Modifiche alla normativa privacy del Canada: quali impatti sulle imprese che trattano dati - Cyber Security 360

DATA PROTECTION

Modifiche alla normativa privacy del Canada: quali impatti sulle imprese che trattano dati

Il disegno di legge Digital Charter Implementation Act di recente presentato al Parlamento canadese potrebbe cambiare radicalmente il panorama della normativa privacy del Canada, con impatti significativi sulle imprese che trattano dati personali. Ecco di cosa si tratta

25 Nov 2020
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist

Il 17 novembre 2020, il ministro federale dell’Innovazione, della Scienza e dell’Industria, Navdeep Bains, ha presentato in Parlamento il disegno di legge C-11, Digital Charter Implementation Act, 2020, con lo scopo di apportare importanti modifiche alla normativa sulla privacy del Canada; le riforme previste introdurrebbero nuovi obblighi, con forti impatti sulle imprese che effettuano trattamenti di dati personali.

Normativa privacy del Canada: le modifiche di rilievo

Il Bill C-11 è la prima grande revisione della normativa privacy del Canada dall’emanazione di PIPEDA nel 2000 e introduce numerose modifiche di rilievo nell’attuale panorama in materia di privacy:

  • l’aggiunta di requisiti del consenso, tra cui il consenso chiaro e informato, che obbligherà le aziende a una maggiore trasparenza, per consentire ai canadesi di conoscere come le loro informazioni sono raccolte e utilizzate;
  • la trasparenza degli algoritmi utilizzati;
  • un diritto d’azione per i consumatori, con diritto al risarcimento del danno subito;
  • il diritto alla cancellazione dei dati e di revoca del consenso, con la possibilità di presentare un reclamo all’Ufficio del Privacy Commissioner in caso di mancato adempimento;
  • la possibilità per il Privacy Commissioner del Canada di emettere ordini vincolanti, di effettuare ispezioni e raccomandare sanzioni pecuniarie amministrative fino al 5% del fatturato globale per le aziende;
  • la creazione del Tribunale per la Protezione dei Dati Personali, competente a decidere in materia di privacy.

I testi normativi di riferimento

Il Bill C-11 (ufficialmente “Act to enact the Consumer Privacy Protection Act and the Personal Information and Data Protection Tribunal Act and to make consequential and related amendments to other Acts”), con lo scopo di superare le disposizioni del Personal Information Protection and Electronic Documents Act (PIPEDA), introduce due nuovi testi normativi:

  1. il Consumer Privacy Protection Act, finalizzato a proteggere i dati personali delle persone fisiche raccolti, utilizzati o comunicati nel corso di attività commerciali;
  2. il Personal Information and Data Protection Tribunal Act, che istituisce un tribunale amministrativo incaricato di esaminare i ricorsi presentati contro le decisioni del Privacy Commissioner ai sensi del Consumer Privacy Protection Act e di imporre sanzioni per la violazione delle disposizioni di tale legge. Inoltre, apporta una modifica al Administrative Tribunals Support Service of Canada Act.

Obiettivo della riforma alla normativa privacy del Canada

La riforma della normativa privacy del Canada vuole assicurare una maggiore tutela ai dati dei canadesi, con particolare attenzione ai seguenti aspetti:

  • aumentare il controllo e la trasparenza dei cittadini sui dati trattati dalle aziende;
  • dare ai canadesi la libertà di trasferire le loro informazioni da un titolare a un altro in modo sicuro;
  • garantire che i canadesi abbiano la possibilità di esigere che le loro informazioni siano cancellate;
  • fornire al Privacy Commissioner maggiori poteri;
  • garantire sanzioni più severe in caso di violazione.

L’On. Ministro Bains ha definito il regime legislativo proposto come “un primo passo verso una riforma globale del quadro canadese sulla privacy”, con l’intento di fornire “le più forti protezioni alla privacy di qualsiasi paese G7” compreso il Regolamento generale dell’Unione europea sulla protezione dei dati (GDPR) e il Consumer Protection Act (CCPA) della California. Il ministro ha anche chiarito che l’Ufficio del Privacy Commissioner riceverà “le risorse adeguate” per garantire che siano in grado di esercitare i necessari poteri per proteggere i canadesi.

“La pandemia COVID-19 ha accelerato la trasformazione digitale che sta cambiando il modo di lavorare, di accedere alle informazioni e ai servizi e di connettersi con i propri cari dei canadesi. Questa trasformazione sta ponendo forti preoccupazioni sulla tutela della privacy, e regolamentare come le aziende gestiscono i dati dei cittadini canadesi è ora più importante che mai. Poiché i canadesi si affidano sempre più alla tecnologia, abbiamo bisogno di un sistema che consenta loro di conoscere come vengono utilizzati i loro dati e dia loro il controllo su come vengono gestiti. Affinché il Canada abbia successo e le nostre aziende siano in grado di innovare in questa nuova realtà, abbiamo bisogno di un sistema fondato sulla fiducia con regole chiare e severa applicazione. Questa legislazione rappresenta un passo importante verso il raggiungimento di questo obiettivo”, ha dichiarato il Ministro Bains.

Nuova normativa privacy del Canada a supporto dell’innovazione

Il Canada si trova, quindi, nella situazione in cui deve e vuole tenere il passo con altri Paesi che stanno adottando normative severe a tutela della privacy. La proposta CPPA è un passo importante per garantire ai canadesi che la loro privacy sia rispettata, pur consentendo l’innovazione necessaria a promuovere una forte economia.

La normativa ha introdotto, quindi, alcune modifiche alla previgente legislazione, con l’intento di supportare l’innovazione, tra cui:

  1. “Meaningful consent”: le nuove norme assicurerebbero che gli individui ricevano, in un linguaggio chiaro, tutte le informazioni di cui hanno bisogno per effettuare scelte consapevoli sull’utilizzo dei loro dati. Il PIPEDA era già un regime basato sul consenso; con la nuova proposta, si vorrebbe avvicinare il regime del consenso al GDPR, eliminando l’onere di dover ottenere il consenso quando questo non fornirebbe alcuna protezione significativa della privacy, come ad esempio quando il trattamento è necessario a fini contrattuali.
  2. Portabilità dei dati: per migliorare ulteriormente il controllo sui dati personali, gli interessati avrebbero il diritto di richiedere la trasmissione delle loro informazioni personali da una società a un’altra.
  3. Diritto alla cancellazione dei dati personali e alla revoca del consenso: il testo di legge proposto consente agli interessati di richiedere alle società che trattano i loro dati personali di cancellarli e consente di revocare il consenso prestato all’utilizzo dei loro dati.
  4. Trasparenza degli algoritmi: la normativa recentemente proposta, prevede nuovi requisiti di trasparenza che si applicano ai processi decisionali automatizzati, come algoritmi e intelligenza artificiale, richiedendo alle imprese trasparenza sul modo in cui utilizzano tali sistemi per fare previsioni, raccomandazioni o prendere decisioni significative sugli individui, prevedendo il diritto in capo agli individui di ottenere dal titolare una spiegazione sui processi decisionali utilizzati.
  5. “De-identified information”: la definizione di dato personale è “information about an identifiable individual”, la normativa chiarisce che anche le informazioni “de-identified” devono essere protette e che possono essere utilizzate o comunicate senza il consenso di un individuo solo in determinate circostanze individuate dalla norma.
  6. Business Operation: nell’economia digitale, l’uso di informazioni personali è spesso fondamentale per la fornitura di un prodotto o un servizio, e i consumatori possono ragionevolmente aspettarsi che le loro informazioni saranno utilizzate per questo scopo. Attualmente, le società canadesi sono spesso tenute a chiedere il consenso per tali usi, rendendo il trattamento dei dati complicato e creando oneri e lungaggini. La legislazione proposta, pur prevedendo comunque che “a meno che la presente legge non disponga diversamente, un titolare deve ottenere il valido consenso di un individuo per la raccolta, l’uso o la divulgazione delle informazioni personali dell’individuo”, in un’ottica di semplificazione indica espressamente alcune ipotesi in cui il trattamento può essere effettuato senza richiedere il consenso degli interessati, come ad es. per la fornitura di un prodotto o servizio.
  7. Condivisione dei dati: la normativa apre a una maggiore condivisione dei dati tra il settore pubblico e quello privato in settori quali la sanità pubblica, le infrastrutture e la protezione dell’ambiente.
  8. Riconoscimento dei codici di condotta e dei sistemi di certificazione: per aiutare le organizzazioni a comprendere i loro obblighi ai sensi della CPPA e a dimostrarne la conformità, la legislazione consentirebbe alle organizzazioni di chiedere al Privacy Commissioner di approvare dei codici di condotta e dei sistemi di certificazione che stabiliscano le regole per l’applicazione della CPPA in determinate attività, settori o modelli di business.
  9. Privacy management program: alle imprese è richiesto di attuare un programma di gestione della privacy che comprenda l’adozione di specifiche politiche e procedure per adempiere agli obblighi previsti dalla normativa, comprese le procedure per (a) garantire la protezione dei dati personali; (b) definire le modalità di ricevimento e di gestione delle richieste di informazioni e dei reclami; (c) gestire la formazione del personale; e (d) predisporre il materiale finalizzato a motivare le scelte, politiche e procedure adottate dalla società. La documentazione predisposta all’interno del privacy management program deve, su richiesta, essere messa a disposizione del Privacy Commissioner.
  10. Finalità: l’art. 12 chiarisce che un titolare può raccogliere, utilizzare o comunicare dati personali solo per finalità che una persona ragionevole riterrebbe appropriate in determinate circostanze, tenuto conto di alcuni fattori quali la sensibilità delle informazioni personali; il fatto che tali finalità rappresentino esigenze commerciali legittime dell’organizzazione; l’efficacia della raccolta, dell’uso o della comunicazione per soddisfare le legittime esigenze aziendali dell’organizzazione; l’esistenza di mezzi meno invasivi per conseguire tali obiettivi a costi comparabili e con benefici comparabili; e il bilanciamento tra i rischi sulla privacy dell’individuo e i benefici della società, tenuto conto delle eventuali misure tecniche o di altro tipo attuate dall’organizzazione per mitigare gli impatti privacy sull’interessato.
  11. Rafforzamento dell’applicazione e della sorveglianza da parte del Privacy Commissioner, che avrà maggiori poteri e potrà raccomandare l’irrogazione di sanzioni da parte del Tribunale, emettere ordini vincolanti, effettuare ispezioni.
  12. Tribunale per la privacy dei dati personali: la costituzione di un tribunale ad hoc potrebbe costituire un percorso “più rapido” ed efficiente per la tutela dei diritti dei cittadini, che potranno azionare i loro diritti dinanzi al Tribunale.

Il regime sanzionatorio della nuova normativa privacy canadese

WHITEPAPER
Protezione dei dati e backup: come valutare le diverse soluzioni prima dell’acquisto
Backup
Sicurezza dei dati

Le sanzioni amministrative pecuniarie previste sono particolarmente severe: la violazione di alcune disposizioni comporta una sanzione amministrativa pecuniaria fino al 3% del fatturato globale o fino a $10 milioni (circa 6,4 milioni di euro), ma il progetto di legge prevede, per molte violazioni, sanzioni fino a $ 25 milioni (circa 16 milioni di dollari US) o fino al 5% del fatturato globale annuo.

Gli scenari futuri in tema di trattamento di dati personali

Ciò che resta da vedere ora è come questa nuova legislazione si integrerà (o non si integrerà) con le leggi provinciali: il Quebec ha presentato delle richieste di modifica per rendere la sua legge molto simile al GDPR; British Columbia, prima delle recenti elezioni, stava prendendo in considerazione diverse modifiche alla propria normativa interna e l’Ontario ha avviato consultazioni su una sua eventuale legge sulla privacy nel settore privato. Costruire un quadro federale unitario nel rispetto delle normative locali costituirà una sfida complessa[1].

Naturalmente, la nuova normativa tiene nella dovuta considerazione la recente sentenza della CJUE c.d. Schrems II e la necessità di mantenere l’adeguatezza decisa dalla Commissione UE. Bains ne ha parlato nel suo briefing discutendo dell’interoperabilità con il GDPR e della necessità di mantenerne l’adeguatezza.

Constantine Karbaliotis, ha commentato la presentazione del disegno di legge, affermando che il (CPPA) aggiorna la vigente legge federale sulla privacy in modo significativo, richiedendo un programma di gestione della privacy che deve essere comunicato all’Ufficio del Privacy Commissioner su richiesta; prevedendo sanzioni fino al 5% o 25 milioni di dollari, diritti di trasparenza sugli algoritmi per i canadesi, mobilità dei dati, diritti di accesso e di cancellazione. Norma anche i precedenti orientamenti dei Commissioners canadesi con riguardo al “meaningful consent” e gli “interessi legittimi” che determinano i casi in cui il consenso non è richiesto. Il rinnovamento federale del governo Trudeau arriva in un momento in cui i trasferimenti internazionali sono stati messi in discussione a seguito della sentenza “Schrems II” nell’UE, mentre gli Stati Uniti stanno valutando di dotarsi di un’unitaria legislazione federale sulla privacy. “Un punto chiave fatto dal Ministro Bains è stato l’obiettivo di interoperabilità con la legislazione UE e USA. e adeguatezza come risultato desiderato della legislazione,” Karbaliotis ha sottolineato[2].

La Canadian Internet Registration Authority, l’organizzazione no-profit che gestisce il dominio Internet .ca, ha applaudito il disegno di legge, tramite il suo presidente Byron Holland secondo il quale le aziende che gestiscono un’enorme mole di dati personali devono essere ritenute responsabili per la protezione di tali dati, essere trasparenti su come li utilizzano, e affrontare le conseguenze in caso di perdita di fiducia da parte degli utenti[3].

Conclusioni

La nuova legge non è ancora in vigore, il disegno di legge deve essere approvato dal Parlamento e non si prevedono tempi brevi, ma certamente se e quando il Digital Charter Implementation Act entrerà in vigore, potrà cambiare radicalmente il panorama della privacy in Canada.

NOTE

  1. Federal privacy reform in Canada: The Consumer Privacy Protection Act, Constantine Karbaliotis e Dustin Moores.
  2. Big fines included in Canada’s newly proposed national privacy bill” di Jedidiah Bracy.
  3. Big fines included in Canada’s newly proposed national privacy bill” di Jedidiah Bracy.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4