Alcance y definiciones

La Ley 25 es una actualización mayor de la Ley sobre la protección de la información personal en el sector privado (LPIPSP, RLRQ c. P-39.1). Impone a las empresas quebequenses obligaciones comparables — y a veces más estrictas — que las del RGPD europeo.

¿A quién se aplica la Ley 25?#

La LPIPSP se aplica a toda persona que opere una empresa en el sentido del artículo 1525 del Código Civil de Quebec y que, en el marco de esa empresa, recopile, posea, utilice o comunique información personal, ya sea en papel o en formato digital (art. 1 LPIPSP).

En la práctica, esto abarca:

• todas las empresas privadas establecidas en Quebec (inc., enr., cooperativas privadas, OSFL con actividad económica);
• las empresas fuera de Quebec que recopilan información personal de residentes quebequenses en el marco de una actividad económica (comercio electrónico, servicios en la nube, plataformas digitales);
• las profesiones liberales (abogados, contadores, médicos, notarios) para su despacho, además de sus propias obligaciones deontológicas.

Los organismos públicos (ministerios, municipios, escuelas, hospitales) están sujetos a la Ley sobre el acceso (RLRQ c. A-2.1), una ley distinta. Esta guía no la aborda.

¿Desde cuándo está en vigor la Ley 25?#

La ley fue adoptada en septiembre de 2021 (Proyecto de ley 64) y entró en vigor por fases:

Fecha	Obligaciones activadas
22 de septiembre de 2022	Designación de un responsable de la protección de la información · Notificación obligatoria de incidentes de confidencialidad a la CAI y a las personas afectadas · Mantenimiento de un registro de incidentes
22 de septiembre de 2023	Consentimiento reforzado · Derecho a la información · Evaluación de los factores relativos a la vida privada (EFVP) · Política de gobernanza de la información personal · Comunicación de información personal con fines de estudio, investigación o estadística · Límite a la toma de decisiones automatizada sin intervención humana
22 de septiembre de 2024	Derecho a la portabilidad de la información personal — bajo solicitud, en un formato tecnológico estructurado y de uso común

Actualmente (abril de 2026), todas las disposiciones están en vigor. Una empresa que no haya iniciado su proceso de cumplimiento se encuentra por tanto con casi dos años de retraso en las obligaciones más exigentes.

Definiciones clave#

Información personal#

Una información personal es toda información que se refiere a una persona física y que permite, directa o indirectamente, identificarla (art. 2 LPIPSP).

Ejemplos típicos:

• nombre, dirección, número de teléfono, correo electrónico;
• número de seguro social, número de seguro médico, licencia de conducir;
• dirección IP cuando puede vincularse a un individuo identificable;
• identificadores de dispositivo, cookies de seguimiento persistentes;
• expedientes de RR.HH., nómina, evaluaciones de desempeño;
• expedientes de clientes (compras, facturas, correspondencia);
• datos biométricos (huellas digitales, reconocimiento facial, voz).

Para recordar: una información no necesita ser sensible para estar protegida. El apellido y el correo profesional de un empleado ya son información personal.

Información personal sensible#

Una información es sensible si suscita, por su naturaleza (en particular médica, biométrica o íntima) o por el contexto, un grado elevado de expectativa razonable de confidencialidad (art. 59 LPIPSP).

Son notablemente sensibles:

• la información de salud (diagnósticos, expedientes médicos, pruebas);
• los datos biométricos y genéticos;
• la información financiera detallada (números de tarjeta, detalles de cuentas, solvencia);
• la información de naturaleza sexual o relativa a la vida íntima;
• la información que revela el origen étnico, las opiniones religiosas o políticas, o la actividad sindical.

La información sensible exige un nivel de protección más elevado (consentimiento explícito, cifrado, registro de accesos, plazos de conservación más cortos).

Persona afectada#

La persona afectada es el individuo al que se refiere la información. Es ella quien posee los derechos previstos por la ley (acceso, rectificación, portabilidad, desindexación, retiro del consentimiento).

Responsable de la protección de la información personal#

El responsable de la protección de la información personal (a menudo abreviado responsable PI) es la persona física designada por la empresa para velar por la aplicación de la ley (art. 3.1 LPIPSP). Por defecto, este rol corresponde a la persona con la máxima autoridad en la empresa — pero puede (y debería) delegarse por escrito a un ejecutivo o a un mandatario externo.

Sus datos de contacto deben ser publicados y accesibles, en particular en el sitio web de la empresa.

En Hilo Tech, Pascal Dupuis ocupa este rol internamente (datos públicos). Para los clientes, acompañamos a su responsable PI en los aspectos TI: herramientas, controles técnicos, mapeo de flujos, formación operativa del equipo interno. El análisis jurídico y la redacción de las políticas oficiales corren a cargo de un abogado designado por el cliente — no reemplazamos a un asesor jurídico.

Recopilación, utilización, comunicación, conservación#

La ley distingue cuatro etapas del ciclo de vida de una información personal:

• Recopilación — obtener la información de la persona afectada o de un tercero (art. 5 y siguientes).
• Utilización — aprovechar la información dentro de la empresa para un fin preciso (art. 12).
• Comunicación — transmitir la información a un tercero, con o sin contrato (art. 17 y siguientes, 18.3).
• Conservación — almacenar la información el tiempo necesario, luego destruirla o anonimizarla (art. 23).

Cada etapa tiene sus propias reglas y restricciones de consentimiento. Consulte el capítulo Consentimiento para más detalles.

Lo que la Ley 25 NO cubre#

La ley no se aplica:

• a la información de uso estrictamente personal (ej. libreta de direcciones personal, diario íntimo);
• a la información recopilada en el marco de actividades periodísticas, artísticas o literarias (art. 1 párr. 2);
• a los organismos públicos, que están sujetos a la Ley sobre el acceso (RLRQ c. A-2.1);
• a la información hecha pública por la persona afectada (ej. perfil público en redes sociales), sujeta a un uso conforme al fin para el cual se hizo pública.

Atención: estas exclusiones son restrictivas. Un CRM que contiene contactos profesionales encontrados en LinkedIn sigue estando sujeto a la LPIPSP.

Lista de verificación rápida#

• Hemos identificado que al menos algunas de nuestras actividades están sujetas a la LPIPSP.
• Hemos designado un responsable PI y publicado sus datos de contacto.
• Sabemos qué información personal recopilamos, de quién y con qué fines.
• Hemos clasificado nuestra información entre ordinaria y sensible.
• Hemos documentado las etapas del ciclo de vida (recopilación → utilización → comunicación → conservación → destrucción).

Errores frecuentes que observamos en la práctica#

• «No nos afecta, somos pequeños.» — La LPIPSP no prevé ningún umbral de tamaño o de facturación. Una empresa de 3 empleados está sujeta al mismo régimen que una de 3 000.
• Designar al directivo sin formarlo. — El responsable PI debe conocer sus obligaciones. Un directivo mal informado compromete la responsabilidad de la empresa en caso de incidente.
• Confundir información personal y dato técnico. — La dirección IP de un visitante del sitio web puede constituir una información personal si puede vincularse a un individuo identificable (en particular en combinación con otros datos).

Preguntas que debe formular a su asesor jurídico#

• ¿Tenemos actividades fuera de Quebec que activan la aplicación de otras leyes (LPRPDE federal, RGPD europeo, CCPA/CPRA de California)?
• ¿Nuestra OSFL está sujeta a la LPIPSP debido a su actividad económica?
• ¿Nuestra estructura de grupo (sociedad matriz, filiales) debe designar un responsable PI por entidad o uno solo para todo el grupo?