Uma politica RGPD europeia e suficiente para o PIPEDA?

Nao. Embora os dois regimes partilhem principios comuns, uma politica redigida para o RGPD omite tipicamente o vocabulario e as obrigacoes especificas do PIPEDA: referencia aos dez principios do Anexo 1, designacao de um responsavel pela privacidade canadiano, procedimento de notificacao de violacoes ao OPC ao abrigo dos artigos 10.1 a 10.3, e mencao do direito de queixa ao Comissario. Reutilizar uma politica RGPD sem adaptacao deixa lacunas reais de conformidade.

E necessaria uma politica diferente para o Quebec?

Sim, na maioria dos casos. A Lei 25 do Quebec impoe requisitos que o PIPEDA nao cobre: consentimento separado por finalidade, designacao publica do responsavel pela protecao das informacoes pessoais (RPRPI), avaliacoes de impacto sobre a privacidade e direito a portabilidade. As empresas que servem tanto o Quebec como o resto do Canada devem produzir duas politicas distintas ou uma politica unificada que cubra ambos os quadros com seccoes claramente delimitadas.

Com que frequencia se deve atualizar a politica de privacidade?

No minimo uma vez por ano, alem de cada alteracao material das suas praticas (novo servico, novo subcontratante, mudanca de finalidade, novo pais de armazenamento). O PIPEDA nao impoe uma frequencia fixa, mas o principio da transparencia exige que a politica reflita as suas praticas reais a qualquer momento. As alteracoes substanciais devem ser comunicadas ativamente aos titulares dos dados, nao apenas publicadas passivamente no site.

Que riscos corre uma empresa sem uma politica conforme com o PIPEDA?

Sob o PIPEDA atual, o Office of the Privacy Commissioner of Canada (OPC) pode publicar conclusoes nomeando a organizacao, encaminhar a questao para o Tribunal Federal (que pode ordenar a conformidade e conceder indemnizacoes) e impor multas especificas ate 100.000 CAD por incumprimento das obrigacoes de notificacao de violacoes. Uma vez aprovado, o projeto de lei C-27 elevara as sancoes administrativas ate 10 milhoes de CAD ou 3 % do volume de negocios bruto mundial — um salto quantitativo que mudara a natureza do risco.

O PIPEDA aplica-se a empresas nao canadianas?

Sim, assim que uma empresa estrangeira recolha ou trate informacoes pessoais de residentes canadianos no ambito de atividades comerciais com uma ligacao real e substancial ao Canada (venda de produtos, segmentacao publicitaria, servicos online acessiveis a partir do Canada). Uma loja online europeia que envie para o Canada, ou um SaaS norte-americano com clientes canadianos, estao abrangidos. O alcance extraterritorial esta agora claramente estabelecido pela jurisprudencia canadiana.

Politica de Privacidade PIPEDA: Modelo

Qualquer organizacao canadiana do setor privado que recolha informacoes pessoais online tem uma obrigacao: publicar uma politica de privacidade em conformidade com o Personal Information Protection and Electronic Documents Act (PIPEDA). Mas o que e exatamente uma “politica conforme”? Que mencoes sao obrigatorias e quais distinguem um modelo generico de um documento que o Office of the Privacy Commissioner of Canada (OPC) considerara suficiente em caso de queixa? Este guia detalha os requisitos precisos, propoe uma estrutura de modelo conforme e identifica as seccoes que a maioria dos modelos gratuitos omite. Para as empresas portuguesas ja sujeitas ao RGPD e a Lei 58/2019, conhecer o PIPEDA e particularmente relevante quando servem clientes canadianos.

Por que motivo o PIPEDA exige uma politica de privacidade

O oitavo principio do Anexo 1 do PIPEDA — a transparencia — exige que “as politicas e praticas de uma organizacao relativas a gestao das informacoes pessoais” sejam “facilmente acessiveis”. A politica de privacidade publicada no seu site e o instrumento principal desta obrigacao. Nao e um documento de marketing nem um aviso defensivo: e o compromisso publico e oponivel da sua organizacao perante as pessoas cujos dados trata.

Uma obrigacao cumulativa. O PIPEDA exige uma politica em aplicacao do principio da transparencia, mas tambem do principio da identificacao das finalidades (segundo principio): as finalidades da recolha devem ser comunicadas antes ou no momento da recolha. Sem uma politica acessivel, a recolha de dados atraves do seu site e tecnicamente nao conforme desde a primeira visita.

Uma obrigacao oponivel. Uma vez publicada, a sua politica vincula-o. Se declarar que nao partilha dados com terceiros e uma investigacao revelar uma transferencia para um fornecedor de analiticas nao mencionado, viola simultaneamente o seu proprio compromisso e o sexto principio (limitacao da utilizacao, divulgacao e conservacao). E precisamente por isso que uma politica generica copiada de outro site e perigosa: nao reflete as suas praticas reais.

Para o quadro geral do PIPEDA e a sua aplicacao, consulte o nosso guia completo para empresas canadianas.

As 10 mencoes obrigatorias da sua politica PIPEDA

O OPC publicou orientacoes detalhadas sobre o conteudo esperado de uma politica de privacidade conforme. Eis os elementos imprescindiveis, organizados de acordo com a logica dos dez principios do Anexo 1.

1. Identidade da organizacao e contactos do responsavel pela privacidade. A sua politica deve nomear a entidade juridica que controla os dados e designar claramente a pessoa responsavel pela conformidade com o PIPEDA. Os contactos devem permitir um contacto direto (correio eletronico e morada postal). Uma simples caixa “contacto@…” sem nome do responsavel e insuficiente.

2. Tipos de informacoes recolhidas. Liste de forma especifica as categorias de dados: nome, endereco de correio eletronico, endereco IP, dados de geolocalizacao, identificadores de dispositivo, historico de navegacao, dados de transacao, conteudos enviados pelo utilizador. O nivel de detalhe deve permitir a uma pessoa comum saber o que lhe diz respeito.

3. Finalidades da recolha. Para cada categoria, indique por que recolhe os dados: execucao de uma encomenda, gestao de uma conta, seguranca do site, medicao de audiencia, marketing, obrigacoes legais. O segundo principio proibe a recolha “por precaucao”: cada recolha deve ter uma finalidade documentada.

4. Base do consentimento. Especifique que tipo de consentimento obtem (expresso ou implicito) para cada categoria de finalidade e como o utilizador o pode retirar. Para as informacoes sensiveis (saude, financas, biometria), o consentimento expresso e obrigatorio.

5. Destinatarios e terceiros. Identifique as categorias de terceiros com quem partilha informacoes: fornecedores de pagamento, alojamento, servicos de analitica, subcontratantes de marketing, parceiros comerciais. Especifique a finalidade de cada transferencia. Se utiliza Google Analytics, Meta, Stripe ou um fornecedor de correio eletronico norte-americano, devem constar.

6. Transferencias transfronteiricas. Se os dados saem do Canada, a sua politica deve indica-lo explicitamente e identificar os paises de destino. O OPC clarificou que os utilizadores devem ser informados de que os seus dados podem estar sujeitos a leis estrangeiras, incluindo as que permitem o acesso por autoridades governamentais estrangeiras.

7. Medidas de seguranca. Descreva de forma nao tecnica as medidas que protegem as informacoes: cifragem em transito (HTTPS), cifragem em repouso, controlos de acesso, monitorizacao, copias de seguranca. O setimo principio exige medidas proporcionadas a sensibilidade dos dados.

8. Prazos de conservacao. Indique durante quanto tempo conserva cada categoria de dados e segundo que criterios (duracao da relacao com o cliente + obrigacoes legais fiscais e contabilisticas). Uma formula vaga como “o tempo necessario” nao e suficiente.

9. Direitos das pessoas. Enuncie os direitos que a pessoa pode exercer ao abrigo do PIPEDA: acesso as suas informacoes, correcao de inexatidoes, retirada do consentimento, queixa ao responsavel pela privacidade e depois ao OPC. Descreva o procedimento pratico para exercer cada direito (formulario, correio eletronico dedicado, prazo de resposta).

10. Procedimento de violacao e de queixa. Indique como a organizacao trata as violacoes das medidas de seguranca e como o utilizador pode apresentar queixa. Esta seccao e tratada em maior detalhe abaixo, ja que a maioria dos modelos a omite.

Diferencas em relacao a uma politica RGPD

Se opera tambem na Europa, e provavel que ja tenha uma politica RGPD. Pode simplesmente republica-la para o Canada? A resposta curta e nao. Para entender as diferencas, consulte a nossa comparacao PIPEDA vs RGPD.

Vocabulario e referencias. O PIPEDA utiliza “informacoes pessoais” e nao “dados pessoais”; “violacao das medidas de seguranca” e nao “violacao de dados”; “Office of the Privacy Commissioner of Canada” e nao “autoridade de controlo” ou “CNPD”. Uma politica que fala de “autoridade de controlo” sem nomear o OPC e inadequada para um publico canadiano.

Bases juridicas. O RGPD enumera seis bases juridicas (artigo 6.o): consentimento, contrato, obrigacao legal, interesse vital, missao de interesse publico, interesses legitimos. O PIPEDA opera quase exclusivamente sobre o consentimento (com excecoes limitadas previstas no artigo 7.o). Uma politica que invoca o “interesse legitimo” ao abrigo do PIPEDA e juridicamente infundada.

Direitos das pessoas. O RGPD enumera oito direitos explicitos (acesso, retificacao, apagamento, limitacao, portabilidade, oposicao, decisoes automatizadas, queixa). O PIPEDA reconhece tres direitos claros: acesso, correcao, queixa. O “direito ao esquecimento” nao existe formalmente ao abrigo do PIPEDA — embora a jurisprudencia esteja a evoluir. Uma politica que promete direitos inexistentes pode criar uma expectativa nao oponivel.

Notificacao de violacoes. O RGPD impoe 72 horas para notificar a autoridade. O PIPEDA exige uma notificacao ao OPC “o mais cedo possivel” quando a violacao apresenta um risco real de prejuizo significativo, sem prazo cifrado. As modalidades diferem o suficiente para justificar uma redacao dedicada.

A seccao das violacoes: o que os modelos esquecem

Desde novembro de 2018, os artigos 10.1 a 10.3 do PIPEDA impoem uma obrigacao de notificacao das violacoes das medidas de seguranca. Esta obrigacao tem uma consequencia direta sobre a sua politica de privacidade: deve descrever publicamente o procedimento em caso de violacao, porque os utilizadores tem o direito de saber como serao avisados se as suas informacoes forem comprometidas.

Elementos a incluir nesta seccao:

O compromisso da organizacao de avaliar qualquer violacao segundo o criterio do “risco real de prejuizo significativo” (RRPS)
O canal de notificacao utilizado (email direto, carta, notificacao na conta de cliente)
O prazo objetivo de notificacao apos a detecao
O compromisso de notificar o OPC nos casos em que se verifique o RRPS
A manutencao de um registo interno de todas as violacoes, mesmo as que nao atingem o limiar RRPS
A possibilidade de o utilizador solicitar a consulta das suas proprias notificacoes historicas

Por que motivo esta seccao e tao rara. Os modelos genericos disponiveis gratuitamente online foram em grande parte redigidos antes de 2018 ou copiados de modelos europeus. Raramente mencionam o RRPS, nunca o registo interno e raramente fornecem um canal de notificacao claro. E uma lacuna de conformidade massiva e facilmente detetavel pelo OPC em caso de investigacao.

O incumprimento da obrigacao de notificacao e punivel com multas especificas ate 100.000 CAD — a unica sancao monetaria diretamente cifrada no PIPEDA atual.

Quatro abordagens para redigir a sua politica

Advogado especializado em privacidade

Custo: 2.500 a 8.000 CAD. Prazo: 2 a 4 semanas.

Um advogado canadiano especializado audita os seus fluxos reais de dados, redige uma politica a medida e atualiza-a face a alteracoes regulatorias. E a opcao mais rigorosa, recomendada para empresas que tratam informacoes sensiveis (saude, financas, dados de menores) ou que operam em varias jurisdicoes canadianas (PIPEDA + Lei 25 + Alberta PIPA + B.C. PIPA).

Modelo gratuito online

Custo: 0 CAD. Risco: elevado.

Os modelos gratuitos sao genericos, frequentemente redigidos sob outro regime juridico (RGPD, CCPA), e nunca adaptados a sua atividade especifica. Tipicamente omitem a seccao de violacoes, nao mencionam corretamente o OPC e criam uma falsa sensacao de conformidade. Em caso de queixa, sao insuficientes.

Ferramenta de IA generica (ChatGPT e equivalentes)

Custo aparente: 0 CAD. Custo real: as lacunas que deixa.

Um assistente de IA generalista produz um texto que parece uma politica conforme, mas nao pode auditar as suas praticas reais, nao conhece a versao mais recente das orientacoes do OPC e confunde frequentemente o PIPEDA com outros regimes. O resultado passa o teste visual, nao o teste juridico.

Gerador especializado em documentos legais

Custo: 14,90 a 49,90 CAD. Prazo: menos de 10 minutos.

Um gerador especializado coloca questoes orientadas sobre a sua atividade, as suas categorias de dados, os seus subcontratantes e a sua jurisdicao, produzindo depois uma politica que aborda os requisitos especificos do PIPEDA — incluindo a seccao de violacoes, os direitos canadianos e as referencias ao OPC. O scanner de conformidade da WebLegal cobre os requisitos PIPEDA e identifica as lacunas da sua politica atual. Esta abordagem oferece o melhor equilibrio rigor-custo para a maioria das empresas canadianas online.

Conclusao

Uma politica de privacidade conforme com o PIPEDA nao e um copiar e colar de um modelo europeu nem um gerador generico. E um documento que reflete as suas praticas reais, integra os dez principios do Anexo 1, nomeia corretamente as autoridades canadianas e inclui uma seccao de violacoes robusta. Com o projeto de lei C-27 que elevara as sancoes para 10 milhoes de CAD ou 3 % do volume de negocios mundial, a diferenca entre uma politica “passavel” e uma politica realmente conforme tornar-se-a rapidamente um risco financeiro importante. Aja antes que esta transicao se torne vinculativa.