Responsable de la protección de la información personal

Desde el 22 de septiembre de 2022, toda empresa que opera en Quebec y recopila, posee, utiliza o comunica información personal debe designar un responsable de la protección de la información personal (art. 3.1 LPIPSP). La omisión de designar es en sí misma una violación de la ley — incluso sin ningún incidente.

La designación por defecto#

La persona que ejerce la máxima autoridad en la empresa asume la función de responsable de la protección de la información personal. Puede, sin embargo, delegar total o parcialmente esa función por escrito a un miembro del personal o a un tercero.

En términos concretos:

• Si no existe designación escrita, el presidente, director general o administrador único es automáticamente el responsable PI — con todas las responsabilidades personales que ello implica.
• Si desea que otra persona ocupe el rol, la designación debe ser escrita, firmada, fechada y conservada en el expediente administrativo.

En Hilo Tech, Pascal Dupuis ocupa este rol internamente, por designación escrita de los dos cofundadores. Sus datos de contacto están publicados en nuestra página de privacidad.

¿Quién puede ser responsable PI?#

La ley no exige diploma, certificación ni profesión determinada. El responsable PI puede ser:

• Un ejecutivo interno (DRH, director TI, contralor financiero, director administrativo).
• Un miembro de la alta dirección (presidente, VP, director general).
• Un mandatario externo (consultor especializado, abogado, notario).
• Compartido: un titular principal + un suplente para ausencias.

El título exacto no está reglamentado, pero la persona debe ser identificable y localizable durante el horario normal de operación.

Lo que la persona debe tener#

• Autoridad efectiva: debe poder imponer cambios organizativos y técnicos sin ser bloqueada por la jerarquía.
• Tiempo: idealmente 10-20 % de un ETC para una PyME de 20-100 empleados. No un rol añadido encima de la carga de trabajo existente sin liberación.
• Conocimiento de la ley: formación inicial + actualización continua. La CAI publica regularmente guías y dictámenes.
• Acceso a los expedientes: capacidad de leer políticas, contratos, registros y, en caso de incidente, logs técnicos.

Responsabilidades principales#

1. Supervisión de la política de gobernanza (art. 3.2)#

La empresa debe adoptar una política de gobernanza de la información personal que describa:

• Los roles y responsabilidades internas.
• Los procesos de gestión de quejas.
• Los procedimientos de conservación y destrucción.
• Los procedimientos de formación de empleados.
• Las exigencias hacia los proveedores.

Esta política debe ser publicada (sitio web), actualizada cuando sea necesario y aprobada por el responsable PI.

2. Gestión de las solicitudes de las personas#

Toda persona tiene el derecho de ejercer sus derechos (acceso, rectificación, desindexación, portabilidad, retiro del consentimiento). Estas solicitudes se dirigen al responsable PI — quien debe responder en un plazo de 30 días (art. 32).

Consulte el capítulo Derechos de las personas para más detalle.

3. Evaluación de los factores relativos a la vida privada (EFVP)#

Toda nueva iniciativa que implique información personal — nuevo CRM, nueva aplicación interna, nuevo proveedor fuera de Quebec — exige una EFVP (art. 3.3). El responsable PI encuadra esta evaluación, aunque no la redacte él mismo.

4. Gestión de incidentes#

En un incidente de confidencialidad, el responsable PI coordina:

• La evaluación del riesgo de perjuicio serio.
• La notificación a la CAI y a las personas afectadas (si corresponde).
• La inscripción en el registro de incidentes.
• La implementación de medidas correctivas.

Consulte el capítulo Notificación de incidentes.

5. Formación y sensibilización#

El responsable PI organiza (o hace organizar) la formación anual de los empleados sobre sus obligaciones, la detección de incidentes y las buenas prácticas.

6. Vigilancia y mejora continua#

La CAI publica regularmente dictámenes, guías y decisiones. El responsable PI debe vigilar estas publicaciones y adaptar las prácticas internas en consecuencia.

Publicación de los datos de contacto (art. 8 párr. 3)#

El nombre y los datos de contacto de la persona a cargo de la protección de la información personal deben ser publicados en el sitio web de la empresa o, si no lo tiene, ser accesibles por cualquier otro medio apropiado.

Lo que debe publicarse:

• Nombre completo del responsable.
• Título exacto (Responsable de la protección de la información personal).
• Datos de contacto: correo dedicado (ej. privacy@suempresa.ca), número de teléfono, dirección postal.
• Idioma de correspondencia (francés por defecto; inglés/español si se ofrece).

Nuestra página pública: hilotech.ca/es/privacidad — sección Responsable de la protección de la información personal.

Lo que el responsable PI no debe hacer solo#

• No redacta las políticas jurídicas oficiales sin el concurso de un abogado.
• No decide solo una notificación a la CAI en un caso complejo — la decisión debe involucrar a la dirección y al abogado.
• No asume la responsabilidad penal en lugar de la empresa: las sanciones se dirigen a la empresa, no al responsable personalmente (salvo falta grave individual).

Nuestro rol del lado TI#

En Hilo Tech, acompañamos al responsable PI interno de los clientes en los aspectos técnicos:

• Herramientas para gestionar las solicitudes de acceso (búsquedas en Microsoft 365, SharePoint, CRM).
• Configuración de alertas y logs que alimentarán una investigación de incidente.
• Implementación de controles de acceso, cifrado y registro.
• Automatización (Power Automate, n8n) de recordatorios, seguimiento y notificación.

No reemplazamos al responsable PI del cliente y no redactamos los documentos jurídicos — es el rol de su abogado.

Lista de verificación rápida#

• Un responsable PI está designado por escrito (incluso si es el presidente).
• Los datos de contacto del responsable están publicados en el sitio web.
• Un correo dedicado (ej. privacy@) está en funcionamiento y dirigido a la persona correcta.
• El responsable ha recibido formación sobre la Ley 25 en los últimos 12 meses.
• Un suplente está identificado para ausencias prolongadas.
• El responsable tiene acceso a los logs técnicos (Entra ID, SharePoint, CRM) — directamente o a través del proveedor TI.
• Se mantiene un registro de solicitudes (acceso, rectificación, retiro, queja).

Errores frecuentes#

• «El responsable es el director TI, por supuesto.» — No necesariamente. El director TI conoce los sistemas, pero no siempre tiene la autoridad para modificar la política de la empresa. El rol exige una autoridad transversal.
• Designar sin liberar tiempo. — Un presidente sobrecargado al 120 % que «también es responsable PI sobre el papel» no tratará una solicitud en el plazo de 30 días. Alguien debe realmente asumir la carga.
• No publicar los datos de contacto. — Incumplimiento simple, fácilmente verificable por la CAI, sanción inmediata.
• Confundir responsable PI y DPO según el GDPR. — El DPO europeo tiene obligaciones de independencia muy específicas. El responsable PI quebequense tiene un marco más flexible, pero los roles no son idénticos.

Preguntas que debe formular a su asesor jurídico#

• ¿Necesitamos un responsable PI por filial, o uno solo para el grupo?
• ¿Nuestro DPO europeo (si tenemos actividades en la UE) puede acumular el rol de responsable PI quebequense?
• ¿Qué cláusulas de designación redactar para limitar la responsabilidad personal del responsable PI?
• Si contratamos a un consultor externo como responsable PI, ¿qué criterios de selección y qué tipo de contrato?