PIPEDA – O Regulamento Geral canadiano de Proteção de Dados

Neste artigo, explicamos tudo sobre o Regulamento Canadiano de Proteção de Dados PIPEDA e o próximo regulamento da CPPA. No próximo post , entraremos em mais detalhes sobre Cookies & Consent.

O que é PIPEDA?

PIPEDA é a abreviatura da Lei de Proteção de Informações Pessoais e Documentos Eletrónicos e refere-se ao novo Regulamento Geral de Proteção de Dados do Canadá. A alteração une as duas anteriores leis canadianas de proteção de dados , a Lei de Proteção da Privacidade dos Consumidores (CPPA) e a Lei do Tribunal de Informação Pessoal e Proteção de Dados (PIDPTA), num regulamento abrangente equivalente ao RGPD. A referência ao Regulamento Geral europeu de Proteção de Dados é reconhecível em muitos locais da pipeda, razão pela qual é frequentemente chamado de RGPD canadá.

À semelhança do RGPD, a Lei canadiana de Proteção de Dados regula o tratamento de dados pessoais recolhidos e armazenados no decurso de atividades comerciais. A Lei de Proteção de Informações Pessoais e Documentos Eletrónicos PIPEDA é, portanto, importante para todas as empresas que pretendam chegar aos consumidores no Canadá com serviços e produtos – sejam estacionários ou por venda à distância. As atividades comerciais na aceção da PIPEDA são todas transações e ações de origem comercial ou com intenção comercial.

A PIPEDA é válida para empresas e organizações que sejam reguladas federalmente e sujeitas à legislação canadiana. A Lei de Proteção de Informações Pessoais e Documentos Eletrónicos aplica-se igualmente ao sector privado de cada província, a menos que uma província tenha promulgado a sua própria lei de proteção de dados, que é substancialmente comparável à Lei de Proteção de Informações Pessoais e Documentos Eletrónicos PIPEDA. Apenas a British Columbia, Alberta e Quebec têm leis de privacidade que são amplamente semelhantes à Lei de Proteção de Informações Pessoais e Documentos Eletrónicos PIPEDA. Se uma empresa estiver localizada na Colúmbia Britânica, Alberta ou Quebec, a Lei de Proteção de Informações Pessoais e Documentos Eletrónicos aplica-se aos dados pessoais recolhidos por estas organizações, desde que a utilização comercial dos dados ultrapasse os limites da respetiva província.

Os 10 Princípios de Privacidade na Lei de Proteção de Informações Pessoais e Documentos Eletrónicos PIPEDA

As empresas que tenham de cumprir os regulamentos relativos à PIPEDA devem tratar em tempo útil os princípios de proteção de dados deste RGPD para o Canadá . 10 pontos descrevem os direitos e obrigações que as organizações devem seguir nas transações comerciais com consumidores canadianos ao abrigo do RGPD para o Canadá :

  1. Prestação de contas
  2. Alocagem
  3. Consentimento
  4. Prevenção de dados e economia de dados
  5. Armazenamento, utilização e processamento
  6. Correção
  7. Integridade e confidencialidade
  8. Transparência
  9. Certo
  10. Direito de recurso

Se está familiarizado com o Regulamento Geral de Proteção de Dados, já pode ver muitos aspetos na visão geral dos 10 princípios da PIPEDA, que também podem ser encontrados no RGPD da UE . No entanto, existem desvios em detalhe, também e especialmente no que diz respeito ao consentimento para a recolha de dados pessoais. Vamos dar uma olhada rápida em cada um dos 10 pontos:

1. Prestação de contas

O princípio da prestação de contas significa que uma organização de determinada dimensão deve nomear uma pessoa responsável pela gestão dos dados recolhidos e pessoais. Esta pessoa é chamada de oficial de proteção de dados no RGPD – na Lei de Proteção de Informações Pessoais e Documentos Eletrónicos PIPEDA é chamado de Oficial de Privacidade ou Chief Privacy Officer (CPO). Em empresas mais pequenas, o Encarregado de Privacidade também pode desempenhar a sua função a tempo parcial . A sua principal tarefa é desenvolver, implementar e monitorizar procedimentos que satisfaçam os requisitos de proteção de dados da PIPEDA. Além disso, o Encarregado de Proteção de Dados deve receber e responder às reclamações relativas à recolha de dados . Um domínio importante é também a formação de colaboradores e a comunicação dos requisitos de proteção de dados relevantes para cada domínio de atividade. Se o consumidor tiver dado consentimento ao tratamento de dados por terceiros, o Encarregado de Privacidade é responsável pelo cumprimento dos requisitos pipeda por terceiros.

2. Limitação de propósitos

Por que razão a empresa quer armazenar os dados pessoais de um cliente? A finalidade deve ser indicada ao consumidor o mais tardar no momento da recolha de dados. A divulgação cria transparência, mas também facilita a implementação de acessos específicos à empresa. De acordo com a PIPEDA, o objetivo da recolha de dados deve ser comunicado a todos os colaboradores que entrem em contacto com os clientes. Se, por exemplo, for solicitado a um cliente o endereço ou número de telefone ao comprar no check-out, a utilização da informação de dados deve ser-lhe explicada a pedido. Os formulários de papel e formulários online que recolhem dados pessoais dos clientes também devem descrever claramente o propósito da recolha. Os dados pessoais recolhidos não podem ser utilizados para uma nova finalidade sem a autorização expressa do cliente. Uma exceção são requisitos legais que exigem isto.

3. Consentimento

Uma empresa não pode recolher, utilizar ou divulgar quaisquer dados pessoais sem o conhecimento e consentimento do cliente. A intenção de recolher os dados dos clientes deve ser comunicada de forma clara e inequívoca. Se os dados pessoais forem solicitados de forma a não ser permitida formulações ambíguas. Uma pessoa também não é desfavorecida em caso de recusa em fornecer informações sobre dados. Por conseguinte, as empresas devem também disponibilizar os seus produtos e serviços aos consumidores que não pretendam fornecer dados que não estão relacionados com o produto ou serviço. Existem algumas exceções: Uma empresa pode abster-se de dar o seu consentimento se houver razões legais ou médicas contra ela. Razões de segurança também podem ser dadas para determinados produtos. E se a informação for recolhida para a aplicação da lei, o consentimento também é omitido. O consentimento também pode ser dispensado nos casos em que uma pessoa é menor, gravemente doente ou mentalmente incapacitada. No entanto, o consentimento também pode ser dado por um representante autorizado.

No tipo de consentimento, é feita uma distinção entre:

  • explícito
  • implícito
  • Opte por sair

Em muitos casos – como um registo online – semelhante ao Regulamento Geral europeu de Proteção de Dados, é também necessário um consentimento explícito do consumidor. Normalmente, não é fornecido um opt-out. Por exemplo, mesmo com o consentimento dos cookies PIPEDA – equivalente aos regulamentos de cookies no RGPD – nenhuma marca ou botão de verificação pode ser pré-povoado. Em princípio, o consentimento não tem de ser dado por escrito – o consentimento oral é suficiente. Por exemplo, é suficiente se uma parte interessada der o seu consentimento à entrada num boletim informativo por telefone. No entanto, o consentimento dado ao telefone regularmente dificulta a prestação de provas por parte de uma empresa. Em alguns casos, o consentimento também pode ser derivado diretamente das ações do consumidor.

Os consumidores podem retirar o seu consentimento a qualquer momento, em conformidade com as restrições e prazos contratuais e legais A empresa deve informar o cliente sobre as consequências da retirada do consentimento.

4. Prevenção de dados e economia de dados

O princípio da limitação da recolha de dados à quantidade de dados necessários para efeitos de utilização é um princípio que também desempenha um papel importante no RGPD europeu. Os dados pessoais recolhidos por uma empresa devem limitar-se ao necessário para uma ação no âmbito de uma relação comercial.

A recolha e armazenamento de dados pessoais desnecessários também deve ser evitada de acordo com a PIPEDA. O tratamento justo e cumpridor da lei dos dados, que está escondido por trás da frase “Meios Justos e Legais”, visa a soberania dos dados do cliente e a necessidade de processos transparentes. A finalidade da recolha de determinados dados pessoais não deve ser ocultada por enganos ou declarações ambíguas.

5. Armazenamento, utilização e processamento

A utilização dos dados recolhidos só pode estar dentro do corredor conhecido pelo cliente e ao qual deu o seu consentimento. A divulgação ou outra utilização de informações pessoais não é permitida ao abrigo do Regulamento Geral canadiano de Proteção de Dados (PIPEDA). Os períodos de retenção baseiam-se em requisitos da empresa e de outros regulamentos legais. O período mínimo de retenção recomendado para as empresas é de um ano. Este período deixa à empresa capacidade suficiente para verificar e satisfazer os requisitos legais. O período máximo de retenção deve ser determinado e divulgado pela Empresa.

Não é permitida uma conservação ilimitada de dados – o consumidor deve ser informado a pedido quando os seus dados serão permanentemente eliminados. A pedido, os dados devem ser anonimizados e destruídos prematuramente, sujeitos a prazos. Além disso, uma organização deve poder divulgar quem obteve o consentimento para o tratamento dos dados e em que medida.

6. Precisão

O princípio da exatidão garante que os dados pessoais recolhidos por uma empresa sejam precisos, completos e atualizados para as finalidades para as quais são utilizados.

Há que ter em conta que os dados recolhidos devem ser utilizados no melhor interesse do consumidor.

A especificação de correção na PIPEDA não é apenas importante para a relação entre empresa e cliente. Por exemplo, se uma organização recolher dados pessoais para verificar os perfis dos candidatos antes de um processo de recrutamento, deve ser assegurado que o registo incorreto ou incompleto não causa quaisquer desvantagens para os candidatos.

Atualizar Informações Pessoais

Uma atualização automática e regular de dados pessoais não é geralmente permitida. Esta política na PIPEDA aplica-se igualmente às informações divulgadas a terceiros.

7. Integridade e confidencialidade

O princípio da integridade e confidencialidade significa que os dados pessoais devem ser protegidos contra perda ou roubo, acesso não autorizado, publicação, cópia, alteração ou utilização não autorizada. Este princípio aplica-se independentemente do formato em que os dados são armazenados.

Medidas de proteção adequadas

O esforço está relacionado com o tamanho da empresa. Uma pequena empresa que cria endereços de e-mail para um boletim online pode armazenar os endereços de e-mail numa folha de cálculo. Se a tabela estiver protegida com uma palavra-passe e adicionalmente altamente encriptada, pode presumir-se uma proteção adequada.

As grandes organizações geralmente gerem dados pessoais sensíveis em grande medida – apesar de toda a economia de dados. Estas empresas também são alvos mais frequentemente para os atacantes, por isso, há que tomar aqui precauções de segurança muito mais fortes.

Todas as medidas de segurança devem fornecer uma proteção acima da média para que os dados pessoais sejam protegidos, a fim de garantir a integridade a um nível elevado.

Destruição de informações pessoais

Para que os dados pessoais sejam eliminados ou destruídos, deve ser excluída a recuperação a critério humano e aplicando elevados padrões tecnológicos de destruição de dados. Isto aplica-se tanto à destruição física de documentos em papel como à destruição de dados sobre módulos de memória.

8. Transparência

Uma empresa precisa de tornar as suas políticas e procedimentos de tratamento de informações pessoais facilmente acessíveis. Os clientes devem, portanto, ter acesso a esta informação sem desvios complicados. As respostas aos inquéritos dos consumidores sobre a proteção de dados devem ser respondidas num prazo razoável e o mais direto possível. As informações fornecidas devem ser formuladas de uma forma geralmente compreensível. Os termos legais devem ser evitados.

Requisitos da PIPEDA

De acordo com a PIPEDA, uma organização deve fornecer estes dados mediante solicitação:

  • Nome ou título e endereço do responsável pelas políticas e práticas da organização a quem possam ser reencaminhadas reclamações ou pedidos.
  • Formas de acesso aos dados pessoais
  • Tipo de dados pessoais recolhidos, incluindo a descrição da sua utilização.
  • Informação escrita explicando as políticas e padrões da organização corporativa

9. Direito à informação

Mediante solicitação, uma empresa deve fornecer a uma pessoa informações sobre dados pessoais armazenados e sua utilização após a autenticação. Se um cliente duvidar da exatidão ou da completude dos dados pessoais, pode insistir na alteração dos dados recolhidos. Isto pode significar corrigir, eliminar ou adicionar dados .

Exceções

A informação sobre dados pessoais pode ser recusada por várias razões. Este é o caso se a informação estiver sujeita a privilégio advogado-cliente ou se informações confidenciais de negócios forem divulgadas.

Requisitos de autenticação

Antes de conceder acesso aos dados pessoais, uma empresa deve garantir que está a comunicar com a pessoa certa.

Algumas organizações fazem isso pedindo uma identificação oficial. Se necessário, a verificação com base em informações de conta em combinação com outras informações, como o nome de solteira ou uma senha armazenada, também é possível. No entanto, os requisitos rigorosos de autenticação não devem constituir um obstáculo ao direito de acesso.

Informação – tempo e custos

Os pedidos de informação serão respondidos num prazo razoável e a um custo mínimo ou sem custos para a pessoa. O mais tardar 30 dias após a receção de um pedido, deve ser respondido. Excepcionalmente, se uma empresa precisar de mais tempo para fornecer informações, deve enviar à pessoa um aviso provisório e fornecer uma razão plausível para os atrasos.

10. Direito de recurso

O direito de recurso consagrado na PIPEDA permite que clientes e consumidores tomem medidas direcionadas contra as empresas em caso de violação dos pontos do RGPD do Canadá.

As empresas devem fornecer procedimentos para receber e responder a reclamações e inquéritos. Estes procedimentos devem ser simples e fáceis de manusear. Além disso, segundo o RGPD do Canadá, as empresas têm de investigar e investigar as queixas, mesmo que considerem a denúncia aparentemente injustificada . Se a denúncia se revelar válida, devem ser tomadas medidas adequadas para a remediar. O Encarregado de Proteção de Dados da Empresa é responsável por receber reclamações e iniciar processos.