O que significa PIPEDA?
PIPEDA é sigla para "Personal Information Protection and Electronic Documents Act.' (Lei de Proteção de Informações Pessoais e Documentos Eletrônicos). É a lei federal do Canadá sobre proteção de dados pessoais.
Desde sua promulgação em abril de 2000, a PIPEDA sofreu várias emendas para torná-la mais abrangente e alinhada com a maioria das tendências atuais da legislação de privacidade.
Quais são os princípios do PIPEDA?
O PIPEDA baseia-se em dez princípios:
- Responsabilidade
- Identificação da Finalidade
- Consentimento
- Limitação da Obtenção das Informações
- Limitação do Uso, Divulgação e Retenção
- Precisão
- Salvaguardas
- Abertura
- Acesso Individual
- Questionamento de Conformidade
Por meio das respostas às perguntas a seguir, apresentaremos a maneira como o PIPEDA implementa esses princípios na prática.
Como o PIPEDA se compara ao GDPR e ao CCPA?
Embora a PIPEDA tenha suas especificidades, ela inevitavelmente se assemelha a outras leis de privacidade. As leis de proteção de dados mais recentes visam empresas internacionais, portanto, muitas têm semelhanças entre elas.
A lei federal canadense é muito semelhante ao GDPR, portanto, se você já está em conformidade com ela, pode cumprir a PIPEDA facilmente.
Se o foco do seu negócio não está na Europa, mas na América do Norte, e você está em conformidade com a CCPA, você terá que se esforçar para obter conformidade com a lei canadense.
Precisamos cumprir as leis de proteção de dados das províncias canadenses?
Sim, você também deve cumprir as leis de privacidade da província. A coleta, o uso ou a divulgação de dados pode ser isenta de conformidade com PIPEDA e estar sujeita à conformidade apenas com a lei da província apenas se:
- Sua empresa opera naquela província e
- Você coleta, usa ou divulga informações pessoais de cidadãos apenas dessa província
- Você coleta, usa ou divulga informações pessoais apenas dentro da província.
Em suma, você poderá não precisar se adequar à PIPEDA se os dados não saem da província. Apenas as províncias de Alberta, British Columbia e Quebec têm leis de proteção de dados. Eles são todos substancialmente semelhantes à PIPEDA, portanto, o cumprimento da lei federal significa o cumprimento da lei provincial também.
A quem se aplica a PIPEDA?
A PIPEDA se aplica a:
- Organizações canadenses que coletam, usam ou divulgam informações pessoais para fins comerciais
- Organizações estrangeiras que coletam, usam ou divulgam informações pessoais de cidadãos canadenses para fins comerciais.
Embora a própria lei não mencione explicitamente a aplicação a empresas estrangeiras, as penalidades aplicadas no passado são um sinal claro de que devem cumpri-la. As empresas estrangeiras devem cumprir a PIPEDA assim que entrarem em contato com seu primeiro usuário canadense.
Se você for uma empresa canadense, a necessidade de cumprir a PIPEDA é evidente.
Quem faz cumprir a PIPEDA?
O Office of Privacy Commissioner e o Tribunal Federal canadense fazem cumprir a PIPEDA. O Commissioner investigará o caso e produzirá um relatório com as conclusões. O reclamante pode usar o relatório no tribunal.
Quais são as penalidades?
O tribunal pode impor penalidades de até CAD 100.000 para entidades que violaram a lei. Lembre-se de que o Comissário pode, a qualquer momento, auditar suas práticas de gestão de proteção de dados.
O que são dados pessoais?
A PIPEDA define dados pessoais como quaisquer informações que possam identificar um indivíduo. Isso inclui, mas não está limitado a nome, endereço de e-mail, número de telefone, origem étnica, número de identificação, tipo de sangue, registros de empréstimo, intenções, status social e outros.
Devo obter consentimento para coleta ou processamento de dados pessoais?
Dependerá das circunstâncias, mas é melhor você obtê-lo. Se você usa as tecnologias de rastreamento mais comuns e deseja automatizar o gerenciamento de consentimento, obter o consentimento explícito é o caminho seguro a seguir.
Em qualquer caso, você deve obter “consentimento significativo”. Isso pode significar consentimento implícito e explícito.
Você deve obter consentimento explícito se os dados coletados ou usados forem:
- Sensíveis
- Além das expectativas razoáveis do usuário ou
- Podem causar danos significativos.
Para todos os outros casos, o consentimento implícito é suficiente. No entanto, ao coletar consentimento implícito, você deve estar ciente da lei anti-spam do Canadá. Eles proíbem estritamente o envio de conteúdo comercial a usuários sem obter explicitamente seu consentimento.
É importante observar que dados não confidenciais podem ser considerados confidenciais em certas circunstâncias. As expectativas razoáveis do usuário também mudam de situação para situação. Não há uma linha clara entre os requisitos para consentimento implícito e explícito.
Se houver qualquer possibilidade de coletar, usar ou divulgar dados confidenciais, como etnia, opiniões religiosas, orientação sexual, informações financeiras, informações de saúde ou outros dados confidenciais, certifique-se de obter o consentimento explícito.
Os cookies de mídia social, em particular, costumam coletar dados confidenciais. Se você estiver usando algum deles, obter consentimento explícito é a alternativa mais segura.
Além disso, você não deve usar ou processar seus dados para fins diferentes daqueles para os quais foi dado o consentimento. Se você obteve consentimento para um propósito, mas agora deseja usar os dados para outro propósito, você deve solicitar o consentimento novamente.
Além disso, você deve informar seus usuários sobre a finalidade da coleta e uso de dados no momento de solicitar consentimento. Se eles não entenderem por que você coleta e usa seus dados, o consentimento não é válido.
O que é uma política de privacidade em conformidade com o PIPEDA do Canadá?
Sua política de privacidade é compatível com PIPEDA se contiver pelo menos os seguintes elementos:
- Informações sobre a coleta de dados
- Informações sobre o objetivo da coleta, uso ou divulgação de dados
- Descrição do tipo de informações pessoais que estão sendo coletadas, usadas ou divulgadas
- Informações sobre como os titulares dos dados podem exercer seus direitos PIPEDA
- Informações sobre os dados disponibilizados para organizações relacionadas, como subsidiárias
- Informações sobre suas políticas e práticas de gerenciamento de dados
- O nome e as informações de contato das pessoas responsáveis pelo cumprimento da PIPEDA na organização.
Embora ter uma política de privacidade seja de longe a forma mais prática de fornecer essas informações aos titulares dos dados, é importante observar que você é livre para escolher o método de informá-los, desde que forneça as informações listadas aqui.
Quais são os direitos dos visitantes do meu site e dos usuários do produto?
Os visitantes do seu site e usuários do produto têm o direito, mediante solicitação, de:
- Ser informado sobre os dados que você coleta, usa ou divulga
- Acessar seus dados
- Corrigir os dados
- Retirar o consentimento e optar por não usar ou divulgar os dados
- Questionar a sua conformidade com a PIPEDA
Certifique-se de fornecer aos seus usuários os meios para solicitar e obter qualquer uma dessas informações. Você pode fazer isso por meio de um formulário de contato no site, de um endereço de e-mail ou outro meio.
Meus visitantes têm o direito de serem esquecidos sob a PIPEDA?
A PIPEDA não prescreve especificamente o direito ao esquecimento. No entanto, se o usuário retirar seu consentimento e optar por não usar e divulgar seus dados, você deve excluir seus dados porque não há mais base para mantê-los.
Como os usuários podem questionar a nossa conformidade com a PIPEDA?
Você precisa estabelecer procedimentos para permitir que seus usuários questionem sua conformidade com a PIPEDA. Pode ser tão simples quanto fornecer a eles um formulário de contato para enviar o desafio. Lembre-se de que toda organização é obrigada a investigar cada um dos desafios que recebe.
Podemos transferir dados pessoais para o exterior livremente?
Não há restrições específicas para a transferência de dados pessoais para o exterior, mas a lei responsabiliza você por qualquer coisa que possa dar errado com esses dados transferidos. Portanto, é do seu interesse transferir dados apenas para organizações e países com níveis adequados de proteção de dados.
O que devemos fazer em caso de violação de dados da PIPEDA?
Assim que você souber da violação, deverá notificar o Comissário e os titulares dos dados cujos dados foram violados. A notificação deve ser feita na forma prescrita.
Além disso, você deve notificar qualquer outro órgão que possa atenuar o dano, bem como manter registros da violação por 24 meses.
Precisamos de um oficial de proteção de dados (DPO)?
Você precisa designar uma pessoa em sua organização para cuidar de sua conformidade com a PIPEDA e seus princípios. Essa pessoa não é chamada de DPO, mas sua função é semelhante à do DPO de acordo com outras leis.
Como posso tornar nossa organização Canadá compatível com PIPEDA?
Sua organização estará em conformidade com a PIPEDA se você implementar com sucesso todos os 10 princípios da lei.
Resumindo, você deve começar implementando uma política de privacidade em conformidade com a PIPEDA, garantindo que os dados sejam devidamente protegidos, obtenha consentimento válido e forneça aos titulares dos dados meios para exercer seus direitos de privacidade.
Agende uma demo e torne seu site compatível com PIPEDA hoje mesmo.
