O cenário de privacidade do Canadá em 2023 continua a evoluir. Neste artigo, daremos uma visão geral dos desenvolvimentos mais recentes no cenário de privacidade canadense. Ao fazer isso, analisaremos os próximos requisitos de proteção de dados em Quebec, os novos regulamentos de IA, especialmente sob a Lei de Privacidade do Consumidor (Bill C-27), e outras atualizações de privacidade de outras províncias canadenses em relação à regulamentação da IA.
Se você é um residente canadense ou faz negócios dentro do Canadá, você pode precisar garantir que sua empresa esteja em conformidade com as próximas mudanças na legislação canadense.
Abaixo está uma visão geral dos detalhes e do impacto potencial no seu negócio.
Nova fase dos requisitos de proteção de dados em Quebec entra em vigor em 22 de setembro de 2023
A Lei de Proteção de Informações Pessoais do Setor Privado de Quebec (“PPIPS”) está sendo atualizada em uma segunda rodada pelo Projeto de Lei 64, agora Lei 25, e está programada para entrar em vigor em 22 de setembro de 2023. Até lá, as empresas que operam no Québec devem cumprir os seguintes requisitos importantes, entre outros:
- A realização de uma Avaliação de Impacto na Privacidade (PIA) é agora obrigatória: As organizações agora são obrigadas a realizar um PIA para cada atividade sensível à privacidade. Ou seja, se a sua empresa realiza atividades sensíveis à privacidade que incluem, mas não se limitam a, a recolha, tratamento ou armazenamento de dados pessoais, o tratamento de dados biométricos ou a partilha e divulgação de informação.
- As políticas precisam ser atualizadas: As empresas devem agora dar aos utilizadores a opção de manter ou eliminar os seus dados pessoais. As diretrizes atualizadas devem agora explicar as funções e responsabilidades dos funcionários que lidam com dados pessoais ao longo de seu ciclo de vida, bem como como a empresa lida com reclamações.
- Outros direitos para as pessoas singulares: a Lei n.º 25 introduz direitos para as pessoas, incluindo o direito à portabilidade dos dados, à tomada de decisões automatizadas, à definição de perfis de dados e ao esquecimento. As pessoas têm direitos adicionais ao processamento posterior e divulgação dos seus dados pessoais para revogar.
- Acordos de tratamento de dados com prestadores de serviços que contenham determinadas disposições: As organizações que ainda não o fizeram são obrigadas pelo Projeto de Lei 64 a celebrar acordos escritos de processamento de dados com prestadores de serviços com quem compartilham dados pessoais.
- Punir: Semelhante às leis europeias de proteção de dados, por exemplo, o GDPR, as novas leis canadenses de proteção de dados preveem penalidades de até US$ 50.000 por pessoa e até US$ 10.000.000 ou 2% da receita global de uma empresa no ano anterior, o que for maior.
Novas regulamentações de IA sob a Lei de Privacidade do Consumidor (Projeto de Lei C-27):
O projeto de lei canadense C-27, a Lei de Proteção à Privacidade do Consumidor, está entrando em sua segunda leitura desde sua introdução em junho de 2022. Esta lei, que ainda não entrou em vigor, substituiria a lei de privacidade existente da Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (“PIPEDA”) e promulgaria coletivamente a Lei de Proteção à Privacidade do Consumidor (“CPPA”), a Lei do Tribunal de Informações Pessoais e Proteção de Dados (“PIDPTA”) e a Lei de Inteligência Artificial e Dados (“AIDA”).
Da mesma forma, o Escritório do Comissário de Privacidade do CanadA (OPC) fez 15 recomendações importantes sobre o Projeto de Lei C-27. Estes incluem o reconhecimento da privacidade como um direito fundamental, o direito de acesso a dados pessoais, a criação de uma cultura de proteção de dados nas organizações para desenvolver produtos e serviços de acordo com o princípio de “privacidade desde a conceção”, e a obrigação das organizações de explicar as suas decisões e definição de perfis através de sistemas de tomada de decisão automatizados mediante solicitação.
AIDA, um novo regulamento que responde ao cenário em mudança e rápida evolução da inteligência artificial (IA), vai impor novas leis sobre o uso de sistemas de IA. Portanto, se você está fazendo negócios no Canadá, é importante que você comece a pensar agora sobre como sua empresa está usando IA e quais medidas você está tomando para proteger a privacidade e os dados pessoais de seus usuários. De acordo com a AIDA, semelhante às leis de privacidade anteriores, você deve explicar quais dados você coleta, como você os coleta e que os indivíduos podem solicitar acesso a esses dados. Você precisa explicar como o algoritmo funciona e estar disposto a divulgar informações de forma transparente. Isso também se aplica a provedores terceirizados que usam sistemas de IA.
O projeto de lei C-27 encontra-se atualmente em segunda leitura e é provável que passe por mais algumas alterações antes de entrar oficialmente em vigor.
Outros estados canadenses estão seguindo o exemplo quando se trata de regular sistemas de IA:
Desde maio, os comissários de privacidade do Canadá e, a nível federal, os comissários de privacidade de Quebec, Colúmbia Britânica e Alberta lançaram conjuntamente uma investigação sobre a OpenAI, a empresa por trás do chatbot alimentado por inteligência artificial ChatGPT.
Ele examina, entre outras coisas, se a OpenAI obteve consentimento válido e apropriado para a coleta e uso de informações pessoais de residentes canadenses pelo ChatGPT, se cumpriu suas obrigações em relação à transparência e responsabilidade e se as informações pessoais coletadas estão limitadas ao que é necessário para os fins declarados e pretendidos.
Uma declaração de Philippe Dufresne, comissário de privacidade do Canadá, sinaliza a vontade do Canadá de ficar à frente de tecnologias em evolução, como a inteligência artificial, colocando a privacidade em primeiro plano.
“A inteligência artificial e seu impacto na privacidade são questões globais que são centrais para as autoridades de proteção de dados no Canadá e em todo o mundo. Como reguladores, precisamos acompanhar e nos manter à frente do ritmo acelerado do desenvolvimento tecnológico para proteger os direitos fundamentais de privacidade dos canadenses.”
Fonte:
https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/
As empresas sediadas no Canadá já podem embarcar no caminho para a conformidade abrangente com o consentmanager hoje. Basta clicar aqui e conferir nossa página dedicada à conformidade canadense.