O país conta com um total de 28 regulamentações — entre leis provinciais e federais — que tratam das questões de privacidade e proteção de dados. A legislação nacional referente a isso é a PIPEDA (Personal Information Protection and Electronic Documents Act, ou “Lei de Proteção de Informações Pessoais e Documentos Eletrônicos”).
Válida para todas as províncias do Canadá, a PIPEDA apresenta diretrizes referentes à coleta, tratamento e divulgação de dados pessoais coletados por empresas durante o exercício de suas atividades comerciais, assim como para transferências internacionais e inter-regionais de dados pessoais. Como complemento a ela, há legislações similares aplicáveis em Alberta, Colúmbia Britânica e Quebec.
Decretada no ano 2000, a PIPEDA opera sobre dez princípios de boas práticas a serem seguidos pelas empresas (bastante similares às bases da LGPD brasileira):
- as empresas são responsáveis pelos dados pessoais que coletaram e que usam;
- é preciso identificar os propósitos por trás de uma coleta de dados;
- é preciso ter o consentimento do titular para coleta, uso e compartilhamento de seus dados, salvo exceções previstas por lei;
- podem ser coletados somente os dados necessários dentro do propósito informado;
- os dados solicitados podem ser usados, divulgados e mantidos pela empresa apenas da maneira informada e enquanto cumprirem os propósitos;
- as informações pessoais devem ser verídicas e mantidas atualizadas;
- os dados devem ser protegidos sob medidas adequadas conforme a sensibilidade das informações;
- a organização precisa fornecer amplamente informações claras e detalhadas sobre suas políticas e práticas de segurança e proteção de dados;
- o titular dos dados tem o direito de receber informações sobre a existência de tratamentos de suas informações, assim como questionar se seus dados são verídicos e estão completos;
- o titular dos dados tem o direito de questionar as organizações que tratam e coletam suas informações pessoais, dentro dos nove princípios anteriores.
Além disso, segundo a legislação, o CEO será a pessoa com a mais alta autoridade dentro de uma organização e a primeira responsável pela proteção de informações e dados pessoais.
Neste sentido, é importante reforçar que as organizações familiarizadas com a legislação federal de privacidade do setor privado, a PIPEDA (Personal Information Protection and Electronic Documents Act – Lei de Proteção de Informações Pessoais e Documentos Eletrônicos), determina de forma diferente, onde a empresa deve designar uma pessoa responsável pela conformidade.
Independentemente do tamanho de sua empresa, do setor em que opera ou da natureza e volume de dados pessoais coletados, caso não haja a efetiva e formal nomeação do novo responsável pela privacidade da empresa, o nomeado será automaticamente o CEO.
As informações de contato do responsável pelos dados pessoais deverão ser publicados no site da organização, e penalidades por não conformidade geralmente são severas. As empresas podem ser responsabilizadas por multas penais de até US$ 25 milhões (ou, se maior, o valor correspondente a 4% do faturamento mundial do ano fiscal anterior).
A Lei de Privacidade de Quebec também incorpora uma penalidade mínima de US$ 1.000 em “punitive damages” por infrações que causem danos e sejam intencionais ou resultem de uma falta grave.
–
Fontes: https://blog.idwall.co/protecao-de-dados-cenario-mundial-das-leis/ e https://solutionhub.com.br/em-quebec-o-responsavel-pela-protecao-dos-dados-pessoais-e-o-ceo/