Canadá Conformidade PIPEDA: Guia de privacidade para negócios digitais

A estrutura de privacidade do Canadá para organizações do setor privado - baseada na Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) - está passando por sua transformação mais significativa desde que a lei entrou em vigor em 2004. Embora a PIPEDA continue sendo o padrão federal, a Lei 25 de Quebec (Lei que Respeita a Proteção de Informações Pessoais no Setor Privado, conforme reformada em 2021-2023) estabeleceu uma nova referência para a privacidade provincial canadense, e a proposta da Lei Federal de Proteção à Privacidade do Consumidor (CPPA) acabará por substituir o PIPEDA por uma estrutura mais forte e influenciada pelo GDPR.

Compreender a atual estrutura de privacidade em camadas do Canadá – PIPEDA federal, leis provinciais em Quebec, Alberta e Colúmbia Britânica e Lei 25 de Quebec – é essencial para qualquer empresa digital que opere ou atenda consumidores canadenses.

Principais conclusões

• PIPEDA se aplica a organizações do setor privado que coletam, usam ou divulgam informações pessoais no curso de atividades comerciais — com aplicação extraterritorial
• A Lei 25 de Quebec (totalmente em vigor em setembro de 2023) é mais rigorosa que a PIPEDA e tem requisitos de consentimento, direitos e avaliação semelhantes aos do GDPR
• Dez princípios de informação justa (do padrão CAN/CSA Q830) regem a conformidade com PIPEDA
• A notificação obrigatória de violação da PIPEDA exige comunicação ao OPC e notificação aos indivíduos dentro de 72 horas após a determinação de um "risco real de dano significativo"
• A Lei de Proteção à Privacidade do Consumidor (CPPA) eventualmente substituirá a PIPEDA — monitorar para promulgação
• O Gabinete do Comissário de Privacidade (OPC) pode investigar e recomendar conformidade, mas não pode impor multas diretamente - o projeto de lei C-27 propõe alterar isso
• A Commission d'accès à l'information (CAI) de Quebec pode impor multas de até 4% do faturamento mundial ou CAD$ 25 milhões de acordo com a Lei 25
• O consentimento sob o PIPEDA deve ser significativo, mas o PIPEDA reconhece o consentimento expresso e implícito em contextos apropriados

---

Visão geral da estrutura de privacidade canadense

Federal: PIPEDA

PIPEDA (Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, 2004) é a lei federal de privacidade do setor privado do Canadá. Aplica-se a:

• Organizações do setor privado em setores regulamentados federalmente (bancos, telecomunicações, transporte interprovincial, radiodifusão) — independentemente da província
• Organizações do sector privado em todas as províncias sem legislação provincial substancialmente semelhante — para informações recolhidas, utilizadas ou divulgadas no decurso de actividades comerciais

Jurisdições isentas: Quebec, Alberta e Colúmbia Britânica têm leis provinciais consideradas substancialmente semelhantes à PIPEDA. Nestas províncias, o PIPEDA ainda se aplica a actividades regulamentadas a nível federal e a fluxos interprovinciais/transfronteiriços. A Lei 25 de Quebec acrescenta outros requisitos.

Leis Provinciais

Quebec (Lei de Respeito à Proteção de Informações Pessoais no Setor Privado, Lei 25): Aplica-se a empresas que coletam informações pessoais durante o exercício de uma empresa em Quebec. As reformas da Lei 25 (implementadas nas fases 2022–2023) fortaleceram significativamente os requisitos do Quebec para além do PIPEDA.

Alberta (Lei de Proteção de Informações Pessoais — PIPA): Substancialmente semelhante ao PIPEDA; aplica-se às atividades provinciais de organizações privadas sediadas em Alberta.

Colúmbia Britânica (Lei de Proteção de Informações Pessoais — PIPA BC): Estrutura semelhante; aplica-se às atividades provinciais de organizações privadas sediadas em BC.

Ontário, Manitoba, Saskatchewan: Nenhuma lei provincial substancialmente semelhante – aplica-se PIPEDA.

A Proposta de Lei de Proteção à Privacidade do Consumidor (CPPA)

O projeto de lei C-27 (proposta de legislação, apresentada em junho de 2022) promulgaria a Lei de Proteção à Privacidade do Consumidor, substituindo PIPEDA por:

• Requisitos de consentimento influenciados pelo GDPR
• Transparência algorítmica e direitos de tomada de decisão automatizada
• Direitos de mobilidade de dados
• Penalidades significativamente melhoradas: até 3% da receita global ou CAD 10 milhões de dólares (Nível 1); 5% da receita global ou CAD$ 25 milhões (Nível 2)
• Um Tribunal de Privacidade independente para julgar decisões OPC
• Proteções explícitas de privacidade das crianças

No início de 2026, o CPPA não foi promulgado. As empresas devem monitorizar o progresso legislativo e conceber programas de conformidade que possam ser adaptados ao novo quadro quando promulgado.

---

Os Dez Princípios de Informação Justa da PIPEDA

O PIPEDA é baseado nos dez princípios do Código Modelo para a Proteção de Informações Pessoais da Associação Canadense de Padrões (CAN/CSA Q830):

Consentimento sob PIPEDA: O Princípio 3 requer consentimento significativo — os indivíduos devem compreender com o que estão consentindo. O consentimento pode ser expresso (explícito, escrito ou oral) ou implícito (quando o propósito é óbvio e o indivíduo razoavelmente o esperaria). O consentimento implícito é apropriado para informações menos sensíveis e utilizações de menor risco. O consentimento expresso é necessário para informações confidenciais e para usos que os indivíduos não esperariam.

O OPC constatou consistentemente que o “consentimento agrupado” (uma caixa de seleção para múltiplas finalidades) e o “consentimento presumido” (enterrando práticas de dados em termos e condições densos) não constituem consentimento significativo.

---

Lei 25 de Quebec: Requisitos mais rígidos

A Lei 25 de Quebec (Lei para Modernizar as Disposições Legislativas no que diz respeito à Proteção de Informações Pessoais) representa a reforma provincial de privacidade mais significativa no Canadá. Implementado em três fases:

Fase 1 (setembro de 2022): Notificação obrigatória de violação, requisitos de governança, designação de responsável pela privacidade, políticas de cronograma de retenção

Fase 2 (setembro de 2023): Avaliações de impacto na privacidade, novos direitos individuais (acesso, correção, portabilidade, objeção à criação de perfis), padrões de consentimento, requisitos de transparência para tomada de decisão automatizada

Fase 3 (setembro de 2023, continuação): Direitos de portabilidade de dados, direitos de desindexação (direito ao esquecimento), avaliações de impacto de proteção de transferência transfronteiriça

Principais Requisitos da Lei 25 Além do PIPEDA

Avaliações de impacto na privacidade (PIAs): obrigatórias antes de qualquer projeto que envolva coleta, uso ou comunicação de informações pessoais. O PIA deve ser comunicado ao CAI para projetos de alto risco.

PIAs de transferência transfronteiriça: Antes de comunicar informações pessoais fora de Quebec, as empresas devem realizar uma avaliação de impacto na proteção da privacidade usando critérios definidos pela CAI. Isto deve considerar a sensibilidade das informações, as proteções legais na jurisdição de destino e as medidas que serão aplicadas para proteger as informações.

Direito à desindexação (direito ao esquecimento): Os indivíduos podem solicitar a remoção de hiperlinks anexados ao seu nome que divulguem informações pessoais quando: as informações não forem mais precisas, a pessoa for menor de idade ou não houver justificativa legítima para a indexação.

Transparência automática na tomada de decisões: Quando uma decisão baseada exclusivamente no processamento automatizado de informações pessoais é tomada com efeitos legais ou significativos, os indivíduos devem ser informados e ter o direito de solicitar revisão humana.

Padrões de consentimento: O consentimento deve ser claro, dado livremente e informado. Deve ser solicitado para cada finalidade específica. O consentimento implícito geralmente não é suficiente para Quebec – é necessária uma ação afirmativa e explícita.

Penalidades: A CAI pode impor multas de até CAD 25 milhões ou 4% do faturamento mundial (o que for maior) por infrações graves à Lei 25. A CAI iniciou a aplicação e emitiu suas primeiras decisões de penalidade.

---

Relatório de violação obrigatório sob PIPEDA

Os requisitos obrigatórios de comunicação de violações ao abrigo do PIPEDA (em vigor desde 1 de novembro de 2018) aplicam-se quando uma violação das salvaguardas de segurança cria um “risco real de danos significativos” aos indivíduos.

Danos significativos incluem: lesões corporais, humilhação, danos à reputação, perda de emprego, oportunidades comerciais ou profissionais, perdas financeiras, roubo de identidade, efeitos negativos no registro de crédito e danos a relacionamentos ou perda de confiança.

Requisitos de relatórios:

1. Relatar ao OPC: Assim que possível após determinar um risco real de dano significativo. Use o formulário de relatório de violação de dados do OPC.

2. Notificar os indivíduos afetados: Ao mesmo tempo que o relatório do OPC ou assim que possível. A notificação deve:

• Descrever as circunstâncias da violação
• Identificar quais informações pessoais estavam envolvidas
• Descrever as medidas tomadas para resolver a violação
• Explicar o que os indivíduos afetados podem fazer para se protegerem
• Fornecer informações de contato da organização

3. Notificar outras organizações: Quando outra organização puder reduzir o risco de danos (por exemplo, agências de crédito, autoridades policiais), notifique-as.

Manutenção de registros: Mantenha registros de todas as violações (independentemente de ter sido determinado ou não um risco real de dano significativo) por 24 meses. OPC pode solicitar esses registros.

Requisitos de violação da Lei 25 de Quebec: Os próprios requisitos de notificação de Quebec se aplicam a empresas em Quebec. A Lei 25 exige a notificação ao CAI no prazo de 72 horas após tomar conhecimento de um incidente de confidencialidade envolvendo informações pessoais que apresentem risco de dano, utilizando o formulário prescrito pelo CAI.

---

Transferências de dados e responsabilidade

O princípio de responsabilidade da PIPEDA (Princípio 1) se estende ao tratamento de dados de terceiros: as organizações são responsáveis ​​pelas informações pessoais sob sua custódia, inclusive quando transferidas a terceiros para processamento. Os contratos com processadores devem fornecer proteção comparável.

Transferências internacionais: A PIPEDA não proíbe transferências internacionais de dados, mas exige que as organizações sejam responsáveis ​​por suas informações pessoais quando transferidas para o exterior. Use acordos contratuais para garantir proteção comparável. As diretrizes do OPC recomendam documentar os países para os quais os dados podem ser transferidos.

Restrições transfronteiriças da Lei 25 de Quebec: Quebec impõe uma estrutura de transferência transfronteiriça mais rigorosa, exigindo uma Avaliação de Impacto na Privacidade documentada antes de qualquer transferência para fora da província, considerando as proteções do destino, a confidencialidade das informações e as salvaguardas aplicadas.

---

Programa de gerenciamento de privacidade

As diretrizes do OPC recomendam a implementação de um programa abrangente de gestão de privacidade como base para a conformidade com o PIPEDA:

1. Governança de privacidade:

• Designar um Diretor de Privacidade com autoridade e experiência apropriadas
• Desenvolver e implementar políticas e procedimentos de privacidade
• Criar uma estrutura de governança de privacidade com responsabilidade clara

2. Gestão de riscos:

• Conduzir Avaliações de Impacto na Privacidade (PIAs) para programas, sistemas e atividades novos ou modificados
• Manter um registro de riscos para riscos de privacidade
• Integrar a revisão de privacidade no desenvolvimento de produtos e no gerenciamento de mudanças de TI

3. Quadro político:

• Política de Privacidade (voltada ao público)
• Política de Retenção e Eliminação de Dados
• Procedimento de resposta a violações
• Política de gerenciamento de fornecedores terceirizados
• Política de Privacidade de Funcionários

4. Treinamento e conscientização:

• Treinamento anual de privacidade para todos os funcionários
• Treinamento específico para funções para aqueles que lidam rotineiramente com informações pessoais
• Treinamento para novos funcionários no onboarding

5. Monitoramento e verificação:

• Auditorias regulares de privacidade
• Revisão periódica e atualização de PIAs
• Revisão anual das políticas de privacidade
• Monitoramento das orientações regulatórias do OPC, CAI e comissários provinciais de privacidade

---

Processo de aplicação e reclamações de OPC

O OPC (Gabinete do Comissário de Privacidade do Canadá) funciona principalmente como um ombudsman no âmbito da PIPEDA – investiga reclamações e faz recomendações, mas não pode impor multas diretamente. O cumprimento das recomendações do OPC não é legalmente obrigatório no atual PIPEDA, embora o OPC possa solicitar ao Tribunal Federal uma ordem judicial que imponha suas conclusões.

Processo de reclamação:

1. Indivíduo envia reclamação à organização (primeiro passo recomendado)
2. Indivíduo envia reclamação ao OPC (não é necessário contato prévio com a organização)
3. OPC tenta resolução antecipada; se não tiver sucesso, prossegue para uma investigação formal
4. OPC publica conclusões e recomendações
5. OPC pode recorrer à Justiça Federal para ordens que exijam cumprimento

Ordens judiciais podem incluir exigências para alterar práticas, destruir informações, publicar avisos e pagar indenizações.

Expansão dos poderes do OPC sob a proposta de CPPA: O projeto de lei C-27 daria ao OPC o poder de impor penalidades monetárias administrativas diretamente, executáveis ​​através do Tribunal de Privacidade. As multas chegariam a US$ 25 milhões ou 5% da receita global.

---

Lista de verificação de conformidade PIPEDA/Lei 25

• Aplicabilidade federal determinada (PIPEDA vs. lei provincial com base no setor e na província)
• [] Aplicabilidade da Lei 25 de Quebec avaliada (empresa que coleta PI no curso de seus negócios em Quebec)
• [] Diretor de privacidade designado e empoderado
• Política de Privacidade publicada, atualizada, acessível
• Coleta limitada ao razoavelmente necessário (Princípio 4)
• Consentimento obtido: expresso para informações sensíveis; significativo implícito para não sensível
• [] Registros de consentimento mantidos
• PIAs realizadas para novos projetos (Lei 25 obrigatória; OPC recomenda para PIPEDA)
• Avaliação de transferência transfronteiriça concluída (Lei 25: PIA exigida antes da transferência para fora da província)
• [] Os contratos de processador/fornecedor incluem requisitos de proteção comparáveis
• [] Cronograma de retenção de dados documentado e implementado
• [] Procedimento de solicitação de acesso documentado (resposta em 30 dias)
• [] Procedimento de solicitação de correção documentado
• [] Procedimento de resposta a violação documentado (relatório OPC + notificação individual)
• [] Registros de violação mantidos (24 meses)
• [] Procedimento de notificação de violação CAI para operações em Quebec (preliminar de 72 horas)
• [] Treinamento de funcionários concluído e documentado
• [] Transparência automatizada na tomada de decisões implementada (Lei 25)

---

Perguntas frequentes

O PIPEDA se aplica à minha empresa nos EUA que atende clientes canadenses?

PIPEDA aplica-se a organizações que coletam, usam ou divulgam informações pessoais no decorrer de atividades comerciais. Se a sua empresa nos EUA tiver um site que atende consumidores canadenses e coleta suas informações pessoais, o PIPEDA provavelmente se aplica – principalmente à coleta e uso dessas informações. A Lei 25 de Quebec se aplica a empresas que “realizam uma empresa em Quebec”, o que pode incluir a manutenção de um site acessível aos residentes de Quebec com intenções comerciais. A OPC investigou empresas não canadenses por violações da PIPEDA envolvendo dados de residentes canadenses.

Qual é a diferença entre PIPEDA e a Lei 25 de Quebec?

A Lei 25 de Quebec é geralmente mais rigorosa que a PIPEDA em diversas áreas principais: (1) Consentimento: a Lei 25 exige consentimento explícito e específico para a maior parte do processamento – a PIPEDA permite consentimento implícito para informações não confidenciais; (2) Transferências transfronteiriças: a Lei 25 exige uma Avaliação de Impacto na Privacidade formal antes das transferências para fora da província; A PIPEDA exige responsabilização, mas não exige um formato de avaliação prescrito; (3) Direitos: A Lei 25 inclui o direito à desindexação, portabilidade e objeção à criação de perfis — os direitos da PIPEDA são mais limitados; (4) Aplicação: a Lei 25 permite que a CAI imponha multas de até US$ 25 milhões ou 4% do faturamento mundial; O OPC da PIPEDA só pode solicitar ordens judiciais; (5) Avaliações de impacto na privacidade: obrigatórias pela Lei 25 para novos projetos; recomendado, mas não obrigatório pelo PIPEDA.

Como funciona o consentimento no PIPEDA para marketing por e-mail?

O consentimento da PIPEDA para marketing por e-mail também é regido pela Legislação Anti-Spam do Canadá (CASL), que opera junto com a PIPEDA. CASL exige consentimento expresso antes de enviar mensagens eletrônicas comerciais, a menos que se aplique uma isenção (relação comercial existente, consentimento expresso prévio). O consentimento expresso deve ser ativado (não caixas pré-marcadas). Uma relação comercial existente cria consentimento implícito sob CASL por 2 anos após uma transação. De acordo com o Princípio 3 da PIPEDA, o consentimento significativo para marketing deve identificar claramente a finalidade. Os requisitos específicos do CASL para e-mail comercial substituem o PIPEDA em casos de conflito — a conformidade com o CASL geralmente satisfaz os requisitos de consentimento do PIPEDA para fins de marketing por e-mail.

Quando é necessária uma Avaliação de Impacto na Privacidade (PIA)?

No âmbito do PIPEDA, os PIAs são fortemente recomendados pelo OPC para novos programas ou sistemas que envolvam informações pessoais – mas não são legalmente obrigatórios. De acordo com a Lei 25 de Quebec, os PIAs são obrigatórios antes da realização de qualquer projeto que envolva coleta, comunicação ou uso de informações pessoais, e antes de comunicar informações pessoais fora de Quebec. A CAI emite diretrizes da PIA e fornece modelos. Os departamentos do governo federal também são obrigados a realizar PIAs para programas que utilizam informações pessoais de canadenses. Na prática, as PIAs deveriam ser uma prática padrão para qualquer novo produto, recurso ou processo de negócios que envolva uma coleta significativa de dados pessoais.

O que é o "direito ao esquecimento" sob a Lei 25 de Quebec?

A Lei 25 de Quebec inclui o direito de desindexação – às vezes chamado de direito ao esquecimento ou direito ao esquecimento. Os indivíduos podem solicitar que uma empresa pare de disseminar informações pessoais ou desindexar qualquer hiperlink anexado ao seu nome se a disseminação: lhes causar danos e violar a lei; seja excessivo, irrelevante ou tenha sido objeto de cobrança ilícita; não é mais relevante para os fins para os quais foi coletado; ou a pessoa é menor. Isso difere do direito de apagamento do GDPR – ele visa especificamente a desindexação de hiperlinks, e não apenas a exclusão de dados subjacentes.

---

Próximas etapas

O cenário de privacidade do Canadá é mais complexo do que parece visto de fora – o PIPEDA federal, a Lei 25 de Quebec, as leis provinciais do PIPA e a proposta de reforma do CPPA criam um ambiente de conformidade em camadas. Para empresas digitais com operações ou usuários canadenses, construir um programa de privacidade abrangente que satisfaça o PIPEDA como base e a Lei 25 como o padrão mais alto é a abordagem mais eficiente.

A equipe da ECOSIRE ajuda as empresas a navegar pelos requisitos de privacidade canadenses, projetar plataformas digitais de privacidade desde o projeto e implementar sistemas de gerenciamento de consentimento que atendam aos requisitos da PIPEDA e da Lei 25 de Quebec.

Saiba mais: Serviços ECOSIRE

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. A lei canadense de privacidade está evoluindo através da legislação federal e da implementação da Lei 25 de Quebec. Consulte um consultor jurídico canadense qualificado para obter aconselhamento específico para sua organização.