Se espera que el nuevo proyecto de ley de privacidad en Canadá refuerce la protección de la información personal de manera significativa.
Bill C-11, el nuevo proyecto de ley de privacidad en Canadá, también denominado “Ley de Implementación de la Carta Digital, 2020” ofrecerá a los canadienses un mayor control y transparencia cuando las empresas traten sus datos personales, y, por tanto, se espera así que se refuerce la protección de la información personal. Esta ley pretende reformular todo el marco de privacidad actual en Canadá. Tras la sentencia del TJUE en el caso “Schrems II” y con Estados Unidos revisando sus propia legislación de privacidad federal, los flujos de datos internacionales se encuentran en un momento delicado que podría motivar la introducción de nueva normativa en este sentido.
El proyecto de ley fue presentado por el Ministro de Ciencias de la Información y Desarrollo Económico, Navdeep Bains, quien destacó la importancia de interoperabilidad con la normativa de Europa y de Estados Unidos.
El Presidente de la Autoridad de Registro de Internet canadiense, Byron Holland, aplaudió el proyecto de ley y afirmó «Las empresas que tratan cantidades masivas de datos personales deben ser responsables de protegerlos, ofrecer transparencia sobre los usos y finalidades y afrontar las consecuencias reales en caso de que traicionen la confianza de sus usuarios”. El Ministro de Ciencias de la Información y Desarrollo Económico, Navdeep Bains indicó que «Dado el aumento progresivo de los canadienses en la tecnología, necesitamos un sistema por el cual los usuarios puedan conocer cómo se usan sus datos y qué control pueden ejercer sobre el tratamiento de los mismos… A fin de que Canadá tenga éxito y nuestras empresas pueden innovar en esta nueva realidad, necesitamos un sistema que se construya sobre la confianza, con normas claras y su respectiva imposición”. También señaló la importancia de la interoperabilidad de la normativa canadiense con la de Europa y la de Estados Unidos.
La nueva ley de privacidad en Canadá, si se aprueba, podría traer cambios significativos, incluida la posibilidad de multas elevadas a aquellas empresas que la infrinjan.
Si se aprueba la ley, se podrían imponer multas que alcanzarían la cantidad más alta entre el 5% del beneficio global o 25 millones de dólares canadienses, a aquellas empresas que la infrinjan. La Bill C-11 también incluye la Ley del Tribunal de Protección de la Privacidad y la Información Personal y la Ley de Privacidad del Consumidor. Esta ley también otorgaría al comisionado de privacidad federal el poder de emitir órdenes, incluida la habilidad para obligar a una organización a cumplir or imponer que deje de recoger o tratar datos personales.
La Ley de Implementación de la Carta Digital se centra en algunos principios clave, incluida la transparencia de los algoritmos, la movilidad de los datos, los datos anonimizados o pseudonimizados, la retirada de consentimiento y la eliminación de información personal.
La nueva Ley de Implementación de la Carta Digital se centra en algunos principios clave, incluida la transparencia de los algoritmos, la movilidad de los datos, los datos anonimizados o pseudonimizados, la retirada de consentimiento y la eliminación de información personal. En
este documento se aclaran en detalle algunas de las principales cuestiones alrededor de la Ley de Implementación de la Carta Digital, incluido el hecho sobre cómo esta nueva legislación podría promover un entorno digital sólido en Canadá.
¿Cuál es la relación entre la Ley de Implementación de la Carta Digital, 2020 (DCIA) y el RGPD?
Se habla mucho sobre la interoperabilidad entre la DCIA y el RGPD. Sin embargo, es interesante analizar cuál es la relación entre ambas en cuanto a los principios básicos. La siguiente tabla compara ambas normativas conforme a los principios clave de la DCIA.
Principios | DCIA | RGPD |
Consentimiento válido |
Las nuevas normas sobre consentimiento asegurarían que los interesados cuentan con la información suficiente, en un lenguaje claro, que les permitiese tomar decisiones informadas sobre el uso de sus datos personales. | Conforme al RGPD, el consentimiento de los interesados debe ser libre, informado, específico e inequívoco. El interesado debe otorgar su consentimiento mediante una clara acción afirmativa. |
Movilidad de los datos |
El proyecto de ley garantizaría que los interesados pudiesen solicitar la transferencia directa de sus datos de una organización a otra. Por ejemplo, los individuos contarían con el poder de solicitar a su banco que compartan su información personal con otra institución financiera. | El derecho a la portabilidad permite a los interesados obtener, reusar, mover, copiar o transferir sus datos personales para finalidades propias a través de diferentes servicios sin afectar a su usabilidad. Sin embargo, este derecho sólo se aplica a la información que el interesado ha entregado al responsable. |
Supresión de los datos y retirada del consentimiento |
La nueva Carta Digital permitiría a los sujetos solicitar que las organizaciones eliminasen sus datos personales y, en la mayoría de casos, también les permitiría retirar su consentimiento para el uso de sus datos personales. | El RGPD garantiza un derecho específico para que los interesados puedan retirar su consentimiento en cualquier momento, y debe ser tan sencillo hacerlo como lo fue otorgarlo, mediante un proceso simple de un solo paso. |
Transparencia del algoritmo |
Conforme a la DCIA, las empresas tendrían que ser transparentes sobre cómo utilizan sistemas de toma automatizada de decisiones como algoritmos e inteligencia artificial para adoptar predicciones, recomendaciones o decisiones en general. Los sujetos también tendrían el derecho de solicitar a las empresas que expliquen la lógica detrás de una decision específica tomada por dichos sistemas y detallar cómo se obtuvo. | El RGPD garantiza a los interesados el derecho derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en ellos o les afecte significativamente de modo similar. Hay algunas excepciones que permiten este tipo de tratamiento, aunque en esos casos se requiere la aplicación de medidas adicionales recogidas en el Artículo 22 del RGPD: “el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión”. |
Información pseudonimizada |
La información personal en la que ciertos identificadores directos como los nombres hayan sido eliminados, deberá protegerse del mismo modo y podrá usarse sin el consentimiento de los sujetos sólo en algunas circunstancias. | El artículo 6 (4) (e) permite el tratamiento de datos pseudonimizados para fines distintos de aquel para el que se recogieron, sujeto a algunas condiciones.. |