Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

¿Qué es el cumplimiento de PIPEDA?

Inicio Glosario ¿Qué es el Cumplimiento de PIPEDA?

¿Qué es PIPEDA y cómo pueden aplicarse los requisitos de cumplimiento de PIPEDA a una empresa que opera en Canadá? Sigue leyendo para descubrirlo.

¿Qué significa PIPEDA? Ley de Protección de Información Personal y Documentos Electrónicos.

¿Qué es PIPEDA?

PIPEDA (Ley de Protección de Información Personal y Documentos Electrónicos) es la legislación federal de privacidad para organizaciones del sector privado en Canadá. PIPEDA se convirtió en ley en el año 2000 para promover la confianza y la privacidad de datos en el comercio electrónico. Desde entonces, se ha expandido para incluir otras industrias como la banca, los medios de comunicación y entretenimiento, y el sector de la salud.

PIPEDA regula la recopilación, uso y divulgación de información personal identificable (PII) mientras reconoce el derecho de los individuos a la privacidad respecto a su información personal. También regula la necesidad de que las organizaciones recopilen, usen o divulguen PII de una manera que se considere apropiada.

Similar al Reglamento General de Protección de Datos de la Unión Europea (GDPR), bajo PIPEDA los individuos tienen el derecho de acceder a la PII que posee una organización, determinar quién es responsable de recopilarla, entender por qué se está recopilando y desafiar su exactitud.

PIPEDA está diseñada para mantener el requisito de notificación de violaciones de datos de Canadá consistente con los socios comerciales del país. Según un análisis de impacto regulatorio del gobierno canadiense en 2017, la ley actualmente se considera que proporciona un nivel de protección de privacidad equivalente al GDPR, lo que permite el libre movimiento de datos personales desde la UE a organizaciones canadienses.

PIPEDA

¿Qué es la Información Personal (PII) bajo PIPEDA?

PIPEDA en Canadá regula el uso, recopilación y divulgación de información personal. Según la Ley, la PII incluye información factual o subjetiva, ya sea registrada o no, sobre un individuo identificable. Esto incluye PII en cualquier forma, que se clasifica en las siguientes categorías:

Identificadores directos:

  • Edad, nombre y número de identificación
  • Raza, nacionalidad o etnicidad
  • El tipo de sangre de un individuo
  • ADN
  • Estado civil
  • Información médica (comparable a la Ley de Portabilidad y Responsabilidad de Seguros de Salud [HIPAA] en EE. UU.)

Información subjetiva:

  • Opiniones, evaluaciones y comentarios
  • Estado social

Detalles de empleo:

  • Registros médicos, educativos y de empleo
  • Número de seguro social o licencia de conducir
  • Archivos de empleados, historial crediticio y datos financieros
  • Acciones disciplinarias

¿Qué no está cubierto bajo PIPEDA?

Generalmente, los detalles que no se consideran PII bajo PIPEDA pueden incluir:

  • Información personal manejada por instituciones del gobierno federal listadas bajo la Ley de Privacidad Canadiense
  • Los gobiernos provinciales o territoriales y sus agentes
  • Información de contacto comercial que se adquiere, usa o divulga únicamente para comunicarse con esa persona sobre su empleo o profesión
  • La adquisición, uso o divulgación de información personal de un individuo estrictamente para fines personales
  • La adquisición, uso o divulgación de información personal por parte de una organización para uso no comercial, como fines periodísticos, artísticos o literarios

¿Por qué es importante el cumplimiento de PIPEDA?

Cualquier organización del sector privado que recopile, almacene y difunda PII, incluida la información de salud protegida (PHI), como parte de sus actividades comerciales dentro de las fronteras canadienses debe cumplir con PIPEDA. La ley pone énfasis en las actividades comerciales específicas de las disposiciones de la ley. Cabe destacar que hay muchas actividades comerciales, pero no todas están sujetas a PIPEDA.

Bajo PIPEDA, la actividad comercial se refiere a una transacción, acto o conducta particular, o cualquier curso regular de conducta que sea de naturaleza comercial, incluyendo la venta, trueque o arrendamiento de listas de donantes, membresías u otras listas de recaudación de fondos. Cualquier negocio registrado en Canadá que cumpla con esta definición de actividad comercial debe demostrar cumplimiento con PIPEDA. La supervisión de este cumplimiento está a cargo de la Oficina del Comisionado de Privacidad de Canadá.

Incluso para empresas domiciliadas en otro país, PIPEDA puede aplicarse a ellas. Específicamente, basado en las disposiciones de PIPEDA relacionadas con el comercio internacional, todas las organizaciones que procesan datos de residentes canadienses con fines comerciales deben cumplir con la ley de privacidad de Canadá.

Organizaciones no sujetas al cumplimiento de PIPEDA

El cumplimiento de PIPEDA no se aplica a organizaciones sin fines de lucro, grupos de caridad y partidos políticos a menos que participen en actividades comerciales además de sus operaciones principales.

PIPEDA tampoco necesariamente se aplica a organizaciones y actividades reguladas a nivel provincial que han adoptado una legislación de privacidad similar. Las provincias con legislación similar a PIPEDA incluyen Quebec, Columbia Británica, Alberta, Ontario, Nuevo Brunswick, Nueva Escocia, Terranova y Labrador.

PIPEDA también se aplica a transacciones interprovinciales e internacionales por organizaciones que cruzan fronteras y organizaciones reguladas por el gobierno federal canadiense. Estos incluyen compañías de telecomunicaciones, bancos y compañías de transporte.

Para las provincias con legislación similar, la ley sigue siendo aplicable a la PII recopilada, usada o divulgada por organizaciones reguladas a nivel federal, es decir, trabajos, empresas o negocios federales (FWUBs). Estos incluyen:

  • Transporte interprovincial
  • Bancos
  • Aeropuertos y aerolíneas
  • Estaciones de radio y televisión
  • Compañías de telecomunicaciones, incluyendo proveedores de servicios de internet, compañías de telefonía celular o fija, y compañías de cable
  • Ferrocarriles, canales, oleoductos y transbordadores que cruzan fronteras

¿Cuál es el alcance geográfico de PIPEDA?

PIPEDA se aplica a organizaciones del sector privado en Canadá que están reguladas a nivel federal y que recopilan, usan o divulgan información personal en sus actividades comerciales. Estas organizaciones no necesitan tener su sede en Canadá. La ley se aplica a ellas siempre que recopilen, usen o divulguen información personal perteneciente a canadienses y si la empresa tiene operaciones en Canadá. Esto es independientemente de la provincia o territorio en el que se base el negocio y si la provincia en la que se basa un negocio tiene una legislación similar respecto a la privacidad de datos.

¿Cuáles son los 10 principios de PIPEDA?

Para cumplir con PIPEDA, una organización debe seguir los 10 principios de información justa de PIPEDA. Estos principios describen los estándares para la recopilación, uso y divulgación de información personal y los derechos de los usuarios. Estos principios son las ideas básicas sobre las cuales se basa la legislación.

Responsabilidad. Las organizaciones son responsables de la información personal bajo su control y deben designar a una persona que sea responsable del cumplimiento de la organización con PIPEDA. Esto incluye cualquier información que pueda ser transferida a un proveedor externo para su procesamiento. 

Identificación de propósitos. Los propósitos para los cuales se recopila la PII deben ser identificados por la organización en el momento o antes de que se recopile la información.

Consentimiento. El conocimiento y consentimiento de un individuo son requeridos antes de la recopilación, uso o divulgación de PII. Las organizaciones pueden implementar opciones de inclusión o exclusión para obtener el consentimiento de los individuos dependiendo de la sensibilidad de la información personal recopilada.

Limitación de la recopilación. La recopilación de PII está limitada a lo que es necesario para los propósitos identificados por la organización que recopila. La información debe ser recopilada utilizando medios justos y legales.

Limitación del uso, divulgación y retención. La PII no debe ser usada o divulgada para propósitos distintos a aquellos para los cuales fue recopilada. Esto es con la excepción del consentimiento del individuo o según lo requiera la ley. La PII debe ser retenida solo mientras sea necesario para cumplir con esos propósitos.

Exactitud. La PII recopilada por una organización debe ser precisa, completa y actualizada según sea necesario para las razones por las cuales se pretende usar.

Salvaguardias. La PII debe ser protegida por salvaguardias de seguridad apropiadas a la sensibilidad de la información.

Transparencia. Una organización debe poner a disposición de quienes lo soliciten información específica sobre sus políticas y prácticas relacionadas con la gestión de PII.

Acceso individual. Tras una solicitud, un individuo debe ser informado de la existencia, uso y divulgación de cualquier PII y debe tener acceso a esa información. Un individuo debe poder desafiar la exactitud y completitud de la información y puede hacer que se enmiende según sea necesario.

Desafío del cumplimiento. Un individuo debe poder abordar cualquier desafío relacionado con el cumplimiento de estos principios a la persona designada responsable del cumplimiento de la organización con las leyes de datos.

¿Cómo es PIPEDA diferente del GDPR?

El PIPEDA de Canadá y el GDPR de la UE son leyes similares porque ambas regulan la privacidad de datos y otorgan a los usuarios más control sobre sus datos. Sin embargo, hay algunas diferencias críticas entre las dos:

Jurisdicción. El GDPR se aplica a todas las empresas del Área Económica Europea (EEA) y a las empresas no pertenecientes a la EEA que proporcionan servicios o monitorean el comportamiento de los residentes de la EEA. PIPEDA, sin embargo, no se aplica en todas las provincias canadienses. No necesariamente se aplica a provincias con legislación similar en vigor.

Aplicación. Mientras que PIPEDA se aplica a muchas organizaciones del sector privado que procesan datos personales con fines comerciales, el GDPR se aplica a cualquier organización que recopile y use PII perteneciente a residentes de la EEA.

Consentimiento. Mientras que el GDPR requiere el consentimiento activo de los usuarios para la recopilación y procesamiento de datos, PIPEDA permite el consentimiento implícito o explícito dependiendo de cuán sensible sea la información que se recopila.

Estas dos leyes de privacidad pueden diferir en alcance y requisitos de cumplimiento, pero enfatizan la responsabilidad y transparencia por parte de las organizaciones que recopilan datos personales. Ya sea que una organización opere en Europa o Canadá, debe seguir los requisitos de la ley de privacidad de datos aplicable para evitar consecuencias legales. En respuesta, las organizaciones deben aplicar rigurosos protocolos de administración de riesgos de ciberseguridad.

Violaciones de Datos bajo PIPEDA

A partir de noviembre de 2018, las organizaciones sujetas a PIPEDA que experimenten una violación de datos deben determinar si el acceso o pérdida de información personal puede causar un riesgo de daño significativo a los individuos. Una violación de datos, según PIPEDA, se refiere a la pérdida de, acceso no autorizado a, o divulgación no autorizada de PII en poder de una organización.

El cumplimiento regulatorio de PIPEDA requiere que, al tener conocimiento de que hay una violación de datos dentro de una organización, la organización debe informar la violación a la Oficina del Comisionado de Privacidad de Canadá llenando un formulario de informe de violación.

Una organización también debe notificar a los individuos afectados sobre la violación lo antes posible. La ley requiere que las organizaciones mantengan registros de todas las violaciones de datos durante dos años. No seguir los procedimientos de notificación de violaciones equivale a una violación de PIPEDA.

PIPEDA y Comunicaciones de Contenido Sensible

En un mundo cada vez más digital, el cumplimiento de las leyes de privacidad de datos como PIPEDA no solo es un requisito legal sino una buena práctica empresarial. Las comunicaciones digitales de PII dentro, hacia y desde organizaciones deben cumplir con los mandatos encontrados en PIPEDA. No cumplir o demostrar cumplimiento con PIPEDA puede atraer multas y sanciones sustanciales.

La plataforma Kiteworks unifica las comunicaciones de contenido sensible—correo electrónico, intercambio de archivos, transferencia de archivos, transferencia de archivos administrada, formularios web y protocolos de interfaz de programación de aplicaciones (API)—en un solo canal. Los metadatos consolidados permiten a las organizaciones gestionar el riesgo e identificar proactivamente posibles problemas de privacidad y cumplimiento aplicando políticas uniformes de seguridad y gobernanza que rastrean y controlan a dónde van los datos, quién los accede y cómo se comparten. Esta Red de Contenido Privado permite una gobernanza simplificada, un cumplimiento estricto, una detección proactiva de amenazas y una respuesta rápida a incidentes.

Programa una demostración personalizada de la plataforma Kiteworks para aprender cómo unifica, rastrea, controla y asegura la PII.

 

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks