Reformas de privacidad de Canadá: 5 requisitos imprescindibles sobre información personal

A pesar de los hábitos modernos de la gente de publicar en línea cada momento de sus vidas para que todos lo vean, aún hay muchas cosas que nos gustaría—que debemos—mantener privadas: registros financieros y médicos, datos de ubicación e información de identidad, por nombrar algunas. Y, sin embargo, nos han condicionado a aceptar la distribución implacable de esos datos por todo el mundo hacia destinos y con fines desconocidos.

Las leyes de privacidad, por otro lado, buscan establecer una estructura para el uso seguro y adecuado de dicha información y responsabilizar a quienes no lo hagan. Si posees datos, si custodias datos, o incluso si simplemente diriges a otros a usar datos, entonces eres responsable de (el acceso a y la disposición de) esos datos. 

Aquí analizaremos tres de estas leyes y los requisitos para las empresas que hacen negocios en Canadá o que procesan información perteneciente a ciudadanos canadienses: PIPEDA, CPPA y la Ley 25 de Quebec.

Novedades de la ley de privacidad de Canadá 

A partir de 2021, nuevas regulaciones entraron en vigor en todo Canadá (p. ej., Proyecto de Ley 64 de Quebec y Ley de Implementación de la Carta Digital 2022), y la mayoría de las disposiciones principales se han ido incorporando sucesivamente cada septiembre; la sección final llega en septiembre de 2024 e incluye puntos sobre portabilidad de datos. Estas actualizaciones (es decir, “reformas”) reflejan cambios en las expectativas del público sobre cómo se utiliza, comparte y almacena su información.

Comencemos con una revisión muy general de tres regulaciones importantes sobre privacidad de datos:

• La Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA)—promulgada originalmente en abril de 2000 para salvaguardar información personal como la de salud (PHI) y la financiera—ha sido la piedra angular de la regulación de la privacidad en Canadá durante más de veinte años. PIPEDA buscó impulsar el comercio electrónico protegiendo la información personal y “previendo el uso de medios electrónicos para comunicar o registrar información o transacciones”. En otras palabras, las promesas de Internet también crearon riesgos significativos, por lo que se necesitó intervención legal para proteger a los usuarios y monitorear / reportar filtraciones.

• La Ley de Protección de la Privacidad del Consumidor (CPPA, que es la Parte 1 de la Ley de Implementación de la Carta Digital de 2022), la cual reemplazará a PIPEDA, actualiza muchos de los principios fundamentales con lineamientos más completos, sanciones aún más severas y comienza a abordar tecnologías emergentes como la inteligencia artificial (IA). Estos cambios alinearán a PIPEDA con muchos de los requisitos del RGPD de la UE, incluidas las transferencias transfronterizas.

• La Ley de Quebec (Proyecto de Ley 64) también está diseñada para modernizar la PIPEDA en esa región, estableciendo lineamientos prescriptivos actualizados para evaluaciones de privacidad, revisiones de sistemas, notificación de brechas y manejo de datos (p. ej., consentimiento, el “derecho al olvido” y anonimización/destrucción para eliminar datos personales). Al igual que la CPPA, el Proyecto de Ley 64 exige responsabilidad a nivel ejecutivo para el cumplimiento y requisitos en torno a transferencias transfronterizas.

5 Requisitos de información personal 

Cada acto legislativo incluye acciones clave que las empresas deben tomar como parte de sus operaciones de seguridad de datos:

1. Responsabilidad (PIPEDA 4.1 – Principio 1) — una organización es responsable de la información personal bajo su control. Como se indicó, esto significa facultar a ciertas personas para supervisar la recolección y el procesamiento apropiados de datos sensibles en el día a día. Su organización “deberá implementar políticas y prácticas para dar efecto a los principios, incluyendo implementar procedimientos para proteger la información personal, responder a quejas y capacitar al personal para “explicar las políticas y los procedimientos de la organización.”

2. Limitación del uso, la divulgación y la retención (PIPEDA 4.5 – Principio 5): "la información personal no debe utilizarse ni divulgarse para fines distintos de aquellos para los que fue recopilada, excepto" por consentimiento o por exigencia. Dicha información deberá conservarse "solo durante el tiempo necesario para cumplir con esos fines". Para cumplir con este requisito, debes documentar lineamientos y procedimientos sobre controles de periodos de retención y acceso mínimo por usuario (LUA).

3. Resguardos (PIPEDA 4.7 – Principio 7): hacer cumplir las directrices de uso de datos se logra mediante “medidas de seguridad adecuadas a la sensibilidad de la información”. En esencia, se trata de identificar y clasificar los datos para que puedas implementar protección mediante control de acceso y cifrado en función de “la cantidad, distribución, formato de la información y el método de almacenamiento”. Cuanto más sensible sea la información, más estrictos serán los controles, como “medidas organizacionales [y] autorizaciones de seguridad”. Esto incluye la destrucción y disposición (automatizadas) adecuadas de los datos.

4. Desidentificación: El Proyecto de Ley C-27 añade a la LPRPDE “nuevos requisitos para el uso de información desidentificada y prohibiciones sobre la reidentificación”. Esto se debe a que incluso los datos que han sido anonimizados siguen considerándose información personal, y están sujetos a las obligaciones de cualquier persona que almacene o comparta dichos datos con otras partes o para otros fines.

5. Las evaluaciones de impacto en la privacidad (PIA, por sus siglas en inglés, en la Ley 25 de Quebec) son procedimientos obligatorios para garantizar que tanto la información como los sistemas para recolectarla se examinen regularmente y cumplan con los requisitos de confidencialidad. Una evaluación de privacidad incluye identificar riesgos, documentar/informar violaciones y comprender cualquier perjuicio que pudiera causarse por el uso ilícito de datos. La PIA ayuda a prevenir violaciones al definir el “sistema para destruir o anonimizar la información personal una vez que se haya cumplido el propósito para el que fue recolectada”, es decir, el olvido.

Cómo Cyera respalda los esfuerzos de cumplimiento

Prepararse para cumplir con estas leyes de privacidad actualizadas no es tarea sencilla. Cyera te brinda la base para defenderte eficazmente contra filtraciones al proporcionar un descubrimiento integral de datos, contexto sobre los controles de seguridad actuales, la identificación de usuarios con acceso a los datos y propiedades de los datos como antigüedad, tipo y métricas de retención.

Con Cyera, puedes crear automáticamente un inventario de datos sensibles para saber qué tienes, dónde está y los riesgos asociados. Un inventario de datos es el punto de partida para garantizar la rendición de cuentas, el uso adecuado, la aplicación de salvaguardas y la realización de PIAs, porque necesitas saber qué tienes para poder protegerlo.

Para ayudarte a documentar mejor tu cumplimiento, Cyera te permite auditar los controles de seguridad sobre datos sensibles al mostrar si los datos están cifrados, tokenizados, con hash o en texto sin formato. Podrás entender a los usuarios, roles, permisos e intención de uso para aplicar de forma adecuada el principio de menor privilegio en el acceso a los datos. Además, monitorear el acceso a los almacenes de datos, los registros, las copias de seguridad y las configuraciones erróneas que podrían exponer datos sensibles garantiza la rendición de cuentas en la administración.

Pasar por alto vulnerabilidades y accesos excesivamente permisivos que podrían provocar pérdida de datos, o conservar información personal más allá del periodo de retención necesario, todos representan riesgos para tu organización. Cyera identifica a los usuarios que tienen acceso a los datos e informa sobre los propósitos de ese acceso. Si los datos de tus clientes están desactualizados (más allá de lo permitido por tu política de retención) o están asociados con un exempleado, entonces Cyera identifica la presencia de dichos datos.

Cyera adopta un enfoque centrado en los datos para la seguridad, evaluando la exposición de tus datos en reposo y en uso y aplicando múltiples capas de defensa. Debido a que Cyera aplica un contexto profundo de los datos de manera holística en todo tu panorama de datos, somos la única solución que puede empoderar a los equipos de seguridad para saber dónde están sus datos, qué los expone a riesgos y tomar medidas inmediatas para remediar exposiciones y asegurar el cumplimiento sin interrumpir el negocio.

Descubre cómo Cyera puede ayudarte a alcanzar tus objetivos de privacidad de datos y reforzar tu concientización en ciberseguridad al programar una demostración hoy mismo.