Ir al contenido
descubra Hilo Inteligencia
Guía Ley 25

Derechos de las personas

Los seis derechos ejercibles por toda persona en Quebec — acceso, rectificación, desindexación, portabilidad, retiro del consentimiento e información sobre decisiones automatizadas. Plazos, rechazos motivados, vías de recurso.

Actualizado el 20 de abril de 20266 min de lecturaRedactado por Pascal Dupuisderechosaccesorectificaciónportabilidadart. 27-32CAI

La Ley 25 consagra seis derechos individuales que toda empresa debe poder honrar en un plazo de 30 días (art. 32 LPIPSP). Este capítulo explica cada derecho, el procedimiento de respuesta y lo que debe prepararse antes de recibir una primera solicitud.

Los seis derechos

Derecho Fuente En vigor desde
Acceso art. 27 siempre (antes de la Ley 25)
Rectificación art. 28, 53 siempre
Retiro del consentimiento art. 8.3 sept. 2023
Desindexación / cesación de difusión art. 28.1 sept. 2023
Información sobre decisiones automatizadas art. 12.1 sept. 2023
Portabilidad art. 27 párr. 2 sept. 2024

1. Derecho de acceso (art. 27)

Toda persona tiene derecho a obtener confirmación de que la empresa posee información personal sobre ella, copia de esa información e información sobre su origen, utilización y comunicación.

Lo que debe entregarse

  • El contenido bruto de la información (expediente de cliente, facturas, correos, campos CRM, logs de acceso cuando se refieren a la persona).
  • Las categorías de terceros a los que se ha comunicado la información.
  • Los plazos de conservación aplicados.
  • La finalidad para la cual se conserva cada información.

Lo que puede rechazarse

  • Información cubierta por el secreto profesional (abogado–cliente, médico–paciente).
  • Información que revelaría información personal de otra persona (salvo consentimiento del tercero).
  • Información protegida por una investigación penal o disciplinaria en curso.

Todo rechazo debe ser por escrito y motivado (art. 34), con mención del derecho de recurso a la CAI (art. 40).

2. Derecho de rectificación (art. 28)

La persona puede solicitar la corrección de una información inexacta, incompleta o equívoca. La empresa debe:

  • Corregir la información.
  • Comunicar la corrección a los terceros a quienes se transmitió la información errónea en los últimos 6 meses, bajo solicitud.
  • Rechazar únicamente si la rectificación es manifiestamente infundada (ej. la información es correcta).

Caso particular: la observación

Ciertas informaciones son observaciones profesionales (evaluación de desempeño, nota de expediente, diagnóstico médico). La persona no puede exigir la modificación de su contenido, pero puede exigir la adición de una anotación que exprese su desacuerdo.

3. Derecho de retiro del consentimiento (art. 8.3)

Consulte el capítulo Consentimiento para más detalle. En síntesis:

  • Retiro en cualquier momento, con efecto prospectivo.
  • Medio de retiro sencillo y gratuito (enlace, formulario, correo dedicado).
  • Consecuencias del retiro comunicadas (ej. «su cuenta no podrá seguir utilizándose»).

4. Derecho a la desindexación / cesación de difusión (art. 28.1)

Desde septiembre de 2023, una persona puede exigir:

  • La cesación de difusión de una información personal (ej. retirar un artículo de blog que la nombra).
  • La desindexación de su información (retirar un resultado de búsqueda) o la reindexación bajo los términos de consulta que especifique.

Condiciones:

  • La difusión causa un perjuicio grave a la persona.
  • Ese perjuicio es manifiestamente superior al interés público en la información.
  • Medios menos restrictivos no bastarían.

En la práctica para una PyME

Este derecho concierne sobre todo:

  • Foros, sitios de reseñas, galerías de fotos, listas de ex-empleados, artículos de blog.
  • Motores de búsqueda internos que indexan contenidos de clientes.
  • Directorios y catálogos públicos.

Si su sitio web aún muestra el nombre de un ex-empleado, de un cliente que canceló o de una persona mencionada en un comunicado antiguo, tiene la obligación de evaluar toda solicitud de desindexación según la prueba anterior.

5. Derecho a la información sobre decisiones automatizadas (art. 12.1)

Desde septiembre de 2023, cuando una decisión que produce un efecto jurídico o afecta significativamente a la persona se toma exclusivamente por un tratamiento automatizado, la empresa debe:

  • Informar a la persona de que se ha tomado tal decisión automáticamente.
  • Bajo solicitud, proporcionar la información personal utilizada, las razones principales y los factores que condujeron a la decisión.
  • Ofrecer a la persona la oportunidad de hacer corregir la información utilizada.

Ejemplos típicos:

  • Decisión automatizada de aceptar o rechazar un crédito.
  • Puntuación automatizada de un candidato por un ATS con IA.
  • Detección automatizada de fraude que bloquea una cuenta.

Una simple recomendación IA seguida de una decisión humana no es una «decisión basada exclusivamente en un tratamiento automatizado». Pero cuidado con los procesos donde la decisión humana se reduce a validar el resultado de la máquina — la CAI puede tratarlos como automatizados de facto.

6. Derecho a la portabilidad (art. 27 párr. 2 — en vigor desde el 22 sept. 2024)

La persona tiene derecho a obtener su información personal informatizada en un formato tecnológico estructurado y de uso corriente, o a solicitar su transmisión directa a otro responsable del tratamiento.

Lo que abarca

  • La información que la persona ha proporcionado (ej. nombre, perfil, historial de pedidos).
  • La información generada por su uso del servicio (ej. preferencias, carritos, mensajes).
  • No abarca: observaciones, análisis, puntuaciones producidas por la empresa.

Formatos aceptables

  • JSON, CSV, XML, Excel.
  • PDF solo si es el único formato de origen.

La CAI no ha impuesto un estándar obligatorio; el criterio es el uso corriente — es decir, reutilizable por otro proveedor de servicios comparable.

El procedimiento de respuesta (art. 32)

El plazo: 30 días

  • El conteo comienza con la recepción de la solicitud (no al enviarla al responsable PI interno).
  • Puede concederse una prórroga para solicitudes complejas, siempre que se notifique a la persona antes del vencimiento de los 30 días.

Las etapas

  1. Recepción: la solicitud puede llegar por correo, carta, teléfono, formulario. Marcar la hora de inmediato.
  2. Identificación: verificar que la persona sea quien dice ser (sin suplantación). Nivel de prueba proporcional a la sensibilidad de los datos.
  3. Búsqueda: exhaustiva, incluyendo archivos, respaldos, bases de contactos, sistemas de terceros.
  4. Análisis: qué parte es accesible, qué parte debe redactarse (secreto de un tercero, secreto de investigación).
  5. Respuesta: por escrito, motivada, en el idioma de la solicitud. Si la respuesta es un rechazo parcial o total, debe mencionar la vía de recurso.

El recurso a la CAI (art. 40)

Si la persona queda insatisfecha (rechazo, silencio, respuesta incompleta), puede presentar una queja ante la CAI. La Commission puede investigar, ordenar la corrección e imponer una sanción administrativa.

Nuestro rol del lado TI

En Hilo Tech, configuramos las herramientas que permiten al responsable PI del cliente encontrar la información rápidamente en Microsoft 365, SharePoint, OneDrive, los CRM, los respaldos y los sistemas de terceros. No redactamos la respuesta ni decidimos qué se redacta — ese es el rol del responsable PI, validado por el abogado.

Lista de verificación rápida

  • Un correo dedicado (ej. privacy@) recibe las solicitudes y un empleado revisa el buzón al menos una vez al día.
  • Tenemos una plantilla de respuesta a solicitudes de acceso, validada por nuestro abogado.
  • Se mantiene un registro de solicitudes (fecha de recepción, naturaleza, plazo de respuesta, decisión).
  • Sabemos dónde buscar — inventario de sistemas que contienen información personal.
  • Tenemos un proceso de verificación de identidad proporcionado.
  • Un plan de prórroga está listo para solicitudes complejas.
  • La plantilla de rechazo menciona explícitamente el recurso a la CAI.

Errores frecuentes

  • Responder más allá de 30 días sin prórroga escrita. — Incumplimiento puro y simple, base de queja.
  • Exigir demasiadas pruebas de identidad. — Pedir un cheque certificado para probar la identidad cuando la persona tiene una cuenta activa es desproporcionado. La CAI ha sancionado casos similares.
  • Olvidar los respaldos. — Un empleado eliminado del CRM puede permanecer en un respaldo Veeam de 7 años. El acceso debe incluir estos datos, aunque sea con dificultad.
  • Cobrar las solicitudes de acceso. — En principio gratuito. Los cargos solo se permiten para la transcripción, reproducción o transmisión (art. 33), y deben ser moderados.

Preguntas que debe formular a su asesor jurídico

  • ¿Qué nivel de prueba de identidad para qué categoría de datos?
  • ¿Podemos rechazar una solicitud abusiva (muy numerosas, repetitivas, manifiestamente vejatorias)?
  • ¿Qué cláusulas incluir en nuestros contratos de proveedores (Microsoft, SaaS) para garantizar que nos entregarán los datos necesarios para una solicitud de acceso dentro de nuestros plazos?
  • ¿Cómo tratar las solicitudes que llegan a través de un mandatario (abogado, familiar, curador)?
AnteriorResponsable de la protección de la información personalSiguienteTransferencias fuera de Quebec
Volver al sumario de la colección Guía Ley 25

¿Preguntas sobre esta guía?

Pascal y Jérémie pueden responder directamente por correo o en una llamada de descubrimiento.

Escríbenos