Paulo Salvador Ribeiro Perrotti*
Acompanho de perto a legislação canadense, muito em razão do meu relacionamento afetivo com o país, que considero minha segunda pátria, bem como pelo período que fui Presidente da Câmara de Comércio Brasil-Canadá, de 2017 a 2021.
E, como privacidade de dados é a minha especialização, vale a pena tomar conhecimento que, a partir de 22 de setembro de 2022, aqueles que realizam negócios em Québec, uma das principais províncias do Canadá, devem cumprir o primeiro conjunto de obrigações de acordo com as alterações do Bill 64 amendments to Quebec’s Act respecting the protection of personal information in the private sector (“Quebec Privacy Act” or “Law 25”), que se refere à proteção de informações e dados pessoais no setor privado.
Responsável pela proteção de dados
De acordo com esta legislação, por padrão, o CEO será a pessoa com a mais alta autoridade dentro de uma organização e a primeira responsável pela proteção de dados pessoais e informações.
Neste sentido, é importante reforçar tal normativa para as organizações familiarizadas com a legislação federal de privacidade do setor privado, a PIPEDA (Personal Information Protection and Electronic Documents Act – Lei de Proteção de Informações Pessoais e Documentos Eletrônicos), que determina de forma diferente, em que a empresa deve designar uma pessoa responsável pela conformidade.
No entanto, a Lei de Privacidade de Québec prevê que essa função pode ser delegada, no todo ou em parte, por escrito, a qualquer pessoa (desde que este profissional tenha conhecimento técnico e regulatório, obviamente).
Independentemente do tamanho de sua empresa, do setor em que opera ou da natureza e volume de dados pessoais coletados, caso não haja a efetiva e formal nomeação do novo responsável pela proteção de dados e privacidade da empresa, o nomeado será automaticamente o CEO.
As informações de contato do responsável pelos dados pessoais deverão ser publicadas no site da organização. As penalidades por não conformidade são severas e sem precedentes no Canadá. As empresas podem ser responsabilizadas por multas penais de até US$ 25 milhões (ou, se maior, o valor correspondente a 4% do faturamento mundial do ano fiscal anterior).
O valor das multas administrativas impostas a uma empresa pode chegar a US$ 10 milhões ou, se for maior, 2% do faturamento do ano fiscal anterior. A Lei de Privacidade de Quebec também introduz uma penalidade mínima de US$ 1.000 em “punitive damages” por infrações que causem danos e sejam intencionais ou resultem de uma falta grave.
Leia mais artigos do autor:
- Posso tratar dados pessoais sem consentimento?
- Metaverso e sua auto regulação: é possível?
- A Privacidade de Dados e o Impacto na Arquitetura
- Quais os impactos e benefícios do Behavior-Based Cybersecurity para a Segurança de Dados Corporativa?
- LGPD para Recursos Humanos: 7 dicas de mapeamento de privacidade para RH
- A LGPD pode criar créditos tributários?
Paulo Salvador Ribeiro Perrotti: CEO da LGPDSolution, Professor de Cyber Security na Pós Graduação da Faculdade de Engenharia de Sorocaba (FACENS), Professor de Cibersegurança Ofensiva com Certificação (CEH) pela ACADI-TI, Presidente da Câmara de Comércio Brasil-Canadá de 2017 a 2021, Auditor Líder Certificado ISO 27001 (segurança da informação), com especialização em Direito Canadense e de Québec pela Université de Québec à Montreal – UQÀM, possuindo Pós Graduação em Administração de Empresas pela Fundação Getúlio Vargas de São Paulo, especialização em Direito de Informática (LLM) pelo IBMEC/SP, Mercado Financeiro pelo Instituto Finance e Responsabilidade Social pela ESPM/SP, Certified Secure Computer User (CSCU) pela EC-Council e membro da Comissão Especial de Relações Internacionais da OAB/SP.
