas en materia de proteccion de la informacion personal. Promulgada en 2021, fortalece significativamente las protecciones de privacidad en Quebec al modificar la Ley sobre la Proteccion de la Informacion Personal en el Sector Privado.
Por que esto importa ahora: Las tres fases de implementacion estan en vigor desde el 22 de septiembre de 2024. Las organizaciones deben cumplir con las EIPs obligatorias, la notificacion de incidentes en 72 horas, la privacidad por defecto y la transparencia en la toma de decisiones automatizada. Las sanciones maximas de CAD $25 millones son ahora aplicables.
Alcance y sanciones similares a la regulacion de la UE
Informe obligatorio a la CAI e individuos
Complementa el cumplimiento del GDPR y la CCPA para organizaciones que operan en multiples jurisdicciones.
Organizaciones con sede en Quebec
Cualquier organizacion que opere en Quebec recopilando informacion personal
Tratamiento de datos de residentes de Quebec
Organizaciones fuera de Quebec que tratan informacion de residentes de Quebec
Entidades del sector publico
Organismos gubernamentales sujetos a las disposiciones de modernizacion de la Ley 25
Operadores de sistemas de IA
Organizaciones que usan toma de decisiones automatizada que afecta a residentes de Quebec
Encargados del tratamiento de datos
Proveedores de servicios que manejan informacion personal en nombre de entidades de Quebec
Transferencias transfronterizas de datos
Organizaciones que transfieren informacion personal fuera de Quebec
Capacidades integrales que abordan las obligaciones de privacidad obligatorias
Realice EIPs obligatorias para actividades de tratamiento de alto riesgo con cuestionarios estructurados alineados con la orientacion de la CAI. La plataforma documenta necesidad, proporcionalidad, salvaguardas y genera evidencia de cumplimiento para revision regulatoria.
Aborda: Art. 3.3 - Obligaciones de EIP para tratamiento de alto riesgo
Rastree incidentes de privacidad con flujos de trabajo automatizados de notificacion de 72 horas a la CAI e individuos afectados. La plataforma mantiene cronogramas de incidentes, evaluaciones de impacto y acciones de remediacion requeridas bajo la Ley 25.
Aborda: Art. 3.5-3.8 - Notificacion de incidentes dentro de 72 horas
Documente los sistemas de IA que toman decisiones exclusivamente a traves de medios automatizados. La plataforma rastrea obligaciones de divulgacion, requisitos de notificacion individual y proporciona flujos de trabajo para la presentacion de observaciones segun lo exige la ley.
Aborda: Art. 12.1 - Transparencia en decisiones automatizadas y derechos individuales
Establezca estructuras de gobernanza de privacidad con oficiales de privacidad designados, marcos de responsabilidad y gestion de politicas. La plataforma mantiene documentacion de gobernanza y asegura la preparacion de cumplimiento organizacional.
Aborda: Art. 3.1-3.2 - Gobernanza de privacidad y designacion de oficial
Implemente medidas tecnicas y organizativas que aseguren la proteccion de la privacidad desde el diseno del sistema hasta el despliegue. La plataforma rastrea controles de privacidad, practicas de minimizacion de datos y configuraciones de privacidad por defecto.
Aborda: Art. 3.4 - Privacidad por diseno y por defecto
Evalue la proteccion equivalente para transferencias de informacion personal fuera de Quebec. La plataforma documenta mecanismos de transferencia, evaluaciones de adecuacion y salvaguardas contractuales requeridas para flujos internacionales de datos.
Aborda: Art. 17 - Proteccion equivalente para transferencias fuera de Quebec
Todas las actividades de privacidad se rastrean con marcas de tiempo, propietarios asignados y flujos de trabajo de aprobacion. Esto crea la pista de auditoria que demuestra el cumplimiento sistematico requerido para las investigaciones de la CAI.
VerifyWise proporciona herramientas dedicadas para todas las obligaciones principales de la Ley 25
Requisitos clave de la Ley 25
Requisitos con herramientas dedicadas
Cobertura en todas las categorias
Politicas, responsabilidad, oficial de privacidad, estructura de gobernanza
Acceso, portabilidad, supresion, retirada de consentimiento, decisiones automatizadas
EIPs, privacidad por defecto, salvaguardas de seguridad, limites de retencion
Notificacion de 72 horas, alertas individuales, informes a la CAI, remediacion
Plantillas y procesos de Evaluacion de Impacto en la Privacidad alineados con la CAI
Seguimiento automatizado de incidentes y flujos de trabajo de informe a la CAI
Documentacion de sistemas de IA y herramientas de notificacion individual
Referencia cruzada con requisitos de GDPR y CCPA
La Ley 25 entro en vigor gradualmente entre septiembre de 2022 y septiembre de 2024
Todas las disposiciones estan ahora plenamente en vigor. Las organizaciones deben cumplir con todos los requisitos de la Ley 25 incluyendo EIPs, notificacion de incidentes, privacidad por defecto y transparencia en la toma de decisiones automatizada.
Requisitos principales que las organizaciones deben implementar bajo la Ley 25
Las EIPs obligatorias son requeridas para actividades de tratamiento que probablemente creen un riesgo significativo de dano grave a la privacidad. Deben completarse antes de que comience el tratamiento y actualizarse cuando las circunstancias cambien.
Requisitos clave
Las organizaciones deben notificar a la CAI e individuos afectados dentro de 72 horas desde que tengan conocimiento de un incidente que involucre informacion personal que presente un riesgo de dano grave.
Requisitos clave
Cuando las decisiones se toman exclusivamente mediante tratamiento automatizado, los individuos deben ser informados y tener derecho a presentar observaciones, obtener intervencion humana e impugnar la decision.
Requisitos clave
Las obligaciones de transparencia mejoradas requieren avisos de privacidad claros. El consentimiento debe ser especifico, expreso y obtenido por separado para diferentes finalidades. Se aplican protecciones especiales a menores.
Requisitos clave
Un camino practico para lograr el cumplimiento completo
La Commission d'acces a l'information du Quebec tiene amplios poderes y sanciones significativas
Lo que sea mayor, por infracciones graves
Ejemplos
Por infracciones penales e incumplimiento reiterado
Ejemplos
Autoridad independiente con poderes de investigacion y aplicacion
Ejemplos
La Commission d'acces a l'information du Quebec (CAI) es la autoridad de privacidad independiente de Quebec. La CAI tiene poderes para investigar quejas, realizar auditorias, emitir ordenes e imponer sanciones.
Visitar sitio web de la CAI →Comprender la ley de privacidad de Quebec en el contexto de las regulaciones globales
| Aspecto | Ley 25 de Quebec | GDPR | CCPA |
|---|---|---|---|
Jurisdiccion | Quebec (Canada) | Union Europea + EEE | California (EE.UU.) |
Estatus legal | Ley provincial (Quebec) | Reglamento de la UE (obligatorio) | Ley estatal (California) |
Aplicabilidad | Datos de residentes de Quebec | Datos de residentes de la UE | Datos de consumidores de California |
Sanciones | Hasta CAD $25M o 4% facturacion | Hasta 20M EUR o 4% facturacion | Hasta $7.500 por infraccion intencional |
Notificacion de brechas | 72 horas a la CAI + individuos | 72 horas a la DPA + individuos | Sin plazo obligatorio de notificacion de brechas |
Modelo de consentimiento | Opt-in (especialmente menores) | Opt-in (consentimiento explicito) | Opt-out (derecho a decir no) |
Evaluaciones de impacto | EIPs obligatorias para alto riesgo | EIPDs obligatorias para alto riesgo | Sin evaluaciones de impacto obligatorias |
Portabilidad de datos | Si (nuevo derecho bajo Ley 25) | Si (derecho integral) | Derechos de portabilidad limitados |
Aplicacion | CAI (Quebec) | DPAs nacionales | Fiscal General de California + CPPA |
Consejo: Las organizaciones que cumplen con elGDPRencontraran familiares los requisitos de la Ley 25. Muchas practicas del GDPR (EIPs, notificacion de brechas, privacidad por diseno) se transfieren directamente a la Ley 25 con ajustes especificos de Quebec.
Discutir cumplimiento multi-jurisdiccionalAcceda a plantillas de politicas de privacidad listas para usar, alineadas con la Ley 25, el GDPR y los requisitos de la CCPA
Preguntas comunes sobre el cumplimiento de la Ley 25 de Quebec
Comience su viaje de cumplimiento de privacidad en Quebec con nuestras herramientas integrales de evaluacion e implementacion.