In questo articolo spieghiamo tutto sul regolamento canadese sulla protezione dei dati PIPEDA e sul prossimo regolamento CPPA. Nel prossimo articolo approfondiremo i cookie e il consenso.
Cos’è PIPEDA?
PIPEDA è l’abbreviazione di Personal Information Protection and Electronic Documents Act e fa riferimento al nuovo regolamento generale canadese sulla protezione dei dati. L’emendamento combina le due precedenti leggi canadesi sulla protezione dei dati Consumer Privacy Protection Act (CPPA) e Personal Information and Data Protection Tribunal Act (PIDPTA) in un regolamento completo equivalente al GDPR. Il riferimento al regolamento generale europeo sulla protezione dei dati può essere visto in molti punti di PIPEDA, motivo per cui viene spesso chiamato anche GDPR Canada.
Analogamente al GDPR, il Data Protection Act canadese regola il trattamento delle informazioni personali raccolte e archiviate nell’ambito delle attività commerciali. La legge sulla protezione delle informazioni personali e sui documenti elettronici PIPEDA è quindi importante per tutte le aziende che desiderano raggiungere i consumatori in Canada con servizi e prodotti , sia fissi che di vendita a distanza. Le attività commerciali ai sensi di PIPEDA sono tutte le transazioni e le azioni di origine commerciale o con intento commerciale.
PIPEDA si applica a società e organizzazioni regolamentate a livello federale e soggette alla legislazione canadese. La legge sulla protezione delle informazioni personali e sui documenti elettronici si applica anche al settore privato di ciascuna provincia, a meno che una provincia non abbia emanato una propria legge sulla protezione dei dati, che è sostanzialmente simile alla legge sulla protezione delle informazioni personali e sui documenti elettronici PIPEDA. Solo la Columbia Britannica, l’Alberta e il Quebec hanno leggi sulla privacy sostanzialmente simili alla legge PIPEDA sulla protezione delle informazioni personali e sui documenti elettronici . Se un’azienda ha sede nella Columbia Britannica, Alberta o Quebec, il Personal Information Protection and Electronic Documents Act si applica alle informazioni personali raccolte da quelle organizzazioni in cui gli usi commerciali delle informazioni superano i confini di quella provincia.
I 10 principi sulla privacy nella legge sulla protezione delle informazioni personali e sui documenti elettronici PIPEDA
Le aziende che devono conformarsi alle normative PIPEDA dovrebbero considerare i principi sulla privacy di questo GDPR per il Canada in modo tempestivo. 10 punti delineano i diritti e gli obblighi che le organizzazioni devono seguire quando conducono transazioni commerciali con i consumatori canadesi ai sensi del GDPR per il Canada :
- responsabilità
- stanziamento
- consenso
- Elusione dei dati ed economia dei dati
- Conservazione, utilizzo ed elaborazione
- precisione
- integrità e riservatezza
- trasparenza
- diritto di fornire informazioni
- diritto di ricorso
Chiunque abbia familiarità con il Regolamento generale sulla protezione dei dati riconoscerà già molti aspetti nella panoramica dei 10 principi di PIPEDA che si possono trovare anche nel GDPR dell’UE . Tuttavia, esistono differenze di dettaglio , anche e soprattutto per quanto riguarda il consenso alla raccolta dei dati personali. Diamo una rapida occhiata a ciascuno dei 10 punti:
1. Responsabilità
Il principio della responsabilità significa che, al di sopra di una certa dimensione, un’organizzazione deve nominare una persona responsabile della gestione dei dati raccolti e personali. Questa persona è chiamata responsabile della protezione dei dati nel GDPR – nella legge sulla protezione delle informazioni personali e sui documenti elettronici PIPEDA è chiamato Privacy Officer o Chief Privacy Officer (CPO) . Nelle aziende più piccole, il Privacy Officer può svolgere il proprio ruolo anche a tempo parziale . Il suo compito principale risiede nello sviluppo, attuazione e monitoraggio di procedure che soddisfino i requisiti di protezione dei dati secondo il PIPEDA . Inoltre, il responsabile della protezione dei dati deve ricevere e rispondere ai reclami sulla raccolta dei dati . Un’altra area importante è la formazione dei dipendenti e la comunicazione dei requisiti di protezione dei dati rilevanti per le singole aree di responsabilità. Qualora il consumatore abbia prestato il consenso al trattamento dei dati da parte di terzi, il Responsabile della Privacy è responsabile del rispetto degli obblighi PIPEDA da parte dei terzi.
2. Limitazione dello scopo
Perché l’azienda desidera memorizzare le informazioni personali di un cliente ? Lo scopo deve essere comunicato al consumatore al più tardi al momento della registrazione dei dati. La divulgazione crea trasparenza, ma rende anche più facile per l’azienda implementare un accesso specifico. Secondo PIPEDA, lo scopo della raccolta dei dati è da comunicare a ogni dipendente che entra in contatto con i clienti. Se, ad esempio, a un cliente viene chiesto l’indirizzo o il numero di telefono al momento dell’acquisto alla cassa, l’utilizzo delle informazioni sui dati gli deve essere spiegato su richiesta . Anche i moduli cartacei e i moduli online che raccolgono informazioni di identificazione personale dai clienti devono descrivere chiaramente lo scopo della raccolta. I dati personali raccolti non possono essere utilizzati per un nuovo scopo senza l’espresso consenso del cliente. Un’eccezione sono i requisiti legali che lo richiedono.
3. Consenso
Una società non deve raccogliere, utilizzare o divulgare dati personali senza la conoscenza e il consenso del cliente. L’intenzione di raccogliere i dati dei clienti deve essere comunicata in modo chiaro e inequivocabile. Se i dati personali sono richiesti in un modulo, non sono quindi consentite formulazioni ambigue. Una persona non sarà svantaggiata se rifiuta di fornire informazioni. Le aziende devono quindi mettere a disposizione i loro prodotti e servizi anche ai consumatori che non vogliono fornire dati che non siano correlati al prodotto o servizio. Ci sono alcune eccezioni: un’azienda può astenersi dal dare il consenso se ci sono ragioni legali o mediche per non farlo. Motivi di sicurezza possono valere anche per determinati prodotti. E se le informazioni vengono raccolte per le forze dell’ordine, si rinuncia anche al consenso. Il consenso può essere revocato anche nei casi in cui una persona sia minorenne, gravemente malata o handicappato mentale. Tuttavia, il consenso può essere dato anche da un rappresentante autorizzato.
Con il tipo di consenso si distingue tra:
- esplicito
- implicitamente
- decidere di uscire
In molti casi – come la registrazione online – come nel Regolamento generale europeo sulla protezione dei dati, anche qui è richiesto il consenso esplicito del consumatore. Di solito non è previsto un opt-out. Ad esempio, nessun segno di spunta o pulsante può essere preassegnato al Cookie Consent PIPEDA – equivalente alla normativa sui cookie nel GDPR. In linea di principio, il consenso non deve essere fornito per iscritto: è sufficiente il consenso verbale. Ad esempio, è sufficiente che un interessato dia il proprio consenso per essere inserito in una newsletter telefonicamente. Tuttavia , il consenso dato regolarmente al telefono rende più difficile per un’azienda fornire prove . In alcuni casi, il consenso può anche derivare direttamente dalle azioni del consumatore.
I consumatori possono revocare il proprio consenso in qualsiasi momento, fatte salve le limitazioni e le scadenze contrattuali e legali.L’azienda deve informare il cliente delle conseguenze della revoca del consenso.
4. Elusione dei dati ed economia dei dati
Il principio di limitare la raccolta dei dati alla quantità di dati richiesti per uno scopo è un principio che svolge un ruolo importante anche nel GDPR europeo. I dati personali raccolti da un’azienda dovrebbero essere limitati a quanto necessario per un’azione nell’ambito di un rapporto d’affari.
Secondo PIPEDA, inoltre, è da evitare la raccolta e l’archiviazione di dati personali non necessari. Il trattamento corretto e lecito dei dati, che si nasconde dietro la frase “Mezzi equi e leciti”, mira alla sovranità dei dati del cliente e alla necessità di processi trasparenti. Lo scopo per il quale devono essere raccolti determinati dati personali non deve essere oscurato da inganni o dichiarazioni ambigue.
5. Conservazione, utilizzo ed elaborazione
L’utilizzo dei dati registrati può circolare solo nel corridoio che il cliente conosce e al quale ha prestato il proprio consenso. La divulgazione o altro uso dei dati personali non è consentito ai sensi del regolamento generale canadese sulla protezione dei dati PIPEDA. I periodi di conservazione si basano sui requisiti aziendali e su altre normative legali. Il periodo minimo di conservazione consigliato per le aziende è di un anno. Questo periodo lascia all’azienda una capacità sufficiente per controllare e rispettare i requisiti di legge. Il periodo massimo di conservazione deve essere determinato e comunicato dalla società.
Non è consentita una conservazione illimitata dei dati: il consumatore deve essere informato su richiesta quando i suoi dati verranno eliminati in modo permanente. Se lo si desidera, i dati possono essere resi anonimi e distrutti in anticipo, tenendo conto delle scadenze. Inoltre, un’organizzazione deve essere in grado di rivelare chi ha ricevuto il consenso al trattamento dei dati e in che misura.
6. Precisione
Il principio di esattezza garantisce che i dati personali raccolti da un’azienda siano corretti, completi e aggiornati rispetto alle finalità per le quali vengono utilizzati.
Va tenuto presente che i dati raccolti devono essere utilizzati nel migliore interesse del consumatore.
La specificazione della correttezza nel PIPEDA non è importante solo per il rapporto tra azienda e cliente. Ad esempio, se un’organizzazione raccoglie dati personali al fine di verificare i profili dei candidati prima di un processo di assunzione, è necessario assicurarsi che una registrazione errata o incompleta non comporti svantaggi per i candidati.
Aggiornamento delle informazioni personali
L’aggiornamento automatico e regolare dei dati personali non è generalmente consentito. Questa linea guida nel PIPEDA si applica anche alle informazioni trasmesse a terzi.
7. Integrità e Riservatezza
Il principio di integrità e riservatezza implica che i dati personali devono essere protetti contro la perdita o il furto , l’accesso non autorizzato, la divulgazione, la copia, l’alterazione o l’uso non autorizzato. Questo principio si applica indipendentemente dal formato in cui i dati sono archiviati.
Adeguate misure di protezione
Lo sforzo dipende dalle dimensioni dell’azienda. Una piccola impresa che raccoglie gli indirizzi e-mail dei clienti per una newsletter online può archiviare gli indirizzi e-mail in un foglio di calcolo. Se la tabella è protetta con una password e ulteriormente crittografata in misura elevata, si può presumere una protezione adeguata.
Le grandi organizzazioni spesso gestiscono dati personali sensibili su larga scala, nonostante tutta l’economia dei dati. È anche più probabile che queste aziende siano bersagli per gli aggressori, quindi è necessario adottare precauzioni di sicurezza molto più forti qui.
Tutte le misure di sicurezza dovrebbero offrire una protezione superiore alla media dei dati personali da proteggere al fine di garantire un elevato livello di integrità.
Distruzione di informazioni personali
Se i dati personali devono essere eliminati o distrutti, può essere escluso il recupero basato sul giudizio umano e utilizzando standard tecnologici elevati per la distruzione dei dati. Ciò vale sia per la distruzione fisica di documenti cartacei che per la distruzione di database su moduli di memoria.
8. Trasparenza
Un’azienda deve rendere facilmente accessibili le proprie politiche e procedure per la gestione delle informazioni personali. I clienti devono quindi poter accedere a queste informazioni senza complicate deviazioni. Le risposte alle domande dei consumatori sulla protezione dei dati devono ricevere risposta in tempi ragionevoli e nel modo più diretto possibile . Le informazioni fornite devono essere formulate in modo generalmente comprensibile. La terminologia legale dovrebbe essere evitata.
Requisiti da PIPEDA
Secondo PIPEDA, un’organizzazione deve fornire questi dati su richiesta:
- Nome o titolo e indirizzo della persona responsabile delle politiche e delle pratiche dell’organizzazione ea cui possono essere indirizzati reclami o richieste.
- Modalità di accesso ai dati personali
- Tipologia di dati personali raccolti inclusa una descrizione del loro utilizzo.
- Informazioni scritte che spiegano le politiche e gli standard dell’organizzazione aziendale
9. Diritto all’informazione
Su richiesta, un’azienda deve fornire a una persona informazioni sui dati personali archiviati e sul loro utilizzo dopo l’autenticazione. Se un cliente dubita della correttezza o completezza dei dati personali, può insistere per modificare i dati registrati. Questo può significare correggere , eliminare o aggiungere dati .
eccezioni
Le informazioni sui dati personali possono essere rifiutate per vari motivi. Questo è il caso quando le informazioni sono soggette al privilegio avvocato-cliente o quando le informazioni commerciali riservate sarebbero divulgate.
Requisiti di autenticazione
Prima di concedere l’accesso ai dati personali, un’azienda deve assicurarsi di comunicare con la persona giusta.
Alcune organizzazioni lo fanno chiedendo un documento d’identità rilasciato dal governo. Se necessario, è possibile anche la verifica basata sulle informazioni sull’account in combinazione con altre informazioni come il cognome da nubile o una password memorizzata. Tuttavia, severi requisiti di autenticazione non devono costituire un ostacolo al diritto all’informazione.
Informazioni: tempi e costi
Le richieste di informazioni devono ricevere risposta in tempi ragionevoli e con un costo minimo o nullo per l’individuo. Entro e non oltre 30 giorni dal ricevimento della richiesta, deve essere data risposta. Se, eccezionalmente, un’azienda ha bisogno di più tempo per fornire informazioni, deve inviare alla persona una decisione provvisoria e fornire una motivazione plausibile per il ritardo.
10. Diritto di reclamo
Il diritto di ricorso ancorato in PIPEDA consente a clienti e consumatori di intraprendere azioni mirate contro le aziende in caso di violazione dei punti del DSVGO Canada.
Le aziende devono fornire procedure per ricevere e rispondere a reclami e richieste. Queste procedure dovrebbero essere semplici e facili da usare. Inoltre, ai sensi del GDPR Canada, le aziende sono tenute a seguire e indagare sui reclami anche se ritengono che il reclamo sembri infondato . Se il reclamo si rivela valido, devono essere adottate le misure correttive appropriate. Il responsabile della protezione dei dati della società è responsabile della ricezione dei reclami e dell’avvio delle procedure.
