Reformas de privacidade no Canadá: 5 requisitos essenciais sobre informações pessoais

Apesar do hábito moderno de compartilhar cada momento da vida online para todos verem, ainda existem muitas coisas que gostaríamos — e precisamos — manter privadas: registros financeiros e médicos, dados de localização e informações de identidade, para citar alguns exemplos. No entanto, fomos condicionados a aceitar a distribuição incessante desses dados ao redor do mundo, para destinos e fins desconhecidos.
As leis de privacidade, por outro lado, buscam estruturar o uso seguro e adequado dessas informações e responsabilizar aqueles que não o fazem. Se você possui dados, se você os detém ou mesmo se apenas instrui outros a usá-los, então você é responsável pelo acesso e pela destinação desses dados.
Aqui, analisaremos três dessas legislações e requisitos para empresas que fazem negócios no Canadá ou que processam informações pertencentes a cidadãos canadenses: PIPEDA, CPPA e a Lei 25 de Quebec.
Desenvolvimentos na legislação de privacidade do Canadá
A partir de 2021, novas regulamentações entrou em vigor em todo o Canadá (por exemplo, Projeto de Lei 64 de Quebec e Lei de Implementação da Carta Digital de 2022), com a maioria das principais disposições entrando em vigor sucessivamente a cada setembro; a seção final entra em vigor em setembro de 2024 e inclui pontos sobre portabilidade de dados. Essas atualizações (ou seja, “reformas”) refletem mudanças nas expectativas do público sobre como suas informações são usadas, compartilhadas e armazenadas.
Vamos começar com uma revisão geral de três regulamentações importantes sobre privacidade de dados:
- A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (Personal Information Protection and Electronic Documents Act - PIPEA)PIPEDA)—originalmente promulgada em abril de 2000 para proteger informações pessoais, como dados de saúde (PHIA Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA), que abrange tanto a proteção de dados pessoais quanto financeiros, tem sido a pedra angular da regulamentação da privacidade no Canadá por mais de vinte anos. A PIPEDA visava promover o comércio eletrônico, protegendo informações pessoais e "prevendo o uso de meios eletrônicos para comunicar ou registrar informações ou transações". Em outras palavras, as promessas da internet também criaram riscos significativos, tornando necessária a intervenção legal para proteger os usuários e monitorar/denunciar vazamentos de dados.
- A Lei de Proteção da Privacidade do Consumidor (Consumer Privacy Protection Act)CPPAA Parte 1 da Lei de Implementação da Carta Digital de 2022 (que substituirá a PIPEDA) atualiza muitos dos princípios fundamentais com diretrizes mais abrangentes, penalidades ainda mais severas e começa a abordar tecnologias emergentes, como a inteligência artificial (IA). Essas mudanças alinharão a PIPEDA com muitas das... Regulamento Geral sobre a Proteção de Dados (RGPD) da UE requisitos, incluindo transferências transfronteiriças.
- A Lei de Quebec (Projeto de Lei 64A Lei 64 também visa modernizar a PIPEDA nessa região, estabelecendo diretrizes prescritivas atualizadas para avaliações de privacidade, revisões de sistemas, relatórios de violação de dados e tratamento de dados (por exemplo, consentimento, o “direito ao esquecimento” e anonimização/destruição para remover dados pessoais). Semelhante à CPPA, a Lei 64 exige responsabilização em nível executivo pela conformidade e pelos requisitos relacionados à privacidade. transferências transfronteiriças.
5. Requisitos de Informações Pessoais
Cada ato legislativo consiste em ações críticas que as empresas devem tomar como parte de suas operações de segurança de dados:
- Responsabilidade (PIPEDA 4.1 – Princípio 1Uma organização é responsável pelas informações pessoais sob seu controle. Como mencionado anteriormente, isso significa capacitar certos indivíduos para supervisionar a coleta e o processamento adequados de dados sensíveis no dia a dia. Sua organização “deve implementar políticas e práticas para dar efetividade aos princípios, incluindo a implementação de procedimentos para proteger informações pessoais, responder a reclamações e treinar a equipe para explicar as políticas e os procedimentos da organização”.
- Limitação de Uso, Divulgação e Retenção (PIPEDA 4.5 – Princípio 5) — "informações pessoais não devem ser usadas ou divulgadas para fins diferentes daqueles para os quais foram coletadas, exceto" mediante consentimento ou exigência legal. Esses dados devem ser retidos "apenas pelo tempo necessário para o cumprimento desses fins". Para atender a esse requisito, você deve documentar as diretrizes e os procedimentos sobre os controles relativos aos períodos de retenção e ao acesso mínimo do usuário (LUA).
- Salvaguardas (PIPEDA 4.7 – Princípio 7) — a aplicação das diretrizes de uso de dados é realizada por meio de “salvaguardas de segurança adequadas à sensibilidade da informação”. Essencialmente, trata-se de identificar e classificar os dados para que seja possível protegê-los por meio de controle de acesso e criptografia com base na “quantidade, distribuição, formato da informação e método de armazenamento”. Quanto mais sensível for a informação, mais rigorosos serão os controles, como “medidas organizacionais [e] autorizações de segurança”. Isso inclui a destruição e o descarte adequados (automatizados) dos dados.
- Desidentificação—Projeto de Lei C-27 A PIPEDA acrescenta “novos requisitos para o uso de informações anonimizadas e proibições de reidentificação”. Isso ocorre porque mesmo dados que foram Informações anonimizadas ainda são consideradas informações pessoais.e está sujeito às obrigações de qualquer pessoa que armazene ou compartilhe esses dados com terceiros ou para outros fins.
- As Avaliações de Impacto sobre a Privacidade (AIPs, na sigla em inglês, conforme a Lei 25 do Quebec) são procedimentos obrigatórios para garantir que tanto as informações quanto os sistemas de coleta sejam examinados regularmente e atendam aos requisitos de confidencialidade. Uma avaliação de privacidade inclui a identificação de riscos, a documentação/relatório de violações e a compreensão de quaisquer danos que possam ser causados pelo uso ilegal de dados. A AIP ajuda a prevenir violações ao definir o “sistema para destruir ou anonimizar informações pessoais assim que a finalidade para a qual foram coletadas for atingida”, ou seja, o esquecimento.
Como a Cyera apoia os esforços de conformidade
Preparar-se para cumprir as novas leis de privacidade não é tarefa fácil. A Cyera oferece a base para uma defesa eficaz contra violações, fornecendo descoberta de dados abrangente, contexto sobre os controles de segurança atuais, identificação de usuários com acesso aos dados e propriedades dos dados, como idade, tipo e métricas de retenção.
Com o Cyera, você pode criar automaticamente um inventário de dados sensíveis para saber o que possui, onde está e quais os riscos associados. Um inventário de dados é o ponto de partida para garantir a responsabilização, o uso adequado, a aplicação de medidas de segurança e a realização de Avaliações de Impacto sobre a Proteção de Dados (PIA), pois é fundamental saber o que você tem para protegê-lo.
Para ajudar você a documentar ainda mais sua conformidade, o Cyera permite auditar os controles de segurança em dados sensíveis, revelando se os dados estão criptografados, tokenizados, com hash ou em texto simples. Você poderá entender os usuários, funções, permissões e intenção de uso para aplicar adequadamente o princípio do menor privilégio no acesso aos dados. Além disso, o monitoramento do acesso ao armazenamento de dados, registros, backups e configurações incorretas que possam expor dados sensíveis garante a responsabilidade pela gestão adequada dos dados.
Ignorar vulnerabilidades e conceder acesso excessivamente permissivo que pode levar à perda de dados, ou manter informações pessoais além do período de retenção necessário, representam riscos para sua organização. A Cyera identifica os usuários que têm acesso aos dados e gera relatórios sobre isso. fins para esse acessoSe os dados dos seus clientes estiverem desatualizados (além do permitido pela sua política de retenção) ou estiverem associados a um ex-funcionário, a Cyera identificará a presença desses dados.
A Cyera adota uma abordagem de segurança centrada em dados, avaliando a exposição dos seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto de dados profundo e holístico em todo o seu ambiente de dados, somos a única solução capaz de capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e a tomar medidas imediatas para remediar as exposições e garantir a conformidade sem interromper os negócios.
Veja como a Cyera pode ajudar você a atingir seus objetivos de privacidade de dados e aprimorar sua conscientização sobre segurança cibernética. agendar uma demonstração hoje.

