Il panorama della privacy canadese nel 2023 si sta evolvendo. In questo articolo, vi forniamo una panoramica degli ultimi sviluppi nel panorama canadese della protezione dei dati. In tal modo, copriamo i prossimi requisiti sulla privacy in Quebec, le nuove normative sull’IA, in particolare ai sensi del Consumer Privacy Act (Bill C-27) e ulteriori aggiornamenti sulla privacy da altre province canadesi riguardanti la regolamentazione dell’IA.
Se risiedi in Canada o fai affari in Canada, potresti dover assicurarti che la tua attività sia conforme alle imminenti modifiche della legislazione canadese.
Di seguito è riportata una panoramica dei dettagli e del potenziale impatto sulla tua attività.
Nuova fase dei requisiti sulla privacy del Quebec in vigore dal 22 settembre 2023
La legge sulla protezione delle informazioni personali del settore privato del Quebec (“PPIPS” ) è stata aggiornata in un secondo turno dal disegno di legge 64 , ora legge 25 , e dovrebbe entrare in vigore il 22 settembre 2023. A quel punto, le aziende che operano in Québec devono soddisfare i seguenti requisiti chiave, tra gli altri:
- La conduzione di una valutazione d’impatto sulla privacy (PIA) è ora obbligatoria: le organizzazioni devono ora condurre una PIA per ogni attività sensibile alla privacy. Cioè, se la tua azienda si impegna in attività sensibili alla privacy che comportano, tra le altre cose, la raccolta, l’elaborazione o l’archiviazione di dati personali, l’elaborazione di dati biometrici o la condivisione e la divulgazione di informazioni.
- Le politiche devono essere aggiornate: le aziende devono ora offrire agli utenti la possibilità di conservare o eliminare i propri dati personali. La politica aggiornata deve ora spiegare i ruoli e le responsabilità dei dipendenti che gestiscono le informazioni personali durante tutto il loro ciclo di vita e anche il modo in cui l’azienda gestisce i reclami.
- Altri diritti per le persone : la legge 25 stabilisce i diritti delle persone, tra cui il diritto alla portabilità dei dati, al processo decisionale automatizzato, alla profilazione dei dati e all’oblio. Gli individui hanno ulteriori diritti di revocare l’ulteriore elaborazione e divulgazione dei propri dati personali.
- Accordi sul trattamento dei dati con i fornitori di servizi che contengono disposizioni specifiche: il legislatore 64 richiede alle organizzazioni che non lo hanno ancora fatto di stipulare accordi scritti sul trattamento dei dati con i fornitori di servizi con cui condividono i dati personali.
- Sanzioni: analogamente alle leggi europee sulla protezione dei dati, come il GDPR, le nuove leggi canadesi sulla protezione dei dati prevedono sanzioni fino a $ 50.000 a persona e fino a $ 10.000.000 o il 2% delle entrate mondiali dell’anno precedente di un’azienda, a seconda di quale sia maggiore.
Nuovi regolamenti sull’IA ai sensi del Consumer Privacy Act (Bill C-27):
Il disegno di legge canadese C-27, il Consumer Privacy Protection Act, entra in seconda lettura sin dal suo inizio nel giugno 2022. Questa legislazione, che non è ancora entrata in vigore, sostituirà l’attuale legislazione sulla privacy del Personal Information Protection and Electronic Documents Act (“PIPEDA”) e insieme il Consumer Privacy Protection Act (“CPPA”), il Personal Information and Data Protection Tribunal Act (“PIDPTA”) e l’Artificial Intelligence and Data Act (“AIDA”).
Allo stesso modo, l’Office of the Privacy Commissioner of Canada (OPC) ha formulato 15 importanti raccomandazioni sul disegno di legge C-27. Questi includono il riconoscimento della privacy come diritto fondamentale, il diritto di accedere ai dati personali, la creazione di una cultura della privacy nelle organizzazioni per sviluppare prodotti e servizi basati sul principio della “privacy by design” e l’obbligo per le organizzazioni di monitorare le proprie decisioni e la creazione di profili sistemi decisionali automatizzati da spiegare su richiesta.
AIDA , un nuovo regolamento che risponde al panorama mutevole e in rapida evoluzione dell’intelligenza artificiale (IA), imporrà nuove leggi sull’uso dei sistemi di intelligenza artificiale. Pertanto, se fai affari in Canada, è importante che inizi a pensare ora a come la tua azienda utilizza l’intelligenza artificiale e quali misure stai adottando per proteggere la privacy e le informazioni personali dei tuoi utenti. Analogamente alle precedenti leggi sulla privacy, AIDA richiede di spiegare quali dati raccogli, come li raccogli e che le persone possono richiedere l’accesso a tali dati. Devono spiegare come funziona l’algoritmo ed essere disposti a divulgare informazioni in modo trasparente. Ciò vale anche per fornitori terzi che utilizzano sistemi di intelligenza artificiale.
Il disegno di legge C-27 è attualmente in seconda lettura e probabilmente subirà diverse modifiche prima di diventare ufficialmente legge.
Altri stati canadesi stanno seguendo l’esempio nella regolamentazione dei sistemi di intelligenza artificiale:
Da maggio, i commissari per la privacy canadesi e, a livello federale, i commissari per la privacy di Quebec, British Columbia e Alberta hanno avviato congiuntamente un’indagine su OpenA I, la società dietro il chatbot ChatGPT basato sull’intelligenza artificiale.
Tra le altre cose, esamina se OpenAI ha ottenuto un consenso valido e appropriato per la raccolta e l’utilizzo di dati personali da parte di ChatGPT da parte di residenti canadesi, se ha rispettato i suoi obblighi di trasparenza e responsabilità e se i dati personali raccolti si basano sul per lo specificato e gli scopi previsti sono limitati nella misura necessaria.
Una dichiarazione di Philippe Dufresne, commissario per la privacy del Canada, segnala la volontà del Canada di stare al passo con le tecnologie in evoluzione come l’intelligenza artificiale, mettendo la privacy in prima linea.
“L’intelligenza artificiale e il suo impatto sulla privacy sono questioni globali che sono di fondamentale importanza per le autorità di regolamentazione della privacy in Canada e in tutto il mondo. In qualità di regolatori, dobbiamo tenere il passo e stare al passo con i rapidi progressi tecnologici per proteggere i diritti fondamentali alla privacy dei canadesi”.
Fonte:
https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/
Le aziende con sede in Canada possono già intraprendere il percorso verso una conformità completa con consentmanager . Basta fare clic qui per vedere la nostra pagina dedicata alla conformità canadese.