Cos’è il CPPA – Canada’s Consumer Privacy Protection Act?

Seguendo le orme di altri legislatori, nel novembre 2020, la Camera dei Comuni canadese ha introdotto il Digital Charter Implementation Act (DCIA), noto anche come Bill C-11. Come leggi simili sulla privacy dei dati, la DCIA mira a regolamentare la raccolta, la distribuzione, l’uso e la divulgazione delle informazioni sui consumatori utilizzate nelle attività commerciali.

Nell’ambito del DCIA, si propone di aggiornare il CPPA per modernizzare le normative obsolete del Canada e garantire una solida protezione dei dati personali canadesi.

Se elabori i dati personali dei canadesi per scopi commerciali, questa legge ti riguarda. Pertanto, è fondamentale familiarizzare con i dettagli fondamentali.

Cos'è il CPPA?

Il CPPA o Consumer Privacy Protection Act è incluso nel Digital Charter Implementation Act. Dopo che il GDPR dell’UE e il CPPA della California sono stati approvati di recente, il CPPA aggiorna anche le leggi sulla privacy dei dati del Canada, allineandole alle nuove norme internazionali.

Fondamentalmente, questa nuova legge imporrà una maggiore trasparenza nell’uso dei dati personali da parte delle aziende e migliorerà il controllo individuale.

È interessante notare che, nella sua forma attuale, il disegno di legge C-11 fa riferimento a “individui” e non specifica né “cittadini” canadesi né “residenti”. Pertanto, può applicarsi a quasi tutti coloro che risiedono all’interno dei confini canadesi.

In che modo il CPPA modifica la legislazione esistente?

In primo luogo, stabilirà una nuova legge sulla privacy dei dati del settore privato, poiché l’ex legge sulla protezione delle informazioni personali e dei documenti elettronici (PIPEDA) ha un disperato bisogno di sostituzione. Inoltre, il Personal Information and Data Protection Tribunal Act (PIDPT) – un altro aspetto del DCIA – mira a creare un organo giudiziario con il potere di imporre multe significative per qualsiasi individuo o azienda ritenuta non conforme al CPPA.

Rispetto a PIPEDA, il CPPA non modifica la portata di ciò che è protetto. Piuttosto, fornisce agli individui la possibilità di citare in giudizio le aziende per violazioni (diritto di azione). Il CPPA amplia anche i requisiti di consenso, che devono essere espliciti e informati, rispecchiando il GDPR dell’UE. Infine, un’organizzazione deve dimostrare le proprie finalità di raccolta e utilizzo dei dati. Può anche trasferire dati al di fuori del Canada solo secondo nuovi criteri rigorosi.

Attualmente, la legge non è stata promulgata, anche se dovrebbe passare alla fine del 2021. La proposta attuale è disponibile qui.

Quali sono i requisiti previsti dal CPPA?

Si tratta di un importante cambiamento nelle leggi canadesi sulla privacy dei dati e richiede modifiche significative alle attuali pratiche aziendali.

Ecco i principali requisiti previsti dal CPPA:

Trattamento appropriato dei dati

Secondo il CPPA, Sezione 12 (2), la raccolta, l’uso e la divulgazione di dati personali sono limitati a circostanze “appropriate”, relative a:

  • la sensibilità delle informazioni personali;
  • se le finalità rappresentano legittime esigenze aziendali dell’organizzazione;
  • l’efficacia della raccolta, dell’uso o della divulgazione nel soddisfare le legittime esigenze aziendali dell’organizzazione;
  • se esistono mezzi meno intrusivi per conseguire tali obiettivi a un costo comparabile e con benefici comparabili; e
  • se la perdita di privacy dell’individuo è proporzionata ai benefici alla luce di eventuali misure, tecniche o di altro tipo, attuate dall’organizzazione per mitigare gli impatti della perdita di privacy sull’individuo.
Consenso significativo

Come il GDPR, ai sensi del CPPA, il consenso ottenuto da un individuo deve essere valido. Ciò significa che è stato ottenuto prima della raccolta dei dati e rivela il modo in cui l’organizzazione raccoglierà, utilizzerà o divulgherà i dati personali.

Affinché il consenso sia considerato valido, le seguenti informazioni devono essere fornite in “linguaggio semplice”:

  • le finalità per la raccolta, l’uso o la divulgazione delle informazioni personali determinate dall’organizzazione e registrate ai sensi della sottosezione 12 (3) o (4);
  • il modo in cui le informazioni personali devono essere raccolte, utilizzate o divulgate;
  • qualsiasi conseguenza ragionevolmente prevedibile della raccolta, dell’uso o della divulgazione delle informazioni personali;
  • il tipo specifico di informazioni personali che devono essere raccolte, utilizzate o divulgate; e
  • i nomi di eventuali terze parti o tipi di terze parti a cui l’organizzazione può divulgare le informazioni personali.

Tuttavia, ci sono alcune notevoli esenzioni dal consenso.

  1. Le aziende devono raccogliere il consenso se i dati sono fondamentali per fornire o fornire un prodotto, un servizio, un sistema o la sicurezza della rete.
  2. I dati personali possono anche essere raccolti per “scopi ragionevoli”, ma non per influenzare il comportamento dell’interessato.
  3. Alcuni casi di trasferimento dei dati a un fornitore di servizi.

Gli individui sono ora anche in grado di revocare il loro consenso o rinunciare alla condivisione delle informazioni in qualsiasi momento. Tutto ciò che un interessato deve fare è fornire un ragionevole preavviso all’organizzazione pertinente, dopo di che tutta la raccolta e la divulgazione dei dati personali devono cessare.

Diritto di ricorso

Il CPPA include un rafforzamento dei poteri del garante della privacy. Ciò include indagini e audit delle attività commerciali relative alla privacy. Inoltre, possono anche avviare indagini su presunte violazioni del CPPA.

È qui che si applica il diritto di azione privata. Consente agli interessati di citare in giudizio un’organizzazione presso il Tribunale federale o un tribunale provinciale superiore se il Commissario per la privacy conferma le violazioni.

Attualmente, la legge non definisce i danni. Pertanto, le persone possono richiedere il risarcimento dei danni per perdite o lesioni subite a seguito della violazione.

Sanzioni ed esecuzione

Qualsiasi violazione del CPPA potrebbe comportare sanzioni significative, fino al 4% delle entrate globali totali di un’azienda per l’anno precedente o CA $ 25 milioni, a seconda di quale sia il più alto. La maggior parte delle violazioni sarà probabilmente applicata solo al 3% del fatturato globale totale di un’azienda per l’anno precedente o a circa 10 milioni di dollari, a seconda di quale sia il più alto.

Questo è un aumento sostanziale rispetto alle multe sotto PIPEDA (un massimo di CA $ 100.000 per violazione).

Ecco perché è fondamentale essere conformi al CPPA quando entra in vigore. Non è troppo presto per iniziare la preparazione.

Fonti:

https://parl.ca/DocumentViewer/en/43-2/bill/C-11/first-reading#ID0E0XB0BA
https://parl.ca/DocumentViewer/en/43-2/bill/C-11/first-reading#ID0ECCCA
https://www.transatlantic-lawyer.com/canadas-consumer-privacy-protection-act-what-the-changes-mean-for-you/

Sales & Support