Guía Ley 25

Esta guía explica, en lenguaje claro, cómo una PyME de Quebec puede cumplir con la Ley que moderniza disposiciones legislativas en materia de protección de la información personal: comúnmente llamada Ley 25 (promulgada como Proyecto de ley 64 en 2021, plenamente en vigor desde el 22 de septiembre de 2024).

Está dirigida a directivos, responsables de TI y responsables de la protección de la información personal (responsables PI) de PyMEs que operan en Quebec y que recopilan, utilizan o comunican información personal, es decir, prácticamente todas las empresas establecidas en la provincia.

¿A quién está dirigida esta guía?#

• Directivos de PyMEs: para entender las obligaciones legales, el nivel de riesgo y las decisiones a tomar.
• Responsables de TI internos: para identificar los controles técnicos requeridos (registro, acceso, cifrado, respaldo, gestión de incidentes).
• Nuevos responsables PI: para conocer el rol, sus poderes y responsabilidades; un rol ahora obligatorio para toda empresa privada en Quebec (art. 3.1 LPIPSP).
• Equipos jurídicos o de cumplimiento: como referencia operativa para cotejar con los dictámenes jurídicos formales.

Fuentes primarias citadas en esta guía#

Esta guía no sustituye el asesoramiento jurídico. Se basa en:

• Ley sobre la protección de la información personal en el sector privado (RLRQ, c. P-39.1): guía oficial de la Commission d'accès à l'information (CAI), autoridad quebequense encargada de la aplicación de la Ley.
• Commission d'accès à l'information du Québec (CAI): autoridad quebequense encargada de la aplicación de la ley, la supervisión y las investigaciones.
• Proyecto de ley 64, Ley que moderniza disposiciones legislativas en materia de protección de la información personal: versión sancionada publicada por Publications du Québec.
• Guías, dictámenes y decisiones de la CAI: incluyendo fichas informativas para empresas.

Cuando citamos una regla precisa, indicamos el artículo correspondiente de la LPIPSP para que pueda volver directamente al texto de la ley.

Cómo utilizar esta guía#

Los capítulos están diseñados para leerse en orden, pero cada uno es autónomo. Comience con Alcance y definiciones si es su primera exposición a la Ley 25, o consulte directamente el capítulo que responde a la pregunta del momento (por ejemplo, «se ha robado una computadora portátil, ¿qué hacemos?» → Notificación de incidentes).

Cada capítulo termina con:

• una lista de verificación rápida de las obligaciones,
• los errores frecuentes que observamos en la práctica,
• las preguntas que debe formular a su proveedor de TI o a su asesor jurídico.

Nuestro rol: el aspecto TI, en colaboración con un abogado#

Hilo Tech no es un despacho de abogados. Somos una firma de servicios TI gestionados. Nuestra contribución en un proyecto de cumplimiento de la Ley 25 cubre el aspecto tecnológico y operativo:

• mapeo técnico de los flujos de información personal (dónde se encuentra, quién tiene acceso, cómo circula);
• implementación de los controles TI requeridos (cifrado, registro, gestión de accesos, respaldo, plan de respuesta a incidentes);
• redacción de los procedimientos internos (notificación de incidentes, tratamiento de solicitudes de acceso, conservación y destrucción);
• configuración de las herramientas (Microsoft 365, Azure, respaldos canadienses, EDR, gestión de identidades) para responder a los requisitos.

Para el análisis jurídico, la redacción de las políticas oficiales y la interpretación de la ley en casos complejos, colaboramos con un abogado designado por el cliente (o, si el cliente no cuenta con uno, podemos sugerir un despacho externo). Cada proyecto de cumplimiento de la Ley 25 se lleva a cabo conjuntamente con un jurista, el abogado valida el alcance legal, Hilo Tech ejecuta la implementación TI.

Si desea que se evalúe su situación actual, Pascal Dupuis: responsable de la protección de la información personal en Hilo Tech, ofrece una llamada de descubrimiento gratuita para identificar las brechas principales y priorizar las acciones del lado TI, y orientarle si también se requiere un acompañamiento jurídico.

Hilo Tech también ofrece una auditoría de cumplimiento de la Ley 25 (aspecto TI) como servicio estructurado: revisión de los controles técnicos existentes, mapeo de los tratamientos, evaluación de riesgos del lado de la infraestructura, plan de acción priorizado y seguimiento de la implementación. Los entregables se definen antes del inicio del mandato y la tarifa se establece después de la llamada de descubrimiento.