Se a sua empresa serve clientes tanto no Canada como na Uniao Europeia, esta provavelmente sujeita a dois grandes quadros normativos de protecao de dados: o Regulamento Geral sobre a Protecao de Dados (RGPD) europeu e o Personal Information Protection and Electronic Documents Act (PIPEDA) do Canada. Embora ambas as leis partilhem o objetivo comum de proteger as informacoes pessoais, diferem significativamente na sua abordagem, ambito e mecanismos de aplicacao. Para as empresas portuguesas, compreender estas diferencas e particularmente importante dado que a CNPD (Comissao Nacional de Protecao de Dados) aplica o RGPD em Portugal. Este guia compara os dois quadros normativos para ajuda-lo a construir uma estrategia de conformidade coerente.
Fundamentos filosoficos
O RGPD e um regulamento abrangente e prescritivo que se aplica uniformemente nos 27 Estados-Membros da UE. Baseia-se no principio de que a protecao de dados e um direito fundamental (artigo 8.o da Carta dos Direitos Fundamentais da UE). Toda atividade de tratamento de dados deve assentar numa das seis bases juridicas enumeradas no artigo 6.o. Em Portugal, a Lei n.o 58/2019 de 8 de agosto complementa o RGPD com disposicoes especificas nacionais.
O PIPEDA e uma lei baseada em principios e nao um regulamento prescritivo. Os dez principios de tratamento justo da informacao no Anexo 1 fornecem um quadro flexivel que o Office of the Privacy Commissioner of Canada (OPC) interpreta caso a caso. Esta abordagem oferece maior flexibilidade mas tambem menor certeza juridica.
A Lei 25 do Quebec, que substitui o PIPEDA para atividades intraprovinciais, adota uma abordagem mais prescritiva que a aproxima do RGPD.
Ambito de aplicacao
Quem esta protegido
RGPD: Qualquer pessoa singular (titular dos dados) que se encontre na Uniao Europeia, independentemente da nacionalidade ou residencia. Um turista canadiano que navega num sitio web durante uma visita a Lisboa esta protegido pelo RGPD durante essa visita.
PIPEDA: Qualquer individuo cujas informacoes pessoais sejam recolhidas, utilizadas ou divulgadas no curso de uma atividade comercial no Canada. A protecao esta vinculada a atividade comercial, nao a localizacao geografica do individuo.
Que empresas devem cumprir
RGPD: Qualquer organizacao, em qualquer parte do mundo, que trate dados pessoais de pessoas na UE, desde que oferecea bens ou servicos a residentes da UE ou monitorize o seu comportamento (artigo 3.o). Sem limiar de receitas nem volume minimo de dados. Em Portugal, a CNPD e a autoridade de controlo responsavel pela supervisao.
PIPEDA: Organizacoes do setor privado que recolham, utilizem ou divulguem informacoes pessoais no curso de atividades comerciais. Tambem sem limiar de receitas, mas a lei aplica-se apenas a atividades comerciais (excluindo atividades pessoais, jornalisticas, artisticas e governamentais).
Consentimento
Aqui os dois quadros normativos divergem mais claramente.
RGPD: O consentimento e uma das seis bases juridicas possiveis (artigo 6.o). Outras bases — execucao contratual, obrigacao legal, interesses legitimos — permitem o tratamento de dados sem consentimento. Quando se utiliza o consentimento, deve ser livre, especifico, informado e inequivoco (artigo 7.o). As caixas pre-assinaladas nao sao validas.
PIPEDA: O consentimento e o principal mecanismo de legitimacao. O PIPEDA reconhece tanto o consentimento explicito (opt-in) como o consentimento implicito, dependendo da sensibilidade das informacoes e das expectativas razoaveis do individuo. O consentimento implicito e aceitavel para utilizacoes nao sensiveis e razoavelmente previsiveis, algo que nao tem equivalente direto no RGPD.
| Aspeto | RGPD | PIPEDA |
|---|---|---|
| Consentimento explicito | Exigido para dados sensiveis (art. 9.o) e determinadas situacoes | Exigido para dados sensiveis |
| Consentimento implicito | Nao reconhecido | Aceitavel para utilizacoes nao sensiveis e previsiveis |
| Caixas pre-assinaladas | Invalidas (acordao Planet49) | Geralmente aceitaveis para consentimento implicito |
| Bases alternativas | 5 outras bases juridicas | Excecoes limitadas (investigacoes, emergencias) |
| Revogacao | A qualquer momento, tao facilmente como o conferimento | A qualquer momento |
Direitos individuais
Ambas as leis conferem direitos aos individuos, mas com diferencas significativas:
| Direito | RGPD | PIPEDA |
|---|---|---|
| Acesso | Artigo 15.o: copia de todos os dados pessoais | Anexo 1, Principio 9: acesso e informacao sobre a utilizacao |
| Retificacao | Artigo 16.o | Anexo 1, Principio 9 |
| Apagamento | Artigo 17.o: direito ao esquecimento com excecoes | Sem direito explicito ao apagamento (mas conservacao limitada) |
| Portabilidade | Artigo 20.o: formato estruturado e de leitura automatica | Sem equivalente (mas previsto no projeto C-27) |
| Oposicao | Artigo 21.o: direito de oposicao ao tratamento | Sem equivalente direto |
| Limitacao | Artigo 18.o | Sem equivalente |
| Prazo de resposta | 1 mes (prorrogavel ate 3) | 30 dias (prorrogavel em determinados casos) |
O RGPD oferece um leque de direitos mais amplo e detalhado. O PIPEDA concentra-se no acesso, na correcao e no consentimento como principais mecanismos de controlo.
Transferencias internacionais de dados
RGPD: As transferencias de dados pessoais para fora do EEE sao rigorosamente regulamentadas no Capitulo V do RGPD. Exigem uma decisao de adequacao da Comissao Europeia, Clausulas Contratuais Tipo (CCT), Regras Vinculativas para as Empresas (RVE) ou outro mecanismo aprovado. O Canada beneficia de uma decisao de adequacao parcial para as transferencias abrangidas pelo PIPEDA (mas nao para transferencias para provincias com leis provinciais).
PIPEDA: Sem restricoes especificas sobre transferencias internacionais de dados. A organizacao que transfere os dados permanece responsavel pela sua protecao em conformidade com os dez principios, independentemente do pais de destino. A Lei 25 do Quebec impoe, no entanto, requisitos de transferencia mais rigorosos comparaveis aos do RGPD.
Notificacao de violacoes
RGPD: Notificacao a autoridade de controlo no prazo de 72 horas (artigo 33.o). Em Portugal, a notificacao e dirigida a CNPD. Notificacao aos titulares dos dados afetados sem demora injustificada se o risco for elevado (artigo 34.o).
PIPEDA: Notificacao ao OPC e aos individuos afetados o mais rapidamente possivel se a violacao criar um risco real de dano significativo (secoes 10.1 a 10.3). Sem prazo rigoroso de 72 horas, mas a notificacao deve ser tempestiva. Registo obrigatorio de todas as violacoes durante 24 meses.
Sancoes e aplicacao
| Aspeto | RGPD | PIPEDA |
|---|---|---|
| Coima maxima | 20 M EUR ou 4% do volume de negocios global | 100.000 CAD (apenas notificacao de violacoes) |
| Autoridade de controlo | APD nacionais (CNPD em Portugal, CNIL, etc.) | OPC + Tribunal Federal |
| Poder sancionatorio direto | Sim | Nao (exceto violacoes) — OPC recomenda, Tribunal decide |
| Acao privada | Sim (artigo 82.o) | Sim (via Tribunal Federal apos decisao do OPC) |
| Jurisprudencia | Ampla desde 2018 | Menos desenvolvida |
O RGPD possui um arsenal sancionatorio incomparavelmente mais poderoso. A CNPD tem vindo a reforcar a sua atividade sancionatoria nos ultimos anos. Contudo, o projeto de lei C-27 do Canada introduziria sancoes pecuniarias administrativas ate 10 milhoes de CAD ou 3% das receitas brutas globais, reduzindo significativamente o fosso entre os dois quadros normativos.
EPD vs Responsavel pela privacidade
RGPD: A designacao de um Encarregado da Protecao de Dados (EPD) e obrigatoria para autoridades publicas, organizacoes cujas atividades principais envolvam um controlo regular e sistematico em grande escala, ou o tratamento em grande escala de dados sensiveis (artigo 37.o). Em Portugal, a CNPD fornece orientacoes especificas sobre a designacao do EPD.
PIPEDA: O Anexo 1 exige a designacao de uma pessoa responsavel pela conformidade (Principio 1 — Responsabilidade), mas sem os criterios detalhados do RGPD. A pessoa com a maior autoridade e responsavel por defeito.
Avaliacoes de impacto
RGPD: Uma Avaliacao de Impacto sobre a Protecao de Dados (AIPD) e obrigatoria para tratamentos suscetiveies de implicar um elevado risco para os direitos e liberdades das pessoas singulares (artigo 35.o). A CNPD publica listas de tratamentos que exigem uma AIPD.
PIPEDA: Sem obrigacao formal de realizar avaliacoes de impacto, embora o OPC as recomende vivamente como boa pratica. A Lei 25 do Quebec, pelo contrario, torna obrigatorias as Avaliacoes de Impacto sobre a Privacidade (PIA) para determinados projetos.
Estrategia de conformidade para empresas com dupla jurisdicao
Se a sua empresa serve clientes tanto no Canada como na UE, aqui esta uma abordagem pratica:
1. Comece pela conformidade com o RGPD. Os requisitos do RGPD sao geralmente mais rigorosos. Uma solida conformidade com o RGPD cobrira a maioria das obrigacoes do PIPEDA.
2. Adicione elementos especificos do PIPEDA. Documente a sua conformidade com os dez principios, estabelecea procedimentos de gestao de pedidos que respeitem os prazos do PIPEDA e assegure que a sua politica de privacidade aborde os requisitos especificos canadianos.
3. Gira as diferencas de consentimento. Aplique o consentimento opt-in (RGPD) para visitantes europeus e gira o consentimento implicito segundo os criterios do OPC para visitantes canadianos.
4. Prepare-se para a Lei 25. Se serve clientes do Quebec, cumpra tambem a Lei 25, que e mais rigorosa do que o PIPEDA.
5. Documente tudo. Mantenha registos de tratamento (artigo 30.o do RGPD), um registo de violacoes (tanto PIPEDA como RGPD) e registos de todos os pedidos e respostas.
Verifique a sua conformidade em ambas as jurisdicoes com o nosso scanner de conformidade gratuito.
Conclusao
O RGPD e o PIPEDA partilham o objetivo de proteger as informacoes pessoais, mas perseguem-no atraves de filosofias e mecanismos diferentes. O RGPD e prescritivo, com direitos amplos e sancoes dissuasoras. O PIPEDA baseia-se em principios, com uma abordagem mais flexivel mas sancoes atualmente limitadas (embora o projeto C-27 vise mudar isto). Para as empresas que operam em ambas as jurisdicoes, a estrategia mais eficaz e construir sobre a conformidade com o RGPD e complementar com requisitos especificos do PIPEDA. A inacao nao e uma opcao: os riscos regulatorios em ambos os lados do Atlantico continuam a crescer.