Come essere conformi alle leggi canadesi?

La legge C-27 è in corso di adozione in Canada, mentre una parte della legge 25 è già entrata in vigore in Québec dal 22 settembre 2022.

I trattamenti dei dati personali nella provincia del Québec sono regolati dalla legge 25 e in Canada dalla legge C-27.

Alert

Tutte le informazioni che troverai in questa pagina hanno solo scopo informativo e sono da considerarsi limitate agli aspetti coperti dalle nostre soluzioni.

Le nuove obbligazioni derivanti dalla legge 25

La legge 25 prevede una serie di nuove obbligazioni da rispettare per essere conformi, applicabili a partire dal 22 settembre 2022:

Professionnal

Designazione di un responsabile della protezione dei dati personali

L’identificazione e i contatti del responsabile della protezione dei dati personali, la persona con l’autorità più alta all’interno dell’organizzazione, devono essere pubblicati sul sito web dell’organizzazione o attraverso qualsiasi altro mezzo appropriato.

Influenceur

Reazione agli incidenti di riservatezza

In caso di incidente di sicurezza che coinvolge un dato personale, è obbligatorio prendere misure ragionevoli per ridurre i rischi di danno per le persone interessate, avvisare la Commissione e la persona interessata se esiste un rischio di danno grave, e tenere un registro degli incidenti.

Contrat

Concludere un contratto scritto in caso di subappalto

Per comunicare informazioni a un subappaltatore, l’azienda deve disporre di un contratto scritto e specificare le misure per proteggere i dati personali trasmessi.

Altre obbligazioni saranno applicabili a partire dal 22 settembre 2023:

Autoguidage

Stabilire politiche di governance

La persona che gestisce dati personali deve stabilire politiche e pratiche per guidare la governance dei dati personali e informarne il pubblico sul proprio sito web o tramite qualsiasi altro mezzo appropriato.

Analyse audience

Effettuare una valutazione dei fattori relativi alla privacy

Effettuare una valutazione dei fattori relativi alla privacy implica un’analisi dei rischi e delle garanzie che regolano un trattamento particolare, ad esempio quando i dati vengono trasmessi al di fuori del Québec.

Temps

Limitare la durata di conservazione dei dati

I dati personali detenuti da un’azienda devono essere distrutti o anonimizzati quando non sono più necessari per la finalità di raccolta iniziale o se non esiste una finalità seria e legittima per il loro utilizzo.

Justice

Rispettare i diritti delle persone interessate

Le persone interessate hanno numerosi diritti, tra cui il diritto alla cessazione della diffusione, alla reindicizzazione o alla deindicizzazione di un dato personale.

Consentement

Ottenere il consenso delle persone

Il consenso alla raccolta, alla comunicazione o all’uso di un dato personale deve essere manifesto, libero, informato e dato per scopi specifici.

Infine, a partire dal 22 settembre 2024, le aziende dovranno essere in grado di rispondere alle richieste di portabilità dei dati personali.

Le nuove obbligazioni derivanti dalla legge C-27

La legge C-27 è in corso di adozione presso le istanze governative e parlamentari canadesi. Include, come la legge 25, nuove obbligazioni da rispettare per le aziende:

Professionnal

Designazione di un responsabile della protezione dei dati personali

Ogni organizzazione deve designare una o più persone incaricate delle questioni relative al trattamento dei dati personali. I contatti di queste persone devono essere forniti a chiunque ne faccia richiesta.

Influenceur

Reazione agli incidenti di riservatezza

Qualsiasi violazione delle misure di sicurezza relative ai dati personali deve essere dichiarata al Commissario dell’Ufficio per la protezione della privacy se tale violazione presenta un rischio reale di danno grave contro una persona interessata. Questa dichiarazione deve essere fatta anche alla persona interessata e l’incidente deve essere registrato.

Contrat

Concludere un contratto scritto in caso di subappalto

La trasmissione di dati personali da un’organizzazione a un fornitore di servizi è subordinata alla verifica e alla garanzia, anche contrattuale, che il fornitore di servizi offra una protezione equivalente a quella che l’organizzazione è tenuta a offrire.

Analyse audience

Informare le persone interessate

L’organizzazione deve rendere accessibile alle persone un insieme di informazioni relative al modo in cui utilizza i dati personali: tipo di dati, spiegazione del loro uso, compreso in caso di profilazione, esistenza o meno di trasferimenti interprovinciali o fuori Canada, durata di conservazione dei dati sensibili, come esercitare i loro diritti e i contatti del responsabile interno incaricato delle questioni relative al trattamento dei dati personali.

Temps

Limitare la durata di conservazione dei dati

I dati personali detenuti da un’organizzazione non devono più essere conservati se non sono più necessari né per la finalità di raccolta iniziale né per rispettare un obbligo legale o contrattuale.

Justice

Rispettare i diritti delle persone interessate

Le persone interessate hanno numerosi diritti, tra cui il diritto di accesso e rettifica, diritto di presentare un reclamo, o di ritirare il proprio consenso.

Consentement

Ottenere il consenso delle persone

Salvo disposizione contraria, l’organizzazione che raccoglie, utilizza o comunica dati personali deve prima ottenere espressamente il consenso valido della persona interessata, il che presuppone di fornirle un insieme di informazioni. Le eccezioni a questo principio possono essere l’esistenza di un’attività commerciale, l’esistenza di un interesse legittimo all’uso dei dati, o ancora nel caso di una raccolta chiaramente nell’interesse della persona il cui consenso non può essere ottenuto.

L'impatto sui processi chiave del marketing

Cosa è ora vietato in termini di raccolta del consenso

Opt-out

L’opt-out passivo: si riferisce al dover disiscriversi dopo essere stati iscritti automaticamente durante la registrazione a un servizio qualunque.

Opt-in

L’opt-in passivo: consiste nel pre-selezionare per impostazione predefinita caselle del tipo “desidero ricevere sollecitazioni pubblicitarie” o un menu a tendina che propone di default la risposta sì.

Cosa è permesso e richiesto nell'ambito della protezione dei dati

Opt-double

L’opt-in e double opt-in: per ottenere un consenso espresso legalmente valido, è necessario farne richiesta in modo chiaro e conciso. E fare una doppia conferma per ricevere le vostre campagne è meglio!

Collect

La raccolta minima: sotto certe condizioni, l’uso di statistiche di frequenza o di performance può essere considerato indispensabile alla gestione di un sito, ma è necessario informare le persone interessate e limitare la durata di conservazione dei dati.

Desinsciption

Il link di disiscrizione: visibile in ogni email che inviate.

Save Consentement

La conservazione delle prove di consenso: è necessario poter rintracciare la traccia del consenso ottenuto da ciascun individuo secondo il principio di responsabilità esigito dal GDPR.

Come Eulerian vi supporta in 4 passaggi chiave

Ci assicuriamo che gli internauti abbiano il diritto e quindi possano opporsi in qualsiasi momento al trattamento dei loro dati personali da parte di Eulerian Technologies.

Forniamo un link di disiscrizione, disponibile sulla nostra interfaccia affinché possiate diffonderlo successivamente sul vostro sito internet. In caso di necessità o assistenza su questo tipo di azione, i nostri team di Account Management sono a disposizione.

Lo strumento “Privacy manager” vi permette di impostare la durata di conservazione dei cookie e delle informazioni raccolte dai cookie entro il limite di 13 mesi dalla raccolta (o dalla nuova raccolta) del consenso della persona.

Vi raccomandiamo di rispettare questa durata limitata di conservazione dei dati per ricordare regolarmente ai vostri clienti l’esistenza dei cookie e, se necessario, rispettare il loro diritto di opposizione al monitoraggio o il diritto al ritiro del loro consenso.

Minimizzate i vostri dati “inutili” o “scaduti” cancellando ciò di cui non avete più bisogno.

Uno degli impatti del GDPR sulle aziende è di adottare una nuova filosofia dei dati, razionalizzando la loro raccolta e il loro trattamento. Pertanto, vi consigliamo di non conservare i contatti inattivi o disiscritti poiché sono dati che non utilizzerete più.

Spetta a ciascuna azienda designare un responsabile della protezione dei dati personali.

Per contattarlo, è possibile all’indirizzo email: dpo@eulerian.com