PIPEDA: legge sulla protezione delle informazioni personali e sui documenti elettronici

Il Canada's Personal Information Protection and Electronic Documents Act (PIPEDA) è una legge federale del settore privato che stabilisce come le organizzazioni raccolgono e utilizzano i dati personali.

Di seguito, parlerò di tutto ciò che riguarda il PIPEDA, compresi i soggetti a cui si applica, le sanzioni in caso di violazione della legge e l'impatto sulle aziende e sui consumatori.

Che cos'è il PIPEDA?

Il PIPEDA è la legge federale canadese sulla privacy che stabilisce le basi per la raccolta, l'elaborazione e l'utilizzo dei dati privati canadesi da parte delle organizzazioni.

In Canada esistono altre leggi che tutelano la privacy, tra cui le leggi provinciali e il Privacy Act che protegge i dati personali in possesso del governo federale, ma il PIPEDA è la legge principale per il settore privato.

Breve storia della legge

Nel novembre 2020, il governo canadese ha presentato un disegno di legge che avrebbe revisionato il PIPEDA e lo avrebbe sostituito con una nuova legislazione; tuttavia, tale disegno di legge non ha mai ricevuto il Royal Assent.

Nel settembre 2021, il governo ha indetto le elezioni e tutte le proposte di legge non approvate (compresa quella che avrebbe aggiornato il PIPEDA) sono morte sulla carta.

Di conseguenza, il PIPEDA non è stato rivisto o sostituito.

A chi si applica il PIPEDA?

Il PIPEDA si applica alle organizzazioni del settore privato in Canada che raccolgono, utilizzano o condividono informazioni personali nello svolgimento di attività commerciali.

Anche le organizzazioni canadesi che trasferiscono dati oltre i confini provinciali e nazionali devono essere conformi, indipendentemente dal luogo in cui operano e dalle leggi sulla privacy applicabili nella loro provincia.

Devono essere conformi anche le seguenti organizzazioni regolamentate a livello federale:

• Compagnie aeree e aeroporti
• Banche
• Società di telecomunicazioni
• Società di trasporto interprovinciale e internazionale

Chi è esente?

Le seguenti organizzazioni sono esenti dal PIPEDA, a meno che non svolgano attività commerciali che non fanno parte delle loro operazioni principali:

• Organizzazioni non profit
• Gruppi di beneficenza
• Partiti politici

Inoltre, anche le organizzazioni delle seguenti province sono esenti dalla Legge e sono invece soggette alle leggi provinciali sul settore privato che hanno un ambito di applicazione simile:

• Alberta: Legge sulla protezione delle informazioni personali (PIPA)
• Columbia Britannica: Legge sulla protezione delle informazioni personali (PIPA)
• Québec: Legge 25 del Quebec

Requisiti principali del PIPEDA

Di seguito, spiego alcuni dei principali requisiti del PIPEDA e il loro impatto sulle aziende.

I 10 principi dell'informazione corretta

Le organizzazioni che rientrano nel PIPEDA devono attenersi ai dieci principi di correttezza informativa, che delineano i diritti dei consumatori e gli standard per la raccolta e l'utilizzo delle informazioni personali.

Definizione legale di informazioni personali

Secondo il PIPEDA, le informazioni personali si riferiscono a qualsiasi informazione fattuale o soggettiva su un individuo identificabile, tra cui:

• Identificatori diretti come età, nome, numeri di carta d'identità.
• Informazioni soggettive come opinioni, valutazioni e azioni disciplinari.
• Dettagli sull'impiego, come file di dipendenti, record di credito e di prestiti
• Informazioni sulla salute personale
• Dati dei cookie

Non comprende leinformazioni personali gestite dalle organizzazioni governative federali elencate nella legge sulla privacy o le informazioni di contatto aziendali utilizzate per le comunicazioni dirette.

Requisiti per la notifica delle violazioni dei dati

Il PIPEDA impone alle aziende coperte di segnalare all'Office of the Privacy Commissioner (OPC) del Canada le violazioni di dati che comportano un "rischio reale di danno significativo", utilizzando un modulo di segnalazione di violazione PIPEDA.

Esempi di danni significativi sono:

• Danno fisico
• Danno reputazionale
• Perdita finanziaria
• Perdita di occupazione

Le organizzazioni devono informare le persone interessate della violazione il più presto possibile e conservare i registri di tutte le violazioni dei dati per due anni.

Diritti dei consumatori ai sensi del PIPEDA

Il PIPEDA dà ai canadesi il diritto di:

• accedere alle informazioni personali raccolte su di loro
• Correggere le informazioni personali
• revocare il consenso al trattamento dei propri dati personali
• Presentare un reclamo alle autorità sulle modalità di trattamento dei propri dati.

Impatto del PIPEDA sulle imprese

Il PIPEDA ha un impatto sulle aziende, in quanto impone loro di dotarsi di soluzioni di conformità alla privacy sui loro siti web e sulle loro applicazioni, come le informative sulla privacy e i banner sui cookie.

Queste soluzioni aiutano a mantenere gli utenti protetti adeguatamente informati, in modo che la vostra azienda soddisfi i principi di correttezza informativa delineati dalla legge.

Per soddisfare i requisiti di notifica e trasparenza, le aziende devono disporre di:

• Un'accurata informativa sulla privacy
• Una politica dei cookie aggiornata
• Un modo chiaro per gli utenti di presentare richieste per dare seguito ai loro diritti
• Un banner di consenso che ottiene e tiene traccia delle preferenze di consenso degli utenti.

Applicazione e sanzioni in caso di non conformità

Il PIPEDA viene applicato dall'Office of the Privacy Commissioner(OPC), che però non emette le multe vere e proprie.

Il gruppo conduce indagini in risposta alle denunce presentate ai sensi del PIPEDA e, nell'ambito delle sue conclusioni, emette raccomandazioni per il governo federale.

Questo può portare a un'azione penale federale e a multe fino a 100.000 CAD (79.815 USD).

Come Termly contribuisce alla conformità PIPEDA

Le aziende possono utilizzare il generatore di informativa sulla privacy diTermly per creare una policy personalizzata conforme al PIPEDA.

Il nostro generatore è supportato dal nostro team legale e da esperti di privacy dei dati ed è stato costruito per essere facile da usare per chiunque. Pone semplici domande sulla vostra azienda e sulle vostre attività di trattamento dei dati e crea una politica unica in base alle vostre risposte.

Forniamo anche una gestione del consenso Platform che può aiutarvi a soddisfare i requisiti di consenso opt-in e opt-out descritti dalla legge.

Riassunto

Per conformarsi al PIPEDA, le organizzazioni devono attenersi ai dieci principi di correttezza informativa, che stabiliscono le regole di base per le pratiche di trattamento dei dati.

Le aziende devono creare una politica sulla privacy che illustri il loro impegno a mantenere i dati degli utenti al sicuro e garantire che le violazioni dei dati siano segnalate all'OPC e agli utenti interessati il prima possibile.

Per comprendere meglio i requisiti di conformità del PIPEDA, leggete la legislazione PIPEDA o visitate il sito web dell 'OPC per consultare le varie risorse relative al PIPEDA.

Per saperne di più su chi scrive

Scritto da Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy è un avvocato specializzato in privacy con precedenti esperienze in materia di privacy e cybersecurity nel settore pubblico e privato. In qualità di ex Westin Fellow presso l'IAPP, ha pubblicato diversi articoli, white paper e infografiche e ha condotto, coordinato e moderato webinar e panel, tutti riguardanti la privacy e la tecnologia della privacy negli Stati Uniti. Anokhy ha conseguito un master presso la Carnegie Mellon University e un dottorato in giurisprudenza presso l'Università di Pittsburgh. Per saperne di più su chi scrive