A Lei 25 do Quebec, oficialmente a Lei para modernizar as disposicoes legislativas em materia de protecao de informacoes pessoais, transformou o panorama da privacidade da provincia. Adotada em setembro de 2021 e implementada em tres fases (setembro de 2022, setembro de 2023 e setembro de 2024), reforcou significativamente as obrigacoes das empresas que recolhem informacoes pessoais de residentes do Quebec. Mais rigorosa do que a PIPEDA federal em muitos aspetos, a Lei 25 alinha o Quebec com os mais altos padroes internacionais em protecao de dados. Para as empresas portuguesas habituadas ao RGPD, a Lei 25 apresenta paralelos interessantes e diferencas-chave com o quadro europeu. Este guia cobre as obrigacoes essenciais que toda empresa a operar no Quebec deve compreender.
Ambito de aplicacao
A Lei 25 altera dois estatutos existentes: a Lei sobre a protecao de informacoes pessoais no setor privado e a Lei de acesso a documentos de organismos publicos. Aplica-se a qualquer empresa que recolha, detenha, utilize ou divulgue informacoes pessoais de residentes do Quebec, esteja ou nao estabelecida no Quebec.
Alcance extraterritorial. Uma empresa sediada em Toronto, Nova Iorque, Lisboa ou Paris que oferecea produtos ou servicos a consumidores do Quebec ou recolha os seus dados esta sujeita a Lei 25. Este alcance extraterritorial alinha estreitamente a lei do Quebec com o RGPD europeu. Para as empresas portuguesas, isto significa que se tiverem clientes no Quebec, devem cumprir a Lei 25 alem do RGPD.
Interacao com o PIPEDA. Para atividades comerciais intraprovinciais no Quebec, a Lei 25 substitui o PIPEDA (a lei federal de privacidade do Canada). No entanto, o PIPEDA continua a aplicar-se a atividades interprovinciais e internacionais. As empresas que operam tanto no Quebec como noutras provincias devem cumprir ambos os quadros regulatorios.
Responsavel de privacidade obrigatorio
Desde setembro de 2022, toda empresa sujeita a Lei 25 deve designar uma pessoa responsavel pela protecao de informacoes pessoais (PRPI). Por defeito, esta responsabilidade recai sobre a pessoa com a maior autoridade na organizacao (diretor-geral, presidente).
Delegacao. A funcao pode ser delegada por escrito a um colaborador ou a um terceiro. A identidade e os dados de contacto do PRPI devem ser publicados no sitio web da empresa.
Funcao. O PRPI supervisiona a conformidade da organizacao, aprova as praticas de protecao de informacoes pessoais, serve como ponto de contacto para queixas e pedidos de acesso e assegura o cumprimento das obrigacoes legais. Este papel e comparavel ao do EPD (Encarregado da Protecao de Dados) no RGPD europeu. Em Portugal, a CNPD supervisiona o cumprimento da obrigacao de designar um EPD.
Requisitos reforcados de consentimento
A Lei 25 reforcou significativamente os requisitos de consentimento em comparacao com o regime anterior.
Consentimento manifesto, livre e informado. O consentimento deve ser prestado para finalidades especificas e solicitado separadamente para cada finalidade. Os formularios que agrupam multiplas finalidades numa unica caixa de selecao ja nao sao conformes.
Consentimento separado para cada finalidade. Se recolhe informacoes para processar uma encomenda E para enviar newsletters de marketing, deve obter dois consentimentos separados. O consentimento para a transacao nao constitui consentimento para marketing.
Consentimento para menores. Para criancas com menos de 14 anos, o consentimento deve ser prestado pela pessoa com autoridade parental. Para os de 14 a 17 anos, o proprio consentimento do menor e suficiente, mas deve cumprir os requisitos de clareza e especificidade.
Proibicao do consentimento como condicao de servico. Nao pode recusar um servico ou impor condicoes discriminatorias a uma pessoa que recuse consentir na recolha de informacoes nao necessarias para a prestacao do servico.
Politica de privacidade e transparencia
A Lei 25 impoe requisitos precisos para as politicas de privacidade.
Conteudo obrigatorio. A sua politica deve incluir:
- Dados de contacto da pessoa responsavel pela protecao de informacoes pessoais
- Tipos de informacoes pessoais recolhidas
- Finalidades da recolha
- Meios de recolha
- Direitos dos titulares dos dados e como exerce-los
- Informacoes sobre transferencias de informacoes pessoais para fora do Quebec
- Politicas e praticas de conservacao e destruicao
Acessibilidade. A politica deve ser redigida em linguagem clara e simples e publicada no sitio web da empresa. A Commission d’acces a l’information du Quebec (CAI) enfatizou que politicas excessivamente longas escritas em jargao juridico nao satisfazem o requisito de clareza.
Aviso no momento da recolha. Alem da politica geral, deve fornecer um aviso especifico no momento da recolha indicando as finalidades previstas, os meios utilizados, os direitos da pessoa e, quando aplicavel, as transferencias para fora do Quebec.
Avaliacoes de impacto sobre a privacidade (AIP)
Desde setembro de 2023, uma avaliacao de impacto sobre a privacidade (AIP) e obrigatoria antes de:
- Qualquer projeto de aquisicao, desenvolvimento ou reformulacao de um sistema de informacao que envolva informacoes pessoais
- Qualquer divulgacao de informacoes pessoais para fora do Quebec
A AIP deve analisar os riscos para a privacidade e propor medidas de mitigacao. Nao precisa de ser publicada, mas deve estar documentada e disponivel para a CAI a pedido.
Direitos individuais
A Lei 25 confere aos individuos varios direitos fundamentais:
Direito de acesso. Qualquer pessoa pode solicitar acesso as informacoes pessoais que detem sobre ela. Deve responder no prazo de 30 dias.
Direito de retificacao. Os individuos podem solicitar a correcao de informacoes inexatas ou incompletas.
Direito a desindexacao (direito ao esquecimento). Quando a difusao de informacoes pessoais contravem a lei ou uma ordem judicial, o individuo pode exigir a cessacao da difusao, a desindexacao por um motor de busca ou a remocao do link que fornece acesso as informacoes.
Direito a portabilidade. Desde setembro de 2024, os individuos podem solicitar a comunicacao das suas informacoes pessoais num formato tecnologico estruturado e de uso comum, ou a sua transferencia para outra organizacao.
Direito de revogar o consentimento. Qualquer pessoa pode revogar o consentimento a qualquer momento. A revogacao produz efeitos para o futuro sem afetar a legalidade do tratamento anterior.
Notificacao obrigatoria de violacoes
A Lei 25 exige a notificacao obrigatoria de incidentes de confidencialidade (acesso nao autorizado, utilizacao ou divulgacao de informacoes pessoais, ou perda de informacoes pessoais).
A CAI. Deve reportar qualquer incidente que apresente um risco de dano grave para os individuos afetados a Commission d’acces a l’information du Quebec.
Aos individuos afetados. A notificacao deve ser rapida e incluir uma descricao do incidente, as informacoes envolvidas, os passos que o individuo pode tomar para se proteger e os dados de contacto de alguem na sua organizacao.
Registo de incidentes. Deve manter um registo de todos os incidentes de confidencialidade, mesmo aqueles que nao apresentem um risco de dano grave. Este registo deve ser conservado durante pelo menos cinco anos.
Sancoes e aplicacao
A Lei 25 introduziu significativas sancoes pecuniarias administrativas (SPA) e sancoes penais:
Sancoes pecuniarias administrativas. A CAI pode impor SPA ate 10 milhoes de CAD ou 2% do volume de negocios mundial do exercicio fiscal anterior, consoante o que for maior. Estas sancoes sao impostas diretamente pela CAI sem passar pelos tribunais.
Sancoes penais. As infracoes penais podem resultar em coimas de 15.000 a 25 milhoes de CAD ou 4% do volume de negocios mundial. Estes montantes alinham a Lei 25 com a escala sancionatoria do RGPD europeu. Para as empresas portuguesas, estas cifras sao comparaveis as sancoes que a CNPD pode impor.
Acao privada. Os individuos podem intentar acoes civis por danos resultantes de uma violacao da Lei 25. O tribunal pode atribuir danos punitivos de pelo menos 1.000 CAD quando a infraccao seja intencional ou resulte de culpa grave.
Transferencias para fora do Quebec
A Lei 25 regula rigorosamente as transferencias de informacoes pessoais para fora do Quebec. Antes de qualquer transferencia, deve:
- Realizar uma avaliacao de impacto sobre a privacidade
- Assegurar que a jurisdicao de destino oferece protecao adequadamente equivalente
- Celebrar um acordo contratual que reja a transferencia
- Publicar informacoes sobre a transferencia na sua politica de privacidade
Esta abordagem e comparavel ao mecanismo das Clausulas Contratuais Tipo (CCT) no RGPD. As empresas portuguesas que ja gerem transferencias internacionais ao abrigo do RGPD encontrarao estes requisitos familiares.
Quatro abordagens para a conformidade com a Lei 25
Contratar um advogado especializado
Custo: 5.000 a 15.000 CAD para um programa de conformidade abrangente. Prazo: 4 a 8 semanas.
Para empresas com fluxos de dados complexos ou transferencias internacionais, um advogado de privacidade do Quebec continua a ser a opcao mais completa.
Usar uma ferramenta de IA generica
Custo aparente: 0 $. Custo real: as lacunas especificas da Lei 25 que nao cobrira.
As ferramentas de IA genericas desconhecem os requisitos especificos da Lei 25 (PRPI, AIP, portabilidade, desindexacao) e produzem politicas que podem satisfazer o PIPEDA mas nao a lei do Quebec.
Copiar um modelo gratuito
Custo: 0 $. Risco: alto.
Os modelos gratuitos sao geralmente redigidos para o PIPEDA ou o RGPD, nao para a Lei 25. Omitem os requisitos especificos do Quebec.
Usar um gerador especializado de documentos legais
Custo: 19,90 € a 49,90 €. Prazo: menos de 10 minutos.
Um gerador especializado que integre os requisitos da Lei 25 produz politicas de privacidade adaptadas ao quadro do Quebec, incluindo as mencoes obrigatorias do PRPI, os direitos de portabilidade e as disposicoes de desindexacao.
Conclusao
Verifique a sua conformidade com a Lei 25 atraves do nosso scanner de conformidade gratuito que abrange as regulamentacoes canadianas.
A Lei 25 colocou o Quebec na vanguarda da protecao de informacoes pessoais na America do Norte. Com sancoes que atingem 25 milhoes de CAD ou 4% do volume de negocios global, as consequencias da nao conformidade sao potencialmente devastadoras. Designar um PRPI, atualizar a sua politica de privacidade, realizar AIP e estabelecer procedimentos de notificacao de incidentes ja nao sao opcionais — sao obrigacoes legais. Cada dia sem conformidade e um dia de exposicao desnecessaria ao risco regulatorio.