Reformas de Privacidade do Canadá: 5 Requisitos Essenciais sobre Informações Pessoais

Apesar dos hábitos modernos das pessoas de postar cada momento de suas vidas online para todos verem, ainda há muitas coisas que gostaríamos de—devemos—manter privadas: registros financeiros e médicos, dados de localização e informações de identidade, para citar alguns. E, no entanto, fomos condicionados a aceitar a distribuição implacável desses dados ao redor do mundo para destinos e propósitos desconhecidos.

As leis de privacidade, por outro lado, buscam estruturar o uso seguro e apropriado de tais informações e responsabilizar aqueles que não o fazem. Se você possui dados, se você detém dados, ou mesmo se você apenas orienta outros a usar dados, então você é responsável (pelo acesso e pela disposição) desses dados.

Aqui veremos três dessas legislações e requisitos para empresas que fazem negócios no Canadá ou que processam informações pertencentes a cidadãos canadenses: PIPEDA, CPPA e Lei 25 de Quebec.

Desenvolvimentos da Lei de Privacidade do Canadá

A partir de 2021, novas regulamentações entraram em vigor em todo o Canadá (por exemplo, Projeto de Lei 64 de Quebec e Lei de Implementação da Carta Digital 2022), com a maioria das principais disposições entrando sucessivamente em vigor a cada setembro; a seção final entra em vigor em setembro de 2024, que inclui pontos sobre portabilidade de dados. Essas atualizações (ou seja, "reformas") refletem mudanças nas expectativas do público sobre como suas informações são usadas, compartilhadas e armazenadas.

Vamos começar com uma revisão de alto nível de três regulamentações importantes sobre privacidade de dados:

• A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA)—originalmente promulgada em abril de 2000 para proteger informações pessoais como dados de saúde (PHI) e financeiros, tem sido a pedra angular da regulamentação de privacidade no Canadá por mais de vinte anos. A PIPEDA tinha como objetivo promover o comércio eletrônico protegendo informações pessoais e "fornecendo meios eletrônicos para comunicar ou registrar informações ou transações". Em outras palavras, as promessas da Internet também criaram riscos significativos, então foi necessária uma intervenção legal para proteger os usuários e monitorar/relatar vazamentos.

• A Lei de Proteção da Privacidade do Consumidor (CPPA, que é a Parte 1 da Lei de Implementação da Carta Digital, 2022)—que substituirá a PIPEDA, atualiza muitos dos princípios fundamentais com diretrizes mais abrangentes, penalidades ainda mais severas e começa a abordar tecnologias emergentes como inteligência artificial (IA). Essas mudanças trarão a PIPEDA em conformidade com muitos dos requisitos do GDPR da UE, incluindo transferências transfronteiriças.

• A Lei de Quebec (Projeto de Lei 64)—também foi projetada para modernizar a PIPEDA naquela região, estabelecendo diretrizes prescritivas atualizadas para avaliações de privacidade, revisões de sistemas, relatórios de violação e tratamento de dados (por exemplo, consentimento, o "direito ao esquecimento" e anonimização/destruição para remover detalhes pessoais). Semelhante à CPPA, o Projeto de Lei 64 exige responsabilidade em nível executivo pela conformidade e requisitos relacionados a transferências transfronteiriças.

5 Requisitos de Informações Pessoais

Cada ato legislativo consiste em ações críticas que as empresas devem tomar como parte de suas operações de segurança de dados:

1. Responsabilidade (PIPEDA 4.1 – Princípio 1) — uma organização é responsável pelas informações pessoais sob seu controle. Conforme mencionado acima, isso significa capacitar determinados indivíduos para supervisionar a coleta e o processamento adequados de dados sensíveis no dia a dia. Sua organização "deve implementar políticas e práticas para efetivar os princípios, incluindo a implementação de procedimentos para proteger informações pessoais, responder a reclamações e treinar a equipe para "explicar as políticas e procedimentos da organização."

2. Limitação de Uso, Divulgação e Retenção (PIPEDA 4.5 – Princípio 5)—"informações pessoais não devem ser usadas ou divulgadas para fins diferentes daqueles para os quais foram coletadas, exceto" mediante consentimento ou exigência. Tais dados devem ser retidos "apenas pelo tempo necessário para o cumprimento desses fins". Para atender a este requisito, você deve documentar diretrizes e procedimentos sobre controles de períodos de retenção e acesso de usuário mínimo (LUA).

3. Salvaguardas (PIPEDA 4.7 – Princípio 7)—a aplicação de diretrizes de uso de dados é realizada por meio de "salvaguardas de segurança apropriadas à sensibilidade das informações". Essencialmente, identificar e classificar dados para que você possa implementar proteção por meio de controle de acesso e criptografia com base na "quantidade, distribuição, formato das informações e método de armazenamento". Quanto mais sensíveis forem as informações, mais rigorosos serão os controles, como "medidas organizacionais [e] autorizações de segurança". Isso inclui destruição e descarte de dados apropriados (automatizados).

4. Desidentificação—Projeto de Lei C-27 adiciona à PIPEDA "novos requisitos para o uso de informações desidentificadas e proibições de reidentificação". Isso ocorre porque até mesmo dados que foram anonimizados ainda são considerados informações pessoais, e estão cobertos pelas obrigações de qualquer pessoa que armazene ou compartilhe esses dados com outras partes ou para outros fins.

5. Avaliações de impacto de privacidade (PIAs na Lei 25 de Quebec)—são procedimentos obrigatórios para garantir que tanto as informações quanto os sistemas para coletá-las sejam regularmente examinados e atendam aos requisitos de confidencialidade. Uma avaliação de privacidade inclui a identificação de riscos, documentação / relato de violações e compreensão de qualquer dano que possa ser causado pelo uso ilegal de dados. A PIA ajuda a prevenir violações ao definir o "sistema para destruir ou anonimizar informações pessoais assim que o propósito para o qual foram coletadas tenha sido alcançado", ou seja, esquecimento.

Como a Cyera Apoia os Esforços de Conformidade

Preparar-se para cumprir essas leis de privacidade atualizadas não é uma tarefa simples. A Cyera oferece a base necessária para defender-se efetivamente contra violações, fornecendo descoberta holística de dados, contexto sobre os controles de segurança atuais, identificação de usuários com acesso a dados e propriedades de dados como idade, tipo e métricas de retenção.

Com a Cyera, você pode criar automaticamente um inventário de dados sensíveis para saber o que você tem, onde estão e os riscos associados. Um inventário de dados é o ponto de partida para garantir a responsabilidade, o uso apropriado, a aplicação de salvaguardas e a condução de PIAs, porque você precisa saber o que tem para poder protegê-lo.

Para ajudá-lo a documentar ainda mais sua conformidade, a Cyera permite auditar controles de segurança em dados confidenciais, revelando se os dados estão criptografados, tokenizados, com hash ou em texto simples. Você poderá entender os usuários, funções, permissões e intenção de uso para aplicar adequadamente o acesso de privilégio mínimo aos dados. E monitorar o acesso ao armazenamento de dados, registro, backups e configurações incorretas que possam expor dados confidenciais garante a responsabilidade pela gestão.

Negligenciar vulnerabilidades e acesso excessivamente permissivo que podem levar à perda de dados, ou manter informações pessoais além do período de retenção necessário, tudo isso representa riscos para sua organização. A Cyera identifica os usuários que têm acesso aos dados e relata sobre os propósitos desse acesso. Se os dados de seus clientes estiverem desatualizados (além do permitido pela sua política de retenção) ou estiverem associados a um ex-funcionário, a Cyera identifica a presença de tais dados.

A Cyera adota uma abordagem centrada em dados para segurança, avaliando a exposição de seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto profundo de dados de forma holística em toda a sua paisagem de dados, somos a única solução que pode capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e tomar medidas imediatas para remediar exposições e garantir a conformidade sem interromper os negócios.

Veja como a Cyera pode ajudá-lo a alcançar seus objetivos de privacidade de dados e aprimorar sua conscientização sobre segurança cibernética agendando uma demonstração hoje.