Reformas de privacidad en Canadá: 5 requisitos de información personal que debe conocer

Jul 27, 2023
Share

A pesar de la costumbre actual de publicar cada momento de la vida en línea para que todos lo vean, todavía hay muchas cosas que deseamos —y debemos— mantener en privado: registros financieros y médicos, datos de ubicación e información de identidad, por mencionar algunos. Sin embargo, nos hemos acostumbrado a aceptar la distribución incesante de esos datos por todo el mundo, a destinos y con fines desconocidos.

Por otro lado, las leyes de privacidad buscan establecer un marco para el uso seguro y adecuado de dicha información y responsabilizar a quienes no lo hagan. Si usted posee datos, si los almacena o incluso si simplemente autoriza a otros a utilizarlos, entonces es responsable del acceso y la gestión de esos datos.

Aquí analizaremos tres de estas leyes y requisitos para las empresas que hacen negocios en Canadá o que procesan información perteneciente a ciudadanos canadienses: PIPEDA, CPPA y la Ley 25 de Quebec.

Novedades en la legislación canadiense sobre privacidad

A partir de 2021, nuevas regulaciones entró en vigor en todo Canadá (por ejemplo, Proyecto de Ley 64 de Quebec y Ley de Implementación de la Carta Digital de 2022), con la mayoría de las disposiciones principales incorporándose sucesivamente cada septiembre; la sección final se publicará en septiembre de 2024 e incluye puntos sobre la portabilidad de datos. Estas actualizaciones (es decir, “reformas”) reflejan los cambios en las expectativas del público sobre cómo se utiliza, comparte y almacena su información.

Comencemos con un repaso general de tres regulaciones importantes sobre privacidad de datos:

  • La Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA)—promulgada originalmente en abril de 2000 para salvaguardar información personal como la salud (FILa protección de datos personales y financieros ha sido la piedra angular de la regulación de la privacidad en Canadá durante más de veinte años. La PIPEDA tenía como objetivo promover el comercio electrónico protegiendo la información personal y "permitiendo el uso de medios electrónicos para comunicar o registrar información o transacciones". En otras palabras, las promesas de Internet también crearon riesgos significativos, por lo que se requirió la intervención legal para proteger a los usuarios y monitorear/denunciar las filtraciones.
  • La Ley de Protección de la Privacidad del Consumidor (CPPA, que es la Parte 1 de la Ley de Implementación de la Carta Digital de 2022), que reemplazará a PIPEDA, actualiza muchos de los principios básicos con directrices más completas, sanciones aún más severas y comienza a abordar tecnologías emergentes como la inteligencia artificial (IA). Estos cambios pondrán a PIPEDA en línea con muchos de los Reglamento General de Protección de Datos (RGPD) de la UE requisitos, incluidas las transferencias transfronterizas.
  • La Ley de Quebec (Proyecto de ley 64)—también está diseñado para modernizar la PIPEDA en esa región, estableciendo directrices prescriptivas actualizadas para evaluaciones de privacidad, revisiones de sistemas, informes de violaciones y manejo de datos (por ejemplo, consentimiento, el “derecho al olvido” y anonimización/destrucción para eliminar detalles personales). De manera similar a la CPPA, el Proyecto de Ley 64 exige responsabilidad a nivel ejecutivo para el cumplimiento y los requisitos relacionados con transferencias transfronterizas.

5 Requisitos de información personal

Cada acto legislativo consta de acciones fundamentales que las empresas deben llevar a cabo como parte de sus operaciones de seguridad de datos:

  1. Responsabilidad (PIPEDA 4.1 – Principio 1Una organización es responsable de la información personal bajo su control. Como se indicó anteriormente, esto implica facultar a ciertas personas para supervisar la recopilación y el procesamiento diarios adecuados de datos confidenciales. Su organización deberá implementar políticas y prácticas para dar efecto a estos principios, incluyendo la implementación de procedimientos para proteger la información personal, la respuesta a quejas y la capacitación del personal para que explique las políticas y los procedimientos de la organización.
  1. Limitación del uso, divulgación y retención (PIPEDA 4.5 – Principio 5): «la información personal no se utilizará ni divulgará para fines distintos de aquellos para los que fue recopilada, salvo con consentimiento o requerimiento». Dichos datos se conservarán «solo durante el tiempo necesario para el cumplimiento de esos fines». Para cumplir con este requisito, debe documentar las directrices y los procedimientos de control sobre los períodos de retención y el acceso mínimo del usuario (LUA).
  1. Salvaguardias (PIPEDA 4.7 – Principio 7): la aplicación de las directrices sobre el uso de datos se logra mediante «medidas de seguridad adecuadas a la sensibilidad de la información». Básicamente, se trata de identificar y clasificar los datos para poder protegerlos mediante el control de acceso y el cifrado, en función de «la cantidad, la distribución, el formato de la información y el método de almacenamiento». Cuanto más sensible sea la información, más estrictos serán los controles, como las «medidas organizativas y las autorizaciones de seguridad». Esto incluye la destrucción y eliminación de datos (automatizada) adecuadas.
  1. Desidentificación—Proyecto de ley C-27 agrega a PIPEDA “nuevos requisitos para el uso de información anonimizada y prohibiciones de reidentificación”. Esto se debe a que incluso los datos que han sido La información anonimizada sigue considerándose información personal.y está cubierto por las obligaciones de cualquier persona que almacene o comparta dichos datos con otras partes o para otros fines.
  1. Las evaluaciones de impacto en la privacidad (EIP, por sus siglas en inglés, Ley 25 de Quebec) son procedimientos obligatorios para garantizar que tanto la información como los sistemas de recopilación se examinen periódicamente y cumplan con los requisitos de confidencialidad. Una evaluación de privacidad incluye la identificación de riesgos, la documentación y notificación de infracciones, y la comprensión de cualquier daño que pudiera causar el uso ilícito de datos. La EIP ayuda a prevenir infracciones al definir el sistema para destruir o anonimizar la información personal una vez que se haya cumplido el propósito para el que fue recopilada, es decir, el olvido.

Cómo Cyera apoya los esfuerzos de cumplimiento normativo

Prepararse para cumplir con estas leyes de privacidad actualizadas no es tarea fácil. Cyera le brinda la base para defenderse eficazmente contra las filtraciones de datos mediante el descubrimiento integral de datos, el contexto de los controles de seguridad actuales, la identificación de usuarios con acceso a los datos y las propiedades de los datos, como la antigüedad, el tipo y las métricas de retención.

Con Cyera, puede crear automáticamente un inventario de datos confidenciales para saber qué datos posee, dónde se encuentran y los riesgos asociados. Un inventario de datos es fundamental para garantizar la rendición de cuentas, el uso adecuado, la aplicación de medidas de seguridad y la implementación de evaluaciones de impacto en la privacidad (PIA), ya que es necesario saber qué datos se poseen para protegerlos.

Para ayudarte a documentar mejor tu cumplimiento, Cyera te permite auditar los controles de seguridad de los datos confidenciales, revelando si están cifrados, tokenizados, hash o en texto plano. Podrás comprender los usuarios, roles, permisos y la intención de uso para aplicar adecuadamente el principio de mínimo privilegio al acceso a los datos. Además, la monitorización del acceso al almacén de datos, los registros, las copias de seguridad y las configuraciones incorrectas que podrían exponer datos confidenciales garantiza la responsabilidad en su gestión.

Ignorar las vulnerabilidades y el acceso demasiado permisivo que podría provocar la pérdida de datos, o mantener la información personal más allá del período de retención necesario, suponen riesgos para su organización. Cyera identifica a los usuarios que tienen acceso a los datos e informa sobre ellos. fines para ese accesoSi los datos de sus clientes están desactualizados (más allá de lo permitido por su política de retención) o están asociados con un exempleado, Cyera identifica la presencia de dichos datos.

Cyera adopta un enfoque de seguridad centrado en los datos, evaluando la exposición de sus datos tanto en reposo como en uso y aplicando múltiples capas de defensa. Gracias a que Cyera aplica un contexto de datos profundo e integral a todo su entorno de datos, somos la única solución que permite a los equipos de seguridad saber dónde se encuentran sus datos, qué los expone a riesgos y tomar medidas inmediatas para corregir las vulnerabilidades y garantizar el cumplimiento normativo sin interrumpir las operaciones comerciales.

Vea cómo Cyera puede ayudarle a alcanzar sus objetivos de privacidad de datos y mejorar su concienciación sobre ciberseguridad mediante Programar una demostración hoy.

Share