O que é PIPEDA? Tudo o que você precisa saber para compliance

Publicados: 2022-06-28

A privacidade de dados pode fazer ou quebrar seu negócio.

Muitas conformidades e padrões importantes foram desenvolvidos para dar aos consumidores controle sobre seus dados e proteger a privacidade. Ao lidar com dados de consumidores em geral, é importante entender as várias regulamentações, incluindo a mais recente adição ao bloco, PIPEDA, partes afetadas e penalidades por não conformidade.

Aqui está um mergulho mais profundo no PIPEDA, como ele se compara aos padrões de privacidade HIPAA e GDPR e como as organizações podem manter a conformidade com o PIPEDA.

O que é o PIPEDA?

A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) é uma lei canadense que recebeu aprovação real em 13 de abril de 2000 e entrou em vigor em etapas, a partir de 1º de janeiro de 2001. A lei foi totalmente promulgada em 1º de janeiro de 2004.

O PIPEDA permite que as empresas canadenses concorram na economia digital global, aliviando as preocupações com a privacidade do consumidor. A lei deve ser revisada a cada cinco anos para garantir uma legislação e resultados eficazes, como a proteção de informações pessoais.

Informações pessoais são quaisquer informações subjetivas ou factuais sobre um indivíduo identificável. Ele contém elementos como:

  • Informações pessoais de saúde (PHI)
  • Detalhes e arquivos de emprego
  • Registros de crédito e empréstimo
  • Informações subjetivas como avaliações e ações disciplinares
  • Identificadores diretos, como nome, idade e números de identificação

Qual é o objetivo do PIPEDA?

Os regulamentos de privacidade da PIPEDA estabelecem as regras básicas para que as empresas sujeitas à lei tratem de informações pessoais ao realizar atividades comerciais. O Escritório do Comissário de Privacidade do Canadá supervisiona a conformidade com a PIPEDA. Os deveres do OPC incluem ajudar as empresas a otimizar a forma como lidam com informações pessoais e investigar reclamações de privacidade de cidadãos canadenses.

O que influenciou o desenvolvimento do PIPEDA?

As leis são propostas e aprovadas por uma razão. Em muitos casos, o objetivo é remediar uma deficiência ou omissão na legislação existente.

Nesse caso, o ímpeto do PIPEDA foi uma preocupação crescente sobre como as empresas lidavam com dados pessoais transmitidos eletronicamente à medida que mais e mais clientes se voltavam para soluções de comércio eletrônico. Ao estabelecer regras sobre como as organizações comerciais gerenciam os dados pessoais, a PIPEDA busca proteger os direitos dos consumidores relacionados ao uso de seus dados.

Aqui estão algumas das principais disposições do PIPEDA:

  • A Lei procura equilibrar o direito de um indivíduo à privacidade de suas informações pessoais com as necessidades das organizações de coletar e lidar com as informações ao realizar negócios.
  • Sob o PIPEDA, os canadenses têm o direito de saber por que uma organização coleta, usa ou divulga suas informações pessoais. Os consumidores podem revisar os dados coletados e fazer correções para corrigir imprecisões.
  • As empresas devem obter consentimento para coletar, usar ou divulgar informações pessoais. Este requisito é suspenso quando os dados facilitam uma investigação ou em caso de emergência em que a não divulgação possa comprometer a segurança pública.
  • A PIPEDA concede aos indivíduos o direito de reclamar ao Privacy Commissioner sobre como as organizações lidam com suas informações pessoais. O Comissário de Privacidade examina e resolve reclamações.
  • O Comissário de Privacidade pode divulgar informações ao público ou encaminhar o assunto ao Tribunal Federal do Canadá, o que pode obrigar uma organização a interromper uma prática específica e indenizar os indivíduos afetados.
  • O PIPEDA contém um conjunto de princípios de informações justas com base nas leis internacionais de proteção de dados e no Código de Privacidade Modelo para a Proteção de Informações Pessoais da Canadian Standards Association. Este código foi desenvolvido em conjunto por empresas, associações de consumidores, governo e outras organizações preocupadas com os padrões de privacidade.

Os 10 princípios de informação justa do PIPEDA

No coração do PIPEDA estão os 10 princípios de informação justa, que as entidades sujeitas à lei e envolvidas no tratamento de dados pessoais devem cumprir. Vamos dar uma olhada nesses princípios.

Para cumprir o PIPEDA, as organizações devem aderir a cada um dos seguintes princípios de informação justa.

  1. Responsabilidade: As empresas precisam designar pelo menos uma pessoa para permanecer em conformidade com o PIPEDA. Essa pessoa deve ser qualificada e receber apoio da gestão para cumprir sua função. Uma política de privacidade fácil de entender que descreva os princípios de informações justas deve ser desenvolvida e compartilhada com todas as partes interessadas relevantes.
  2. Objetivos de identificação: As empresas devem indicar as razões para coletar um tipo específico de dados. Esse requisito aborda três questões de privacidade: verificar se os indivíduos estão cientes do motivo pelo qual seus dados estão sendo coletados; alertar as empresas para que possam tomar medidas para evitar o uso inadequado dos dados; obrigando as empresas a obter um novo consentimento individual se quiserem usar seus dados para uma nova finalidade
  3. Consentimento: As empresas sujeitas às diretrizes do PIPEDA precisam obter o consentimento implícito ou explícito significativo do consumidor. Os sujeitos não podem ser coagidos a dar consentimento e devem entender as implicações de fornecê-lo a um coletor de dados.
  4. Limitando a coleta: As organizações podem coletar apenas informações necessárias e consistentes com os propósitos para os quais buscam consentimento.
  5. Limitação de uso, divulgação e retenção: as empresas precisam criar políticas que garantam que as informações do cliente sejam usadas apenas por motivos para os quais o consentimento foi obtido. Os dados devem ser retidos apenas pelo tempo necessário para atingir a finalidade declarada pelo coletor de dados, mas devem ser retidos por tempo suficiente para que os consumidores questionem as informações.
  6. Precisão:   As empresas devem garantir que todas as informações pessoais coletadas sejam precisas, completas e atualizadas conforme necessário para o propósito declarado.
  7. Salvaguardas: Este é talvez o princípio mais crítico do PIPEDA e trata diretamente da proteção das informações pessoais coletadas. As organizações devem proteger os dados coletados contra violação , alteração de roubo, cópia e acesso não autorizado. O nível de proteção de dados pessoais deve corresponder à sua sensibilidade.
  8. Abertura: as empresas devem informar aos usuários como seus dados são coletados, processados, compartilhados e armazenados. O nome e as informações de contato da pessoa designada no princípio de prestação de contas devem ser disponibilizados, e os usuários devem ser informados sobre como acessar os dados coletados.
  9. Acesso individual: Uma empresa deve responder a solicitações escritas de dados pessoais, fornecendo ao solicitante informações sobre o tipo de dados coletados e seu uso e divulgação no prazo de 30 dias. Os consumidores devem poder determinar se os dados coletados são precisos e fazer as correções necessárias.
  10. Conformidade desafiadora: As organizações devem desenvolver procedimentos para receber, investigar e resolver reclamações de não conformidade e violações. Se a reclamação for justificada, as políticas relacionadas a dados pessoais podem precisar ser alteradas. O reclamante deve ser informado de sua reclamação e das medidas que pode tomar se não estiver satisfeito com a resposta.

A quem se aplica o PIPEDA?

Nem todas as organizações que operam no Canadá estão sujeitas ao PIPEDA. Os regulamentos aplicam-se a:

  • Qualquer organização do setor privado no Canadá que colete, use ou divulgue informações pessoais durante atividades comerciais
  • Organizações regulamentadas pelo governo federal , como bancos, empresas de telecomunicações e empresas de transporte internacional
  • Empresas canadenses que transferem dados através das fronteiras provinciais e nacionais

Organizações isentas do PIPEDA:

  • Grupos de caridade
  • Partidos políticos
  • Organizações sem fins lucrativos
  • Organizações do governo federal listadas sob a Lei de Privacidade
  • Organizações que coletam, usam ou divulgam informações pessoais para fins jornalísticos, artísticos ou literários
  • Entidades em Quebec, British Columbia e Alberta sujeitas a leis de privacidade provinciais semelhantes do setor privado

Como a PIPEDA protege as informações pessoais?

A PIPEDA especifica três tipos de salvaguardas para garantir a segurança dos dados pessoais.

  1. Físico: As proteções físicas implementadas por uma organização devem impedir que pessoas não autorizadas visualizem dados confidenciais. As medidas podem incluir câmeras de vigilância, bloqueio de escritórios e realização de atividades de TI em um data center interno ou externo seguro.
  2. Organizacional: Essas salvaguardas referem-se às políticas e procedimentos de uma organização para proteger informações pessoais. O treinamento da força de trabalho para criar uma cultura corporativa que enfatize a privacidade é um componente padrão das salvaguardas organizacionais. Os funcionários responsáveis ​​pelo manuseio de dados confidenciais devem passar por autorizações de segurança e todos os casos de acesso não autorizado por agentes internos devem ser investigados.
  3. Técnico: Muitas medidas técnicas podem ser tomadas para proteger os dados de uma organização. As proteções críticas incluem criptografar dados, gerenciar e registrar a atividade do usuário e implementar firewalls robustos para manter usuários não autorizados de redes e sistemas que contenham informações confidenciais.

Os consumidores no âmbito da proteção da PIPEDA têm os seguintes direitos e expectativas sobre o uso de seus dados.

  • Os consumidores têm o direito de ver o que foi coletado sobre eles e corrigir quaisquer erros.
  • Eles podem recusar solicitações de informações excessivas ou desnecessárias.
  • Todos os consumidores devem esperar que seus dados sejam usados ​​adequadamente e para a finalidade específica para a qual o consentimento foi dado.
  • Os cidadãos têm o direito de reclamar se suspeitarem que seus direitos de privacidade foram violados.

Respondendo a violações de dados

As organizações sujeitas aos padrões PIPEDA precisam relatar violações de dados ao OPC se o incidente representar um risco real de dano grave (RROSH) a um ou mais consumidores.

Os fatores que influenciam a decisão sobre a extensão do dano incluem a sensibilidade das informações afetadas pela violação e a probabilidade de que agentes mal-intencionados a usem de forma inadequada. As empresas devem manter registros de todas as violações de dados, sejam elas RROSH. Esses registros devem ser mantidos por pelo menos dois anos.

Sanções por não conformidade

O descumprimento pode resultar em dois tipos de penalidades.

  • Sanções financeiras: De acordo com as alterações do PIPEDA de 2018, multas podem ser impostas por violação de segurança intencional. Multas de até CAD$ 100.000 podem ser cobradas por cada infração.
  • Publicidade adversa: Impacta empresas que não possuem salvaguardas adequadas. Isso corrói a confiança do cliente, impactando potencialmente os objetivos de negócios de uma empresa.

PIPEDA x HIPAA x GDPR

O Canadá, os Estados Unidos e a União Europeia (UE) promulgaram leis que abordam as preocupações dos cidadãos sobre o uso de suas informações pessoais. Embora todas essas leis se concentrem na proteção de informações pessoais privadas, as proteções específicas que elas fornecem e como são aplicadas variam significativamente.

Aqui está uma rápida comparação entre o PIPEDA, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde dos EUA de 1996 (HIPAA) e o Regulamento Geral de Proteção de Dados da UE (GDPR).

Semelhanças nestes regulamentos de privacidade

Todos os três regulamentos de privacidade protegem informações pessoais confidenciais.

  • A PIPEDA protege uma ampla gama de dados pessoais, incluindo informações de saúde, dados financeiros e identificadores diretos.
  • A HIPAA se concentra nas informações de saúde protegidas (PHI) de um indivíduo.
  • O GDPR protege dados que podem ser usados ​​direta ou indiretamente para identificar uma pessoa viva. Isso inclui elementos aparentes como nome, endereço, endereços IP e dados de cookies, que podem ser considerados dados pessoais. O GDPR também protege informações sobre raça, crenças religiosas e outras coisas não cobertas pela PIPEDA ou HIPAA.

Todos os três padrões de privacidade exigem que as organizações implementem salvaguardas para proteger os dados pessoais coletados.

  • A PIPEDA incentiva as organizações a implementar salvaguardas técnicas, físicas e organizacionais, conforme discutido anteriormente neste artigo.
  • Os regulamentos HIPAA exigem salvaguardas administrativas, técnicas e físicas semelhantes ao proteger PHI.
  • Os padrões GDPR incluem a implementação de medidas técnicas e organizacionais para proteger dados pessoais. As salvaguardas incluem enfatizar a limitação do acesso físico não autorizado a dados confidenciais.

Diferenças nessas iniciativas regulatórias

Existem diferenças substanciais entre esses três padrões de privacidade de dados. As multas são estruturadas de forma diferente por violar cada norma regulatória.

  • PIPEDA: Até 100.000 dólares canadenses por violação
  • HIPAA: As multas são cobradas de acordo com a gravidade de uma violação com um limite máximo de US$ 1.500.000 por ano para os descuidos mais flagrantes.
  • GDPR: Os infratores podem ser multados em até 4% da receita global anual de uma empresa ou € 20 milhões, o que for maior.

Os direitos de um indivíduo variam dependendo de quais diretrizes estão em jogo.

  • PIPEDA: Os consumidores têm o direito de visualizar e corrigir os dados coletados sobre eles.
  • HIPAA: Os pacientes têm o direito de ver o PHI que uma organização coleta e armazena.
  • GDPR: Os indivíduos podem visualizar seus dados e solicitar que sejam removidos dos bancos de dados de uma organização.

O que é conformidade com o PIPEDA?

A conformidade com o PIPEDA é um conjunto de regras e regulamentos de privacidade canadenses federais para que as empresas atendam aos padrões de privacidade. Para se tornar compatível com o PIPEDA, as organizações comerciais precisam entender o que a lei implica e seguir suas diretrizes. O descumprimento pode resultar em multas e redução da confiança do consumidor.

Por que a conformidade com o PIPEDA é essencial?

A ascensão do comércio eletrônico e das mídias sociais reforçou a conformidade com os regulamentos de privacidade de dados, incluindo o PIPEDA. A conformidade regulatória é vital para uma empresa e seus clientes por vários motivos.

  • Os dados pessoais confidenciais dos clientes precisam ser protegidos contra uso indevido ou acesso por agentes não autorizados e potencialmente mal-intencionados.
  • O descumprimento de normas regulatórias como a PIPEDA pode resultar em multas significativas.

As empresas que não cumprem os regulamentos de proteção de dados podem perder a confiança do cliente e a reputação da empresa que pode nunca ser restaurada.

Como obter a conformidade com o PIPEDA

Para manter a conformidade com o PIPEDA, as organizações devem implementar salvaguardas para proteger as informações pessoais dos indivíduos. As empresas obrigadas a cumprir o PIPEDA têm duas opções principais disponíveis.

Conformidade interna versus assistida pelo fornecedor

As organizações podem optar por implementar a infraestrutura necessária e os sistemas compatíveis usando recursos internos ou recorrer a um software experiente de conformidade em nuvem de terceiros. Cada abordagem tem vantagens e desvantagens.

Usando recursos internos

  • As empresas que constroem uma infraestrutura compatível usando recursos internos podem exercer mais controle sobre os dados confidenciais que coletam e processam.
  • Os custos de capital podem ser altos ao adquirir um novo hardware para construir o ambiente.
  • Organizações com departamentos de TI limitados podem não ter o conhecimento ou os ciclos gratuitos necessários para implementar e manter um ambiente compatível com PIPEDA.

Envolvendo um parceiro de nuvem terceirizado

  • Os custos de capital são reduzidos porque a hospedagem na nuvem fornece a infraestrutura de computação.
  • A experiência de um provedor respeitável reduz o potencial de violações de dados ou violações das precauções de segurança descritas no PIPEDA.
  • As empresas podem expandir ou reduzir rapidamente usando recursos de nuvem para atender à demanda flutuante ou sazonal dos clientes.

Fique de olho na sua conformidade

A conformidade com o PIPEDA não deve ser negligenciada. Embora as penalidades financeiras afetem significativamente os resultados de uma empresa, os efeitos menos tangíveis podem ser muito mais caros. Pode ser impossível restaurar a confiança do cliente se uma violação de dados comprometer os dados pessoais.

As empresas que precisam cumprir o PIPEDA podem reduzir significativamente o estresse e a complexidade de manter a conformidade trabalhando com um provedor de hospedagem na web respeitável. O fornecedor certo pode oferecer uma infra-estrutura que esteja em conformidade com os padrões PIPEDA, permitindo que uma empresa se concentre em seus objetivos de negócios principais com a garantia de que atende a todos os requisitos regulamentares.

Curioso sobre o que o futuro reserva para os dados de clientes online? Saiba o que esperar com o futuro iminente sem cookies.