Sanciones y penalidades

La Ley 25 introdujo tres regímenes de sanción simultáneos que pueden aplicarse al mismo incidente. Para una PyME, el umbral de exposición es ahora comparable al que se observa bajo el RGPD europeo — un incidente mal gestionado puede costar cientos de miles de dólares, incluso para una empresa de 20 empleados.

Este capítulo detalla cada régimen, los criterios de cálculo y las decisiones ya emitidas por la CAI.

El régimen administrativo — sanciones pecuniarias de la CAI#

Tope (art. 90.1)#

La Commission puede imponer una sanción administrativa pecuniaria por un monto máximo de 50 000 $ tratándose de una persona física y, en los demás casos, de 10 000 000 $ o, si es mayor, el monto correspondiente al 2 % de la facturación mundial del ejercicio financiero anterior.

¿Qué incumplimientos?#

Las sanciones administrativas se dirigen a las faltas de cumplimiento de las obligaciones previstas por la ley, por ejemplo:

• Falta de designar un responsable PI (art. 3.1).
• Falta de adoptar una política de gobernanza (art. 3.2).
• Falta de realizar una EFVP antes de una transferencia fuera de Quebec (art. 3.3).
• Falta de notificar un incidente a la CAI (art. 3.5).
• Falta de obtener un consentimiento válido (art. 12-14).
• Falta de responder a una solicitud de acceso en 30 días (art. 32).

Criterios de graduación (art. 90.3)#

La CAI considera en particular:

• La naturaleza y la gravedad del incumplimiento.
• La duración del incumplimiento.
• El carácter repetitivo o no.
• Las ventajas obtenidas del incumplimiento.
• La capacidad financiera de la empresa.
• Las medidas correctivas adoptadas.
• La colaboración con la Commission.

En otras palabras: una PyME que descubre un incumplimiento, lo reporta proactivamente, corrige rápidamente y colabora con la CAI se expone a una sanción notablemente menor que la que lo oculta.

Proceso (art. 90.4-90.8)#

1. La CAI investiga (de oficio, por queja o por denuncia).
2. Envía un aviso de intención con el monto propuesto y los motivos.
3. La empresa tiene 30 días para presentar observaciones escritas.
4. Decisión final, con motivos.
5. Recurso posible ante la Cour du Québec en 30 días.

El régimen penal — multas tras persecución#

Tope (art. 91)#

Quien contravenga [lista de artículos] comete una infracción y es pasible de una multa de 5 000 $ a 50 000 $ tratándose de una persona física y de 15 000 $ a 25 000 000 $ o, si es mayor, el monto correspondiente al 4 % de la facturación mundial en los demás casos.

Diferencia con el régimen administrativo#

• El penal se dirige a comportamientos más graves (comunicación voluntaria no autorizada, recopilación ilegal, rechazo intencional).
• El penal exige una persecución por el Director de las persecuciones criminales y penales (DPCP), con juicio. La carga de la prueba es más alta (más allá de toda duda razonable).
• El penal se añade al administrativo — pueden coexistir.

Duplicación por reincidencia#

En caso de reincidencia (art. 91 in fine), las multas se duplican. Un segundo incumplimiento de la misma naturaleza expone a montos potencialmente multiplicados.

El recurso civil — daños punitivos#

Artículo 93.1#

Cuando una afectación a un derecho conferido por la presente ley o por los artículos 35 a 40 del Código Civil de Quebec cause un perjuicio y sea intencional o resulte de una falta grave, el tribunal concede a la persona lesionada daños e intereses punitivos de al menos 1 000 $, sin que estén vinculados a los daños e intereses compensatorios.

Las características clave:

• Piso de 1 000 $ por persona — una acción colectiva de 10 000 personas expone por tanto a un piso de 10 M$.
• Se añade a los daños compensatorios (pérdida financiera, perjuicio moral, pérdida de oportunidad).
• Exige falta grave o intención — pero «falta grave» se interpreta ampliamente: la ausencia de controles básicos suele bastar.

Acciones colectivas#

Quebec es un terreno favorable a las acciones colectivas (class actions), en particular en materia de vida privada. Desde 2023 se observan más solicitudes de autorización de acción colectiva vinculadas a fugas de datos quebequenses. Varios casos se han resuelto con acuerdos significativos.

Casos concretos de sanciones ya emitidas por la CAI#

Las decisiones de la CAI son públicas, consultables en el sitio de la Commission. Sin citar una empresa específica, aquí hay patrones que observamos:

• Pequeñas PyMEs sancionadas por falta de designación de responsable PI y de publicación de los datos de contacto, mientras la empresa operaba desde hacía más de un año.
• Fugas de datos no notificadas a tiempo, con multa proporcional a la duración del silencio.
• Consentimientos inválidos obtenidos por casillas pre-marcadas, corregidos bajo orden.
• Transferencias fuera de Quebec sin EFVP documentada, con obligación de producirla y suspender las transferencias mientras tanto.

La CAI ha anunciado claramente que intensificará la aplicación en los próximos años — los primeros tres años (2022-2025) fueron principalmente formativos, con muchos dictámenes y órdenes. A partir de 2026, se esperan sanciones pecuniarias en alza.

¿Quién soporta la responsabilidad?#

La empresa, primero#

Las sanciones se dirigen a la empresa (la persona jurídica). El presidente y los administradores generalmente no son personalmente responsables — salvo:

• Falta grave personal.
• Complicidad en un acto intencional.
• Declaración falsa al responsable PI o a la CAI.
• Violación del deber fiduciario (para los administradores de sociedades por acciones).

El responsable PI#

El responsable PI no es personalmente sancionable bajo la Ley 25 por los incumplimientos de la empresa. Su responsabilidad es interna (frente al empleador), no regulatoria.

Los proveedores#

Un proveedor TI (como nosotros) puede ser co-responsable si:

• Él mismo cometió un incumplimiento (fuga del lado del proveedor).
• Se negó a cooperar en una solicitud de acceso o en una notificación de incidente.
• Excedió el mandato contractual (uso de los datos para sus propios fines).

Nuestros contratos con clientes prevén explícitamente la segregación de las responsabilidades Ley 25 y el compromiso de actuar únicamente para los fines del mandato.

Lista de verificación rápida — reducir la exposición#

• Designación escrita de un responsable PI, datos de contacto publicados.
• Política de gobernanza PI publicada y fechada.
• EFVP documentadas para todas las transferencias fuera de Quebec.
• Registro de incidentes mantenido, incluso para incidentes menores.
• Procedimiento escrito de gestión de incidentes, probado al menos una vez.
• Formación anual del equipo sobre la Ley 25.
• Contratos con proveedores alineados con los requisitos Ley 25.
• Seguro cibernético que cubre las sanciones administrativas y los gastos de defensa.

Errores frecuentes que agravan las sanciones#

• Intentar ocultar un incidente. — Ocultación = agravamiento. La CAI valora fuertemente los casos de mala fe.
• Negarse a colaborar con la CAI. — La colaboración es un factor de mitigación explícito.
• No documentar. — Sin documentación, imposible demostrar la diligencia. La CAI presume lo peor.
• Delegación sin poder. — Si el responsable PI no tiene la autoridad para corregir, la responsabilidad asciende a la alta dirección con consecuencias más pesadas.

Preguntas que debe formular a su asesor jurídico#

• ¿Nuestro seguro cibernético cubre las sanciones administrativas de la CAI (no es automático — algunas pólizas excluyen las multas)?
• ¿Tenemos exposición a una acción colectiva (tamaño de la base de clientes × sensibilidad de los datos)?
• En caso de investigación de la CAI, ¿cuál es nuestro protocolo de comunicación con la Commission?
• ¿Nuestros administradores están expuestos personalmente en ciertos escenarios?