El proyecto de ley 64 de Quebec es una ley aprobada en 2021 para modernizar la Ley del Sector Privado de la provincia canadiense y mejorar las normas de protección de datos personales. El proyecto de ley 64 tiene un alcance similar al del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Una disposición clave del proyecto de ley es la Ley 25, que faculta a la autoridad de protección de datos de Quebec, la Commission d'accès à l'information du Québec, para hacer cumplir requisitos como la realización de evaluaciones de impacto sobre la privacidad antes de transferir datos personales fuera de la provincia. Las autoridades canadienses aplicaron los requisitos de protección de datos de la Ley 25 por etapas en septiembre de 2022 y 2023, y está previsto que la aplicación adicional comience en septiembre de 2024.
Este artículo examina los requisitos clave de la Ley 25 relacionados con la protección de datos de terceros y recomienda las mejores prácticas para cumplir con dichos requisitos.
Resumen de la Ley 25 de Quebec
Aprobada originalmente en 2021, la Ley 25 de Quebec incluye requisitos que regulan la recopilación, el uso y la comunicación de información personal. La ley:
- Se aplica a cualquier entidad establecida en Quebec y/o que realice actividades comerciales en Quebec y que recopile, utilice o divulgue información personal de personas ubicadas en la provincia.
- Requiere la realización de evaluaciones obligatorias del impacto sobre la privacidad (PIA) para la transferencia de información personal fuera de Quebec.
- Incluye disposiciones obligatorias en todos los contratos de externalización (por ejemplo, terceros).
- Aplica sanciones que van desde 10 millones de dólares canadienses o el 2 % de la facturación global hasta 25 millones de dólares canadienses o el 4 % de la facturación global por infracciones.
Las organizaciones que operan en Quebec deben evaluar sus prácticas de protección de datos de terceros, de forma muy similar a lo que se exige a las empresas que operan en Singapur o en la Unión Europea.
Ley 25 de Quebec : Requisitos de gestión de riesgos de terceros
La siguiente tabla resume algunas disposiciones de la Ley 25 relacionadas con la protección de datos de terceros.
Nota: La información presentada en esta tabla es un resumen de los requisitos de la Ley 25 y, por lo tanto, no debe considerarse como una guía legal exhaustiva. Consulte el texto completo de la ley y al asesor jurídico de su organización para determinar el mejor curso de acción para su empresa.
| Seleccionar los requisitos de QuébecLaw 25 | Mejores prácticas en la gestión de riesgos de terceros |
|---|---|
| A partir del 22 de septiembre de 2022. | |
| En caso de incidente de confidencialidad relacionado con información personal: a. Adoptar medidas razonables para reducir los riesgos de daño a las personas afectadas y evitar que se repitan incidentes similares. b. Notificar a la Comisión y a la persona afectada si el incidente supone un riesgo de daño grave. c. Mantener un registro de incidentes, cuya copia deberá facilitarse a la Comisión cuando esta lo solicite. | Responder, informar y mitigar el impacto de Incidentes de protección de datos de terceros proveedores mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a directrices de corrección. Las capacidades clave de su programa de respuesta a incidentes de terceros deben incluir: * Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables |
| Establezca prácticas que le permitan reaccionar de manera adecuada y rápida en caso de que se produzca un incidente relacionado con la confidencialidad de la información personal (por ejemplo, un plan de respuesta ante incidentes y directrices para el personal). | Considere estructurar las prácticas de respuesta a incidentes en torno a un marco común de mejores prácticas del sector para la gestión de incidentes, como la Guía para la gestión de incidentes de seguridad informática del Instituto Nacional de Estándares y Tecnología (NIST), SP 800-61. |
| Haga un inventario de la información personal que posee su empresa (o que posee un tercero en su nombre) y evalúe su sensibilidad. | Comience por crear un mapa para identificar las relaciones entre su organización y terceros, cuartos o enésimos, con el fin de visualizar las rutas de información y determinar los datos en riesgo. |
| A partir del 22 de septiembre de 2023. | |
| Realice una evaluación del impacto sobre la privacidad (PIA) cuando lo exija la ley, por ejemplo, antes de divulgar información personal fuera de Quebec. | Realizar una Evaluación del impacto sobre la privacidad (PIA) Centrándose en los datos y procesos empresariales más sensibles relacionados con la privacidad y que presentan el mayor riesgo. Aproveche la PIA para evaluar el origen, la naturaleza y la gravedad del riesgo potencial y ofrecer recomendaciones para mitigar los riesgos identificados y garantizar el cumplimiento de la normativa de privacidad. A continuación, evalúe los controles de privacidad de datos de los proveedores mediante una encuesta específica sobre la Ley 25. La encuesta debe estar diseñada para identificar los riesgos y asignarlos a los controles correspondientes, con el fin de obtener una visión clara de los posibles puntos críticos. |
| Destruir la información personal cuando se haya alcanzado el objetivo para el que fue recopilada o anonimizarla para su uso con fines serios y legítimos, con sujeción a las condiciones y al período de conservación especificados por la ley. | Automatice procedimientos de salida para reducir el riesgo de exposición posterior al contrato de su organización. Busque soluciones que le permitan: * Programar tareas para revisar los contratos y garantizar que se hayan cumplido todas las obligaciones. |
| Dado que el inventario de información personal está en constante evolución, es importante mantenerlo actualizado para tener en cuenta los cambios que puedan haber ocurrido dentro de su empresa (por ejemplo, la nueva recopilación de información personal para un proyecto) y para garantizar que planifica sus acciones de forma adecuada y cumple con todas sus obligaciones. | Supervise continuamente las violaciones de datos de terceros. Identifique los tipos y cantidades de datos robados; los problemas de cumplimiento y normativos; y las notificaciones en tiempo real de violaciones de datos de proveedores. |
| Evaluar el cumplimiento del proyecto con las leyes de privacidad. | Cumpla con las normativas de privacidad de datos mediante la identificación de riesgos y respuestas a los controles, la obtención de índices de cumplimiento porcentual y la generación de informes específicos para cada parte interesada. |
| Implementar estrategias y medidas para evitar estos riesgos o reducirlos de manera eficaz. | Automatice la identificación de riesgos basándose en umbrales establecidos y mejore las prácticas con flujos de trabajo que escalen los riesgos identificados al responsable adecuado para su revisión y resolución inmediatas. Recomendar medidas correctivas específicas o estar dispuesto a aceptar controles compensatorios cuando se identifiquen deficiencias de control en las prácticas de privacidad de datos. |
Las organizaciones que deben cumplir con la Ley 25 deben asegurarse de que los terceros que manejan información personal de los ciudadanos de Quebec cuenten con controles para proteger esos datos. Prevalent ofrece una plataforma escalable de gestión de riesgos de terceros que aborda los riesgos relacionados con la protección de datos. La plataforma Prevalent:
- Establece una base sólida para la protección de datos de terceros dentro de un programa integral de TPRM.
- Permite a los equipos crear y aplicar disposiciones de protección de datos en los contratos, y evalúa continuamente el cumplimiento de dichas disposiciones a lo largo del ciclo de vida del proveedor.
- Ofrece visibilidad sobre dónde se encuentran los datos, cómo fluyen y quién tiene acceso a ellos.
- Evalúa y supervisa continuamente los riesgos relacionados con la privacidad de los datos de terceros, de acuerdo con los estándares comunes del sector.
- Acelera la identificación y corrección de riesgos, mitigando los costes de las infracciones y los daños a la reputación.
- Genera informes específicos para reguladores, proveedores y partes interesadas internas.
- Supervisa continuamente las infracciones y acelera la respuesta ante incidentes para mitigar el riesgo de que se produzca un incidente de seguridad de datos perjudicial y costoso.
Con Prevalent, sus equipos de seguridad y privacidad disponen de una única plataforma colaborativa para realizar evaluaciones de privacidad y mitigar los riesgos de privacidad de datos tanto internos como de terceros.
Descargue el Manual de cumplimiento de la normativa de privacidad de datos de terceros para obtener más información sobre cómo Prevalent puede ayudarle a abordar sus retos en materia de cumplimiento de la normativa de privacidad de datos. O solicite una demostración para analizar cómo podemos satisfacer sus necesidades específicas.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
