La Ley 25 de Quebec, oficialmente la Ley para modernizar las disposiciones legislativas en materia de proteccion de informacion personal, ha transformado el panorama de la privacidad de la provincia. Adoptada en septiembre de 2021 y desplegada en tres fases (septiembre de 2022, septiembre de 2023 y septiembre de 2024), ha reforzado significativamente las obligaciones de las empresas que recopilan informacion personal de residentes de Quebec. Mas estricta que la PIPEDA federal en muchos aspectos, la Ley 25 alinea a Quebec con los estandares internacionales mas altos en proteccion de datos. Para las empresas espanolas habituadas al RGPD y la LOPDGDD, la Ley 25 presenta paralelos interesantes y diferencias clave con el marco europeo. Esta guia cubre las obligaciones esenciales que toda empresa que opere en Quebec debe comprender.
Ambito de aplicacion
La Ley 25 modifica dos estatutos existentes: la Ley sobre la proteccion de la informacion personal en el sector privado y la Ley de acceso a los documentos de los organismos publicos. Se aplica a cualquier empresa que recopile, posea, utilice o divulgue informacion personal de residentes de Quebec, este o no establecida en Quebec.
Alcance extraterritorial. Una empresa con sede en Toronto, Nueva York, Madrid o Paris que ofrezca productos o servicios a consumidores de Quebec o recopile sus datos esta sujeta a la Ley 25. Este alcance extraterritorial alinea la ley de Quebec estrechamente con el RGPD europeo. Para las empresas espanolas, esto significa que si tienen clientes en Quebec, deben cumplir con la Ley 25 ademas del RGPD.
Interaccion con PIPEDA. Para actividades comerciales intraprovinciales en Quebec, la Ley 25 reemplaza a PIPEDA (la ley federal de privacidad de Canada). Sin embargo, PIPEDA sigue aplicandose a actividades interprovinciales e internacionales. Las empresas que operan tanto en Quebec como en otras provincias deben cumplir con ambos marcos regulatorios.
Responsable de privacidad obligatorio
Desde septiembre de 2022, toda empresa sujeta a la Ley 25 debe designar una persona responsable de la proteccion de la informacion personal (PRPI). Por defecto, esta responsabilidad recae en la persona con la mayor autoridad en la organizacion (director general, presidente).
Delegacion. La funcion puede delegarse por escrito a un empleado o un tercero. La identidad y los datos de contacto del PRPI deben publicarse en el sitio web de la empresa.
Funcion. El PRPI supervisa la conformidad de la organizacion, aprueba las practicas de proteccion de informacion personal, sirve como punto de contacto para quejas y solicitudes de acceso, y asegura el cumplimiento de las obligaciones legales. Este papel es comparable al del DPD (Delegado de Proteccion de Datos) bajo el RGPD europeo, aunque con algunas diferencias en las obligaciones especificas. En Espana, la AEPD supervisa el cumplimiento de la obligacion de designar un DPD.
Requisitos reforzados de consentimiento
La Ley 25 ha reforzado significativamente los requisitos de consentimiento en comparacion con el regimen anterior.
Consentimiento manifiesto, libre e informado. El consentimiento debe otorgarse para fines especificos y solicitarse por separado para cada fin. Los formularios que agrupan multiples fines en una sola casilla ya no son conformes.
Consentimiento separado para cada fin. Si recopila informacion para procesar un pedido Y para enviar boletines de marketing, debe obtener dos consentimientos separados. El consentimiento para la transaccion no constituye consentimiento para el marketing.
Consentimiento para menores. Para ninos menores de 14 anos, el consentimiento debe ser otorgado por la persona con autoridad parental. Para los de 14 a 17 anos, el propio consentimiento del menor es suficiente, pero debe cumplir con los requisitos de claridad y especificidad.
Prohibicion del consentimiento como condicion de servicio. No puede negarse un servicio ni imponer condiciones discriminatorias a una persona que decline consentir la recopilacion de informacion no necesaria para prestar el servicio.
Politica de privacidad y transparencia
La Ley 25 impone requisitos precisos para las politicas de privacidad.
Contenido obligatorio. Su politica debe incluir:
- Datos de contacto de la persona responsable de la proteccion de informacion personal
- Tipos de informacion personal recopilada
- Fines de la recopilacion
- Medios de recopilacion
- Derechos de los interesados y como ejercerlos
- Informacion sobre transferencias de informacion personal fuera de Quebec
- Politicas y practicas de conservacion y destruccion
Accesibilidad. La politica debe estar redactada en un lenguaje claro y sencillo y publicada en el sitio web de la empresa. La Commission d’acces a l’information du Quebec (CAI) ha enfatizado que las politicas excesivamente largas escritas en jerga legal no satisfacen el requisito de claridad.
Aviso en el momento de la recopilacion. Ademas de la politica general, debe proporcionar un aviso especifico en el momento de la recopilacion indicando los fines previstos, los medios utilizados, los derechos de la persona y, cuando corresponda, las transferencias fuera de Quebec.
Evaluaciones de impacto en la privacidad (EIP)
Desde septiembre de 2023, una evaluacion de impacto en la privacidad (EIP) es obligatoria antes de:
- Cualquier proyecto de adquisicion, desarrollo o rediseno de un sistema de informacion que implique informacion personal
- Cualquier divulgacion de informacion personal fuera de Quebec
La EIP debe analizar los riesgos para la privacidad y proponer medidas de mitigacion. No necesita publicarse, pero debe estar documentada y disponible para la CAI a peticion.
Derechos individuales
La Ley 25 otorga a los individuos varios derechos fundamentales:
Derecho de acceso. Cualquier persona puede solicitar acceso a la informacion personal que usted posee sobre ella. Debe responder dentro de los 30 dias.
Derecho de rectificacion. Los individuos pueden solicitar la correccion de informacion inexacta o incompleta.
Derecho a la desindexacion (derecho al olvido). Cuando la difusion de informacion personal contraviene la ley o una orden judicial, el individuo puede exigir el cese de la difusion, la desindexacion por un motor de busqueda o la eliminacion del enlace que proporciona acceso a la informacion.
Derecho a la portabilidad. Desde septiembre de 2024, los individuos pueden solicitar la comunicacion de su informacion personal en un formato tecnologico estructurado y de uso comun, o su transferencia a otra organizacion.
Derecho a retirar el consentimiento. Cualquier persona puede retirar el consentimiento en cualquier momento. La retirada surte efecto hacia adelante sin afectar la legalidad del tratamiento anterior.
Notificacion obligatoria de brechas
La Ley 25 exige la notificacion obligatoria de incidentes de confidencialidad (acceso no autorizado, uso o divulgacion de informacion personal, o perdida de informacion personal).
A la CAI. Debe reportar cualquier incidente que presente un riesgo de dano grave para los individuos afectados a la Commission d’acces a l’information du Quebec.
A los individuos afectados. La notificacion debe ser rapida e incluir una descripcion del incidente, la informacion involucrada, los pasos que el individuo puede tomar para protegerse y los datos de contacto de alguien en su organizacion.
Registro de incidentes. Debe mantener un registro de todos los incidentes de confidencialidad, incluso aquellos que no presenten un riesgo de dano grave. Este registro debe conservarse durante al menos cinco anos.
Sanciones y aplicacion
La Ley 25 introdujo sanciones monetarias administrativas (SMA) significativas y sanciones penales:
Sanciones monetarias administrativas. La CAI puede imponer SMA de hasta 10 millones de CAD o el 2% de la facturacion mundial del ejercicio fiscal anterior, lo que sea mayor. Estas sanciones son impuestas directamente por la CAI sin pasar por los tribunales.
Sanciones penales. Las infracciones penales pueden resultar en multas de 15.000 a 25 millones de CAD o el 4% de la facturacion mundial. Estos importes alinean la Ley 25 con la escala de sanciones del RGPD europeo. Para las empresas espanolas, estas cifras son comparables a las sanciones que puede imponer la AEPD.
Accion privada. Los individuos pueden interponer acciones civiles por danos resultantes de una violacion de la Ley 25. El tribunal puede otorgar danos punitivos de al menos 1.000 CAD cuando la infraccion sea intencional o resulte de una falta grave.
Transferencias fuera de Quebec
La Ley 25 regula estrictamente las transferencias de informacion personal fuera de Quebec. Antes de cualquier transferencia, debe:
- Realizar una evaluacion de impacto en la privacidad
- Asegurarse de que la jurisdiccion de destino ofrezca una proteccion adecuadamente equivalente
- Celebrar un acuerdo contractual que rija la transferencia
- Publicar informacion sobre la transferencia en su politica de privacidad
Este enfoque es comparable al mecanismo de Clausulas Contractuales Tipo (CCT) bajo el RGPD. Las empresas espanolas que ya gestionan transferencias internacionales bajo el RGPD encontraran estos requisitos familiares.
Cuatro enfoques para el cumplimiento de la Ley 25
Contratar a un abogado especializado
Coste: 5.000 a 15.000 CAD para un programa de cumplimiento completo. Plazo: 4 a 8 semanas.
Para empresas con flujos de datos complejos o transferencias internacionales, un abogado de privacidad de Quebec sigue siendo la opcion mas completa.
Usar una herramienta de IA generica
Coste aparente: 0 $. Coste real: las lagunas especificas de la Ley 25 que no cubrira.
Las herramientas de IA genericas no conocen los requisitos especificos de la Ley 25 (PRPI, EIP, portabilidad, desindexacion) y producen politicas que pueden satisfacer PIPEDA pero no la ley de Quebec.
Copiar una plantilla gratuita
Coste: 0 $. Riesgo: alto.
Las plantillas gratuitas generalmente estan redactadas para PIPEDA o el RGPD, no para la Ley 25. Omiten los requisitos especificos de Quebec.
Usar un generador especializado de documentos legales
Coste: 19,90 € a 49,90 €. Plazo: menos de 10 minutos.
Un generador especializado que integre los requisitos de la Ley 25 produce politicas de privacidad adaptadas al marco de Quebec, incluyendo las menciones obligatorias del PRPI, los derechos de portabilidad y las disposiciones de desindexacion.
Conclusion
Verifique su cumplimiento con la Ley 25 mediante nuestro escaner de conformidad gratuito que cubre las regulaciones canadienses.
La Ley 25 ha situado a Quebec a la vanguardia de la proteccion de la informacion personal en America del Norte. Con sanciones que alcanzan los 25 millones de CAD o el 4% de la facturacion global, las consecuencias del incumplimiento son potencialmente devastadoras. Designar un PRPI, actualizar su politica de privacidad, realizar EIP y establecer procedimientos de notificacion de incidentes ya no son opcionales — son obligaciones legales. Cada dia sin cumplimiento es un dia de exposicion innecesaria al riesgo regulatorio.