Ley 25 de Quebec

Contactar con un experto

Volver a todos los casos de uso

Privacidad de datos y gestión de riesgos de terceros

La Ley 64de Quebec es una ley aprobada en 2021 para modernizar la Ley del Sector Privado de la provincia canadiense y mejorar las normas de protección de datos personales. Una disposición clave del proyecto de ley es la Ley 25, que incluye requisitos que regulan la recopilación, el uso y la comunicación de información personal y faculta a la autoridad de protección de datos de Quebec, la Commission d'accès à l'information du Québec, para hacer cumplir requisitos como la realización de evaluaciones de impacto sobre la privacidad antes de transferir datos personales fuera de la provincia.

Las autoridades canadienses implementaron los requisitos de protección de datos de la Ley 25 por etapas en septiembre de 2022 y 2023, y está previsto que la aplicación adicional comience en septiembre de 2024.

Aplicable a cualquier entidad establecida en Quebec y/o que opere en Quebec y que recopile, utilice o divulgue información personal de personas ubicadas en la provincia, la ley impone sanciones que van desde 10 millones de dólares canadienses o el 2 % de la facturación global hasta 25 millones de dólares canadienses o el 4 % de la facturación global por infracciones.

Las organizaciones que operan en Quebec deben evaluar sus prácticas actuales en materia de protección de datos de terceros para determinar si los procesos actuales cumplen con la ley.

Requisitos pertinentes

  • Regule la recopilación, el uso y la divulgación de la información personal de las personas que se encuentran en Quebec.

  • Realizar evaluaciones obligatorias del impacto sobre la privacidad (PIA) para la transferencia de información personal fuera de Quebec.

  • Incluir disposiciones obligatorias en todos los contratos de externalización (por ejemplo, terceros).

Ley 25 de Quebec: Requisitos del TPRM

La siguiente tabla resume algunas disposiciones de la Ley 25 relacionadas con la protección de datos de terceros y cómo laplataforma Prevalent Third-Party Risk Management (TPRM)puede ayudar a cumplir los requisitos.

Nota: La información presentada en esta tabla es un resumen de los requisitos de la Ley 25 y, por lo tanto, no debe considerarse una guía legal exhaustiva. Consulte el texto completo de la ley y al asesor legal de su organización para determinar el mejor curso de acción para su empresa.

Seleccionar los requisitos de la Ley 25 de Quebec Mejores prácticas en la gestión de riesgos de terceros
A partir del 22 de septiembre de 2022.

En caso de incidente de confidencialidad relacionado con información personal:

a. Adoptar medidas razonables para reducir los riesgos de daño a las personas afectadas y evitar que se repitan incidentes similares.

b. Notificar a la Comisión y a la persona afectada si el incidente supone un riesgo de daño grave.

c. Mantener un registro de incidentes, cuya copia deberá facilitarse a la Comisión cuando esta lo solicite.

Responda, informe y mitigue el impacto delos incidentes de protección de datos de proveedores externosmediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a directrices de corrección. Las capacidades clave de su programa de respuesta a incidentes de terceros deben incluir:

  • Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables
  • Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
  • Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
  • Informes proactivos sobre proveedores
  • Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial para la empresa.
  • Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
  • Plantillas de informes integradas para partes interesadas internas y externas.
Establezca prácticas que le permitan reaccionar de manera adecuada y rápida en caso de que se produzca un incidente relacionado con la confidencialidad de la información personal (por ejemplo, un plan de respuesta ante incidentes y directrices para el personal). Considere estructurar las prácticas de respuesta a incidentes en torno a un marco común de mejores prácticas del sector para la gestión de incidentes, como la Guía para la gestión de incidentes de seguridad informática del Instituto Nacional de Estándares y Tecnología (NIST),SP 800-61.
Haga un inventario de la información personal que posee su empresa (o que posee un tercero en su nombre) y evalúe su sensibilidad. Comience por crear un mapa para identificar las relaciones entre su organización y terceros,cuartos o enésimos,con el fin de visualizar las rutas de información y determinar los datos en riesgo.
A partir del 22 de septiembre de 2023.
Realice una evaluación del impacto sobre la privacidad (PIA) cuando lo exija la ley, por ejemplo, antes de divulgar información personal fuera de Quebec.

Realice unaevaluacióninternadel impacto sobre la privacidad (PIA)centrada en los datos y procesos empresariales más sensibles relacionados con la privacidad y que presenten el mayor riesgo. Aproveche la PIA para evaluar el origen, la naturaleza y la gravedad del riesgo potencial y ofrecer recomendaciones para mitigar los riesgos identificados y garantizar el cumplimiento de la normativa de privacidad.

A continuación, evalúe los controles de privacidad de datos de los proveedores mediante una encuesta específica sobre la Ley 25. La encuesta debe estar diseñada para identificar los riesgos y asignarlos a los controles correspondientes, con el fin de obtener una visión clara de los posibles puntos críticos.
Destruir la información personal cuando se haya alcanzado el objetivo para el que fue recopilada o anonimizarla para su uso con fines serios y legítimos, con sujeción a las condiciones y al período de conservación especificados por la ley.

Automaticelos procedimientos de salidapara reducir el riesgo de exposición de su organización tras la finalización del contrato. Busque soluciones que le permitan:

  • Programar tareas para revisar los contratos y garantizar que se hayan cumplido todas las obligaciones.
    Emitir evaluaciones de contratos personalizables para evaluar el estado.
  • Personalice encuestas y flujos de trabajo para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más.
  • Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos.
    Aproveche el análisis automatizado de documentos integrado.
  • Tome medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientación para su corrección.
  • Visualice y aborde los requisitos de cumplimiento mediante la correspondencia de los resultados de la evaluación con otras normativas y marcos.
Dado que el inventario de información personal está en constante evolución, es importante mantenerlo actualizado para tener en cuenta los cambios que puedan haber ocurrido dentro de su empresa (por ejemplo, la nueva recopilación de información personal para un proyecto) y para garantizar que planifica sus acciones de forma adecuada y cumple con todas sus obligaciones. Supervise continuamente las violaciones de datos de terceros. Identifique los tipos y cantidades de datos robados; los problemas de cumplimiento y normativos; y las notificaciones en tiempo real de violaciones de datos de proveedores.
Evaluar el cumplimiento del proyecto con las leyes de privacidad. Cumpla conlas normativas de privacidad de datosmediante la identificación de riesgos y respuestas a los controles, la obtención de índices de cumplimiento porcentual y la generación de informes específicos para cada parte interesada.
Implementar estrategias y medidas para evitar estos riesgos o reducirlos de manera eficaz.

Automatice la identificación de riesgos basándose en umbrales establecidos y mejore las prácticas con flujos de trabajo que escalen los riesgos identificados al responsable adecuado para su revisión y resolución inmediatas.

Recomendar medidas correctivas específicas o estar dispuesto a aceptar controles compensatorios cuando se identifiquen deficiencias de control en las prácticas de privacidad de datos.

Recursos adicionales

Blog

La APDP y la gestión de riesgos de terceros

Blog

Lista de comprobación del cumplimiento del GDPR para la gestión de riesgos de terceros

Blog

Lista de comprobación del cumplimiento de la CCPA y la CPRA para la gestión de riesgos de terceros

Guía

Alinee su programa TPRM con CCPA, GDPR, HIPAA y más

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.