La Legge 25 del Quebec, ufficialmente la Legge per modernizzare le disposizioni legislative in materia di protezione delle informazioni personali, ha trasformato il panorama della privacy della provincia. Adottata nel settembre 2021 e attuata in tre fasi (settembre 2022, settembre 2023 e settembre 2024), ha rafforzato significativamente gli obblighi delle aziende che raccolgono informazioni personali dei residenti del Quebec. Piu rigorosa della PIPEDA federale su molti aspetti, la Legge 25 allinea il Quebec ai piu alti standard internazionali in materia di protezione dei dati. Per le aziende italiane abituate al GDPR e al Codice Privacy, la Legge 25 presenta paralleli interessanti e differenze chiave con il quadro europeo. Questa guida copre gli obblighi essenziali che ogni azienda operante in Quebec deve comprendere.
Ambito di applicazione
La Legge 25 modifica due statuti esistenti: la Legge sulla protezione delle informazioni personali nel settore privato e la Legge sull’accesso ai documenti degli organismi pubblici. Si applica a qualsiasi azienda che raccolga, detenga, utilizzi o divulghi informazioni personali dei residenti del Quebec, sia o meno stabilita in Quebec.
Portata extraterritoriale. Un’azienda con sede a Toronto, New York, Roma o Parigi che offra prodotti o servizi ai consumatori del Quebec o ne raccolga i dati e soggetta alla Legge 25. Questa portata extraterritoriale allinea strettamente la legge del Quebec al GDPR europeo. Per le aziende italiane, cio significa che se hanno clienti in Quebec, devono conformarsi alla Legge 25 oltre al GDPR.
Interazione con il PIPEDA. Per le attivita commerciali intraprovinciali in Quebec, la Legge 25 sostituisce il PIPEDA (la legge federale sulla privacy del Canada). Tuttavia, il PIPEDA continua ad applicarsi alle attivita interprovinciali e internazionali. Le aziende che operano sia in Quebec che in altre province devono conformarsi a entrambi i quadri normativi.
Responsabile della privacy obbligatorio
Dal settembre 2022, ogni azienda soggetta alla Legge 25 deve designare una persona responsabile della protezione delle informazioni personali (PRPI). Per impostazione predefinita, questa responsabilita ricade sulla persona con la massima autorita nell’organizzazione (amministratore delegato, presidente).
Delega. La funzione puo essere delegata per iscritto a un dipendente o a un terzo. L’identita e i recapiti del PRPI devono essere pubblicati sul sito web dell’azienda.
Ruolo. Il PRPI supervisiona la conformita dell’organizzazione, approva le pratiche di protezione delle informazioni personali, funge da punto di contatto per reclami e richieste di accesso e assicura il rispetto degli obblighi legali. Questo ruolo e paragonabile a quello del DPO (Data Protection Officer) nel GDPR europeo. In Italia, il Garante per la protezione dei dati personali supervisiona il rispetto dell’obbligo di designazione del DPO.
Requisiti rafforzati per il consenso
La Legge 25 ha significativamente rafforzato i requisiti per il consenso rispetto al regime precedente.
Consenso manifesto, libero e informato. Il consenso deve essere prestato per finalita specifiche e richiesto separatamente per ciascuna finalita. I moduli che raggruppano piu finalita in una singola casella non sono piu conformi.
Consenso separato per ciascuna finalita. Se raccogliete informazioni per elaborare un ordine E per inviare newsletter di marketing, dovete ottenere due consensi separati. Il consenso per la transazione non costituisce consenso per il marketing.
Consenso per i minori. Per i bambini sotto i 14 anni, il consenso deve essere prestato dalla persona con autorita genitoriale. Per quelli dai 14 ai 17 anni, il consenso del minore e sufficiente, ma deve soddisfare i requisiti di chiarezza e specificita.
Divieto del consenso come condizione di servizio. Non potete rifiutare un servizio o imporre condizioni discriminatorie a una persona che rifiuti di acconsentire alla raccolta di informazioni non necessarie per la fornitura del servizio.
Informativa sulla privacy e trasparenza
La Legge 25 impone requisiti precisi per le informative sulla privacy.
Contenuto obbligatorio. La vostra informativa deve includere:
- Recapiti della persona responsabile della protezione delle informazioni personali
- Tipi di informazioni personali raccolte
- Finalita della raccolta
- Mezzi di raccolta
- Diritti degli interessati e come esercitarli
- Informazioni sui trasferimenti di informazioni personali al di fuori del Quebec
- Politiche e pratiche di conservazione e distruzione
Accessibilita. L’informativa deve essere redatta in un linguaggio chiaro e semplice e pubblicata sul sito web dell’azienda. La Commission d’acces a l’information du Quebec (CAI) ha sottolineato che informative eccessivamente lunghe scritte in gergo legale non soddisfano il requisito di chiarezza.
Avviso al momento della raccolta. Oltre all’informativa generale, dovete fornire un avviso specifico al momento della raccolta indicando le finalita previste, i mezzi utilizzati, i diritti della persona e, ove applicabile, i trasferimenti al di fuori del Quebec.
Valutazioni d’impatto sulla privacy (VIP)
Dal settembre 2023, una valutazione d’impatto sulla privacy (VIP) e obbligatoria prima di:
- Qualsiasi progetto di acquisizione, sviluppo o riprogettazione di un sistema informativo che coinvolga informazioni personali
- Qualsiasi divulgazione di informazioni personali al di fuori del Quebec
La VIP deve analizzare i rischi per la privacy e proporre misure di mitigazione. Non deve essere pubblicata, ma deve essere documentata e disponibile per la CAI su richiesta.
Diritti individuali
La Legge 25 conferisce agli individui diversi diritti fondamentali:
Diritto di accesso. Qualsiasi persona puo richiedere l’accesso alle informazioni personali che detenete su di lei. Dovete rispondere entro 30 giorni.
Diritto di rettifica. Gli individui possono richiedere la correzione di informazioni inesatte o incomplete.
Diritto alla de-indicizzazione (diritto all’oblio). Quando la diffusione di informazioni personali contravviene alla legge o a un’ordinanza del tribunale, l’individuo puo esigere la cessazione della diffusione, la de-indicizzazione da parte di un motore di ricerca o la rimozione del collegamento che fornisce accesso alle informazioni.
Diritto alla portabilita. Dal settembre 2024, gli individui possono richiedere la comunicazione delle loro informazioni personali in un formato tecnologico strutturato e di uso comune, o il loro trasferimento a un’altra organizzazione.
Diritto di revocare il consenso. Qualsiasi persona puo revocare il consenso in qualsiasi momento. La revoca ha effetto per il futuro senza pregiudicare la liceita del trattamento precedente.
Notifica obbligatoria delle violazioni
La Legge 25 richiede la notifica obbligatoria degli incidenti di riservatezza (accesso non autorizzato, uso o divulgazione di informazioni personali, o perdita di informazioni personali).
Alla CAI. Dovete segnalare qualsiasi incidente che presenti un rischio di danno grave per le persone interessate alla Commission d’acces a l’information du Quebec.
Alle persone interessate. La notifica deve essere tempestiva e includere una descrizione dell’incidente, le informazioni coinvolte, i passi che l’individuo puo compiere per proteggersi e i recapiti di qualcuno nella vostra organizzazione.
Registro degli incidenti. Dovete mantenere un registro di tutti gli incidenti di riservatezza, anche quelli che non presentano un rischio di danno grave. Questo registro deve essere conservato per almeno cinque anni.
Sanzioni e applicazione
La Legge 25 ha introdotto significative sanzioni pecuniarie amministrative (SPA) e sanzioni penali:
Sanzioni pecuniarie amministrative. La CAI puo imporre SPA fino a 10 milioni di CAD o al 2% del fatturato mondiale dell’esercizio fiscale precedente, a seconda di quale importo sia maggiore. Queste sanzioni sono imposte direttamente dalla CAI senza passare attraverso i tribunali.
Sanzioni penali. I reati penali possono comportare multe da 15.000 a 25 milioni di CAD o il 4% del fatturato mondiale. Questi importi allineano la Legge 25 alla scala sanzionatoria del GDPR europeo. Per le aziende italiane, queste cifre sono comparabili alle sanzioni che il Garante per la protezione dei dati personali puo imporre.
Azione privata. Gli individui possono intentare azioni civili per danni derivanti da una violazione della Legge 25. Il tribunale puo riconoscere danni punitivi di almeno 1.000 CAD quando la violazione e intenzionale o risulta da colpa grave.
Trasferimenti al di fuori del Quebec
La Legge 25 regola rigorosamente i trasferimenti di informazioni personali al di fuori del Quebec. Prima di qualsiasi trasferimento, dovete:
- Condurre una valutazione d’impatto sulla privacy
- Assicurarvi che la giurisdizione di destinazione offra una protezione adeguatamente equivalente
- Stipulare un accordo contrattuale che disciplini il trasferimento
- Pubblicare informazioni sul trasferimento nella vostra informativa sulla privacy
Questo approccio e paragonabile al meccanismo delle Clausole Contrattuali Tipo (SCCs) nel GDPR. Le aziende italiane che gia gestiscono trasferimenti internazionali ai sensi del GDPR troveranno questi requisiti familiari.
Quattro approcci alla conformita con la Legge 25
Assumere un avvocato specializzato
Costo: da 5.000 a 15.000 CAD per un programma di conformita completo. Tempistica: da 4 a 8 settimane.
Per le aziende con flussi di dati complessi o trasferimenti internazionali, un avvocato specializzato in privacy del Quebec rimane l’opzione piu completa.
Usare uno strumento di IA generico
Costo apparente: 0 $. Costo reale: le lacune specifiche della Legge 25 che non copriira.
Gli strumenti di IA generici non conoscono i requisiti specifici della Legge 25 (PRPI, VIP, portabilita, de-indicizzazione) e producono informative che possono soddisfare il PIPEDA ma non la legge del Quebec.
Copiare un modello gratuito
Costo: 0 $. Rischio: alto.
I modelli gratuiti sono generalmente redatti per il PIPEDA o il GDPR, non per la Legge 25. Omettono i requisiti specifici del Quebec.
Usare un generatore specializzato di documenti legali
Costo: 19,90 € a 49,90 €. Tempistica: meno di 10 minuti.
Un generatore specializzato che integri i requisiti della Legge 25 produce informative sulla privacy adattate al quadro del Quebec, comprese le menzioni obbligatorie del PRPI, i diritti di portabilita e le disposizioni sulla de-indicizzazione.
Conclusione
Verificate la vostra conformita alla Legge 25 con il nostro scanner di conformita gratuito che copre le normative canadesi.
La Legge 25 ha posto il Quebec all’avanguardia della protezione delle informazioni personali in Nord America. Con sanzioni che raggiungono i 25 milioni di CAD o il 4% del fatturato globale, le conseguenze della non conformita sono potenzialmente devastanti. Designare un PRPI, aggiornare la vostra informativa sulla privacy, condurre VIP e stabilire procedure di notifica degli incidenti non sono piu facoltativi — sono obblighi di legge. Ogni giorno senza conformita e un giorno di esposizione inutile al rischio normativo.