Ir al contenido
descubra Hilo Inteligencia
Guía Ley 25

Plantillas y modelos

Puntos de partida reutilizables para su política de privacidad, avisos de consentimiento, procedimiento de incidentes, registro de incidentes y EFVP. A adaptar por un abogado antes de su publicación.

Actualizado el 20 de abril de 20267 min de lecturaRedactado por Pascal DupuisplantillasmodelospolíticaconsentimientoEFVP

Este capítulo reúne puntos de partida que puede copiar y adaptar para su PyME. Todas estas plantillas deben ser revisadas por un abogado antes de su publicación o firma: son fieles a la Ley 25 tal como existe al momento de redactar esta guía, pero cada contexto empresarial, cada sector y cada riesgo residual exige una validación específica.

Hilo Tech no redacta estos documentos en lugar del jurista — nuestro rol es integrarlos técnicamente (publicarlos en su sitio, enviarlos, registrarlos) una vez validados.

1. Esqueleto de política de privacidad

Su política de privacidad es el documento público que explica, en lenguaje sencillo, lo que hace con la información personal. Debe ser accesible desde cada página de su sitio (típicamente en el pie de página).

# Política de protección de la información personal

**Fecha de última actualización: [AAAA-MM-DD]**

## 1. Introducción
[Nombre de la empresa] respeta su privacidad y se compromete a proteger la información
personal que nos confía. La presente política describe cómo recopilamos, utilizamos,
comunicamos y conservamos esta información, de conformidad con la Ley sobre la
protección de la información personal en el sector privado (RLRQ c. P-39.1).

## 2. Responsable del tratamiento
[Nombre de la empresa] es el responsable del tratamiento de su información personal.
Puede contactar a nuestro responsable de la protección de la información personal:
- Nombre: [Nombre de la persona]
- Correo: privacy@[dominio]
- Teléfono: [número]
- Dirección: [dirección postal]

## 3. Información que recopilamos
Recopilamos las siguientes categorías de información:
- [Identificación: nombre, apellido, correo, teléfono]
- [Contractual: historial de compras, facturas, correspondencia]
- [Técnica: dirección IP, tipo de dispositivo, páginas visitadas]
- [RR.HH. (si empleados): CV, datos de contacto, evaluaciones, nómina]
- [Sensible (si aplicable): salud, biometría — con consentimiento expreso]

## 4. Finalidades
Utilizamos su información para:
- [Proporcionar el producto/servicio solicitado]
- [Procesar pagos y facturación]
- [Comunicarnos con usted sobre su cuenta o pedidos]
- [Cumplir con nuestras obligaciones legales (fiscales, contables)]
- [Con su consentimiento, enviarle comunicaciones de marketing]

## 5. Fundamento jurídico
La recopilación y el uso se basan en:
- Su consentimiento (salvo excepciones legales);
- La ejecución de un contrato con usted;
- El cumplimiento de obligaciones legales;
- [Otro — a validar con su abogado].

## 6. Comunicación a terceros
Podemos comunicar su información a:
- Nuestros proveedores TI (ej. [host, CRM, pago]) — bajo contrato y para los fines descritos;
- Las autoridades públicas cuando la ley lo exige;
- [Otros terceros, con su consentimiento previo].

## 7. Transferencias fuera de Quebec
[Si aplicable] Algunos de nuestros proveedores alojan o acceden a su información
fuera de Quebec. Hemos realizado una evaluación de los factores relativos a la vida
privada (EFVP) que concluye que estas transferencias se benefician de una protección
equivalente. Los países afectados son: [lista].

## 8. Conservación
Conservamos su información durante el tiempo necesario para las finalidades descritas
y los plazos de prescripción legal:
- [Datos de clientes: duración de la relación + X años]
- [Datos de RR.HH.: duración del empleo + X años]
- [Datos contables: 6 años (exigencia fiscal)]

## 9. Sus derechos
Tiene los siguientes derechos: acceso, rectificación, retiro del consentimiento,
desindexación, portabilidad, información sobre toda decisión automatizada que le
concierna. Para ejercer estos derechos, escriba a privacy@[dominio]. Responderemos
en un plazo de 30 días.

## 10. Cookies
[Si sitio web] Nuestro sitio utiliza cookies para [finalidades]. Puede gestionar sus
preferencias mediante el banner de consentimiento o la configuración del navegador.

## 11. Seguridad
Implementamos medidas técnicas (cifrado, controles de acceso, registro) y
organizativas (formación, procedimientos) para proteger su información. Ningún
sistema es infalible; en caso de incidente de confidencialidad que presente un
riesgo de perjuicio serio, le avisaremos lo antes posible.

## 12. Quejas
Si está insatisfecho con nuestra respuesta, puede presentar una queja ante la
Commission d'accès à l'information du Québec:
https://www.cai.gouv.qc.ca/

## 13. Modificaciones
Podemos actualizar esta política. La fecha de última actualización figura arriba.
Los cambios significativos le serán comunicados mediante un aviso visible.

2. Cláusula de consentimiento expreso para información sensible

Esta cláusula se integra en un formulario de admisión o un contrato. A adaptar por su abogado según el contexto.

CONSENTIMIENTO EXPRESO A LA RECOPILACIÓN DE INFORMACIÓN SENSIBLE

Consiento que [Nombre de la empresa] recopile, utilice y conserve la siguiente
información personal de naturaleza sensible que me concierne:

[ ] Información de salud (diagnósticos, antecedentes, resultados de pruebas)
[ ] Información financiera detallada (número de tarjeta, cuentas bancarias)
[ ] Información biométrica (huellas digitales, reconocimiento facial)
[ ] Otra: _______________________

Este consentimiento se otorga para las siguientes finalidades:
_______________________________________________________

Esta información se conservará durante: ________________

Puedo retirar este consentimiento en cualquier momento escribiendo a privacy@[dominio].
Entiendo que ciertos servicios pueden no estarme disponibles después del retiro.

Firma: _____________________ Fecha: _____________________

3. Aviso a las personas afectadas (modelo de incidente)

A enviar cuando un incidente de confidencialidad presenta un riesgo de perjuicio serio. Correo, carta o combinación según el alcance.

ASUNTO: Aviso de incidente de confidencialidad sobre su información personal

[Fecha]
[Nombre de la persona]

Estimado/a [Nombre],

Le escribimos para informarle que ocurrió un incidente de confidencialidad el
[fecha o período] y que afectó parte de su información personal que poseemos.

**Naturaleza del incidente**
[Descripción factual y clara, sin jerga técnica. Ej.: «Una computadora portátil que
contenía su expediente fue robada el X. Se ha presentado la denuncia policial.»]

**Información afectada**
[Lista precisa: nombre, dirección, número de expediente, fecha de nacimiento, etc.]

**Lo que hemos hecho**
- [Medidas inmediatas tomadas]
- [Notificación a la Commission d'accès à l'information]
- [Medidas correctivas en curso]

**Lo que usted puede hacer**
- [Cambiar sus contraseñas si las credenciales están afectadas]
- [Vigilar su informe de crédito (Equifax, TransUnion)]
- [Reportar cualquier actividad sospechosa a sus instituciones financieras]

**Estamos disponibles**
Para cualquier pregunta, comuníquese con nuestro responsable de la protección
de la información personal:
- Correo: privacy@[dominio]
- Teléfono: [número]

Lamentamos sinceramente este incidente y los inconvenientes que pueda causarle.

[Firma]
[Nombre y título]
[Nombre de la empresa]

4. Procedimiento interno de gestión de incidentes (estructura)

A conservar en el manual de procedimientos, accesible a todos los empleados clave. Versión corta: 2 páginas.

PROCEDIMIENTO DE GESTIÓN DE UN INCIDENTE DE CONFIDENCIALIDAD

## 1. Definición
Un incidente de confidencialidad es un acceso, uso o comunicación no autorizada
de información personal, o una pérdida de dicha información.

## 2. Detección y notificación
Todo empleado que sospeche un incidente debe notificarlo INMEDIATAMENTE a:
- Responsable PI: [nombre, correo, teléfono 24/7]
- En caso de ausencia: [nombre del suplente]
- Equipo TI (Hilo Tech): [línea de emergencia]

## 3. Contención (0-2 h)
- Aislar los sistemas afectados.
- Revocar los accesos comprometidos.
- Preservar los rastros (logs).
- NO intentar «reparar» sin preservación.

## 4. Evaluación (2-24 h)
- Reunión del equipo de crisis: responsable PI, dirección, TI, abogado.
- Recopilación de hechos: qué, cuándo, quién, cuántas personas, qué sensibilidad.
- Evaluación del riesgo de perjuicio serio (tres factores: sensibilidad,
  consecuencias, probabilidad de uso malicioso).

## 5. Decisiones (24-72 h)
- ¿Notificar a la CAI? (Sí si riesgo de perjuicio serio)
- ¿Notificar a las personas afectadas? (Mismo criterio)
- ¿Involucrar a la policía? (Robo físico, ransomware, amenaza)
- ¿Seguro cibernético a contactar?

## 6. Notificaciones (72 h +)
- CAI: formulario en línea (cai.gouv.qc.ca).
- Personas: correo o carta (plantilla en Anexo A).
- Ingreso al registro de incidentes.

## 7. Restablecimiento
- Restauración de los sistemas.
- Reforzamiento de los controles.
- Formación dirigida del equipo.

## 8. Análisis post-mortem
- Lecciones aprendidas, documentadas.
- Actualización del procedimiento si es necesario.
- Informe a la dirección en un plazo de 30 días.

5. Registro de incidentes (estructura Excel o tabla)

Columnas mínimas:

| ID | Fecha descubrimiento | Fecha incidente | Descripción | Categorías IP | N° personas |
| Sensibilidad | Riesgo perjuicio serio | Notificación CAI | Notificación personas |
| Medidas tomadas | Medidas preventivas | Responsable del expediente | Estado | Fecha cierre |

El registro debe ser inmutable (sin supresión, solo adiciones y actualizaciones trazables). Un libro Excel protegido, una herramienta GRC dedicada o una tabla en HaloPSA/ServiceNow con historial de cambios hace el trabajo.

6. Plantilla de EFVP (5 páginas)

Consulte el capítulo Transferencias fuera de Quebec para más detalle. Estructura condensada:

  1. Descripción del tratamiento — servicio, proveedor, datos, volumen, duración.
  2. Finalidad — por qué, alternativas evaluadas.
  3. Sensibilidad — ordinarias/sensibles, justificación.
  4. Flujo de datos — esquema simple.
  5. Régimen jurídico del destinatario — país, ley, autoridad, recursos.
  6. Medidas técnicas — cifrado, MFA, aislamiento, logs.
  7. Medidas contractuales — DPA, cláusulas añadidas.
  8. Riesgos residuales — lo que queda, probabilidad, impacto.
  9. Decisión — autorizado / autorizado con condiciones / rechazado.
  10. Revisión — fecha de la próxima revisión (anual).

Hilo Tech puede proporcionar la plantilla Word completa a sus clientes bajo solicitud — validada con el abogado del cliente antes de su reutilización.

Condiciones de uso de estas plantillas

  • Las plantillas se proporcionan con fines informativos. No constituyen un dictamen jurídico.
  • Reflejan la Ley 25 tal como está en vigor el 20 de abril de 2026. Toda modificación posterior de la ley o de la jurisprudencia de la CAI requiere una actualización.
  • Cada plantilla debe ser adaptada a su sector, tamaño, sistemas y riesgos específicos.
  • La validación por un abogado es altamente recomendada antes de la publicación o firma.

Para obtener los archivos fuente (Word, Excel) o acompañamiento en la integración técnica, escríbanos a info@hilotech.ca.

AnteriorSanciones y penalidadesSiguienteHistorial de versiones
Volver al sumario de la colección Guía Ley 25

¿Preguntas sobre esta guía?

Pascal y Jérémie pueden responder directamente por correo o en una llamada de descubrimiento.

Escríbenos