Ir al contenido
descubra Hilo Inteligencia
Guía Ley 25

Transferencias fuera de Quebec

Cuándo se requiere una EFVP, cómo evaluar la equivalencia de la protección ofrecida por un país tercero, qué cláusulas contractuales prever y el impacto real sobre las PyMEs que usan Microsoft 365, AWS, Salesforce o cualquier SaaS fuera de Quebec.

Actualizado el 20 de abril de 20266 min de lecturaRedactado por Pascal DupuistransferenciasEFVPPIAart. 17CAILPIPSP

El artículo 17 de la LPIPSP es uno de los más impactantes para las PyMEs modernas: toda comunicación de información personal fuera de Quebec exige una evaluación de los factores relativos a la vida privada (EFVP) previa. Esto incluye, en principio, todo uso de un servicio en la nube cuyos servidores no están en Quebec — aunque el proveedor sea canadiense (Ontario, Columbia Británica, etc.).

Este capítulo aclara cuándo se requiere una EFVP, cómo estructurarla y cómo minimizar la carga administrativa.

¿Qué es una transferencia fuera de Quebec?

Comunicación = todo acto que vuelve accesible una información a una entidad ubicada físicamente fuera del territorio quebequense. Esto incluye:

  • Alojamiento en un servidor fuera de Quebec (Microsoft Azure East US, AWS us-east-1, Google Cloud us-central1).
  • Subcontratación: un proveedor quebequense que aloja los datos en su propio proveedor fuera de Quebec.
  • Acceso remoto: un empleado en Ontario que se conecta al servidor quebequense y consulta los datos desde su puesto.
  • Respaldo: un backup enviado a un centro de datos no quebequense.
  • Analítica: envío de datos a Google Analytics, Mixpanel, Hotjar, etc.

Lo que no es una transferencia fuera de Quebec:

  • Acceso por un empleado quebequense a un servidor quebequense (el dato no sale del territorio).
  • Alojamiento en un centro de datos canadiense ubicado en Quebec (Azure Canada Quebec, GCP Montréal, Cologix MTL, etc.).
  • Transmisión a un subcontratista quebequense que aloja en Quebec, con compromiso contractual expreso.

La obligación de EFVP (art. 3.3 + art. 17)

Antes de comunicar una información personal fuera de Quebec, la persona que opera una empresa debe realizar una evaluación de los factores relativos a la vida privada.

La EFVP debe analizar:

  1. La sensibilidad de la información.
  2. La finalidad de su uso.
  3. Las medidas de protección (contractuales y técnicas) que la acompañarían.
  4. El régimen jurídico aplicable en el país de destino, en particular los principios de protección de la información personal que le son aplicables.

Y el artículo 17 añade:

La comunicación está permitida si la evaluación demuestra que la información se beneficiaría de una protección equivalente.

La prueba de equivalencia

«Equivalente» no significa idéntico. La CAI ha indicado que debe evaluarse globalmente si:

  • Los derechos individuales (acceso, rectificación, retiro) están garantizados.
  • Existe un organismo de supervisión independiente.
  • Existen recursos efectivos.
  • Las transferencias subsiguientes están enmarcadas.

Países con protección generalmente equivalente

  • Otras provincias canadienses: sí para Alberta y Columbia Británica (regímenes provinciales reconocidos como sustancialmente similares a la LPRPDE). Caso por caso para las demás bajo PIPEDA.
  • Unión Europea: sí (el RGPD es globalmente más estricto).
  • Reino Unido: sí (UK GDPR).

Países sin protección equivalente

  • Estados Unidos: no globalmente. El régimen sectorial estadounidense (HIPAA, GLBA, CCPA en California) no cubre toda la información personal, y el acceso gubernamental (FISA, CLOUD Act) expone los datos más allá de los estándares quebequenses.
  • Otras jurisdicciones: evaluar caso por caso.

Para una transferencia a un país sin protección equivalente, la comunicación sigue siendo permitida si medidas contractuales suficientes compensan la brecha. Es la situación de la mayoría de los SaaS estadounidenses.

Las medidas contractuales compensatorias

Un contrato con el proveedor debe, al mínimo:

  • Enmarcar la finalidad del uso (el proveedor solo puede usar los datos para los fines del contrato).
  • Prohibir las comunicaciones subsiguientes sin consentimiento.
  • Prever la notificación en caso de incidente de confidencialidad del lado del proveedor.
  • Permitir la auditoría, o a falta de ello exigir certificaciones externas (SOC 2, ISO 27001, ISO 27701).
  • Prever la devolución o destrucción de los datos al finalizar el contrato.
  • Cláusulas de jurisdicción: vinculación a Quebec o a una jurisdicción amiga.

Microsoft, AWS y Google publican todos Data Processing Addenda (DPA) con cláusulas contractuales tipo. Para una transferencia Ley 25, hay que verificar y completar — la formulación «RGPD only» no basta por sí sola.

Estructura de una EFVP para una PyME

Una EFVP no tiene que ser un documento de 80 páginas. Para una PyME que despliega un nuevo SaaS, un informe estructurado de 3 a 5 páginas suele bastar.

Plantilla de EFVP — versión condensada

  1. Descripción del tratamiento: qué servicio, qué proveedor, qué información, cuántas personas, durante cuánto tiempo.
  2. Finalidad: por qué es necesaria la transferencia. Alternativas canadienses evaluadas.
  3. Sensibilidad: ordinaria / sensible / mixta. Justificación.
  4. Flujo de datos: esquema simple que muestra a dónde van los datos.
  5. Régimen jurídico del destinatario: país, ley aplicable, autoridad de supervisión, recursos.
  6. Medidas técnicas: cifrado en reposo, cifrado en tránsito, aislamiento de tenant, acceso restringido.
  7. Medidas contractuales: referencia al DPA firmado, cláusulas específicas añadidas.
  8. Riesgos residuales: lo que persiste pese a las medidas, probabilidad, impacto.
  9. Decisión: transferencia autorizada / autorizada con condiciones / no autorizada.
  10. Revisión: fecha de la próxima revisión (anual típica).

Nuestro rol del lado TI

En Hilo Tech, producimos la parte técnica de la EFVP: arquitectura del flujo de datos, configuración del cifrado, registro de accesos, verificación de las cláusulas técnicas del DPA (residencia, cifrado, subprocesadores, notificaciones). El análisis jurídico del régimen aplicable y la decisión final corresponden al abogado del cliente.

Ejemplos concretos

Microsoft 365 Canada Central

  • Residencia por defecto: datos en reposo en Canadá (Toronto + Quebec City según el servicio).
  • Acceso: empleados de Microsoft en todo el mundo pueden acceder para soporte. El DPA de Microsoft lo enmarca.
  • EFVP requerida: sí. Pero conclusión típica = autorizado con condiciones (DPA + MFA + registro). Modelo reutilizable para todos los clientes Hilo Tech.

ChatGPT Enterprise / API OpenAI

  • Residencia: Estados Unidos. Posibilidad de residencia europea/canadiense en algunos planes.
  • Política de uso: OpenAI se compromete a no entrenar sus modelos con los datos de la API (por defecto).
  • EFVP requerida: sí. Conclusión típica = autorizado para usos no sensibles únicamente; no autorizado para datos de salud o de menores salvo medidas reforzadas. Alternativa: plataforma IA privada (ver HiloIntelligence).

Servidor interno en la sede

  • Residencia: Longueuil, QC.
  • EFVP: no requerida (sin transferencia fuera de Quebec).
  • Sigue siendo la solución más simple desde el punto de vista Ley 25, en detrimento de la escalabilidad.

Subcontratación de un proveedor quebequense alojado fuera de Quebec

Caso clásico: contrata a un proveedor de facturación quebequense que, a su vez, aloja sus servidores en un hiperescalador estadounidense. , es una transferencia fuera de Quebec. El proveedor quebequense debe declarar sus dependencias y asumir la responsabilidad de documentar el cumplimiento.

Lista de verificación rápida

  • Inventario de flujos de datos con identificación de los que salen de Quebec.
  • Una EFVP existe para cada flujo identificado.
  • Los DPA de los principales proveedores están firmados y archivados.
  • Las condiciones técnicas (cifrado, MFA, aislamiento) se verifican anualmente.
  • Se han evaluado las alternativas con residencia quebequense (aunque se rechacen).
  • El responsable PI mantiene un registro centralizado de las EFVP.

Errores frecuentes

  • «Nuestro SaaS es canadiense, así que está bien.» — Canadiense ≠ quebequense. Un proveedor de Ontario que aloja en Ontario constituye una transferencia fuera de Quebec. El análisis sigue siendo obligatorio.
  • Copiar-pegar el análisis RGPD. — Los regímenes son comparables pero no idénticos. La CAI espera un razonamiento calibrado sobre la Ley 25.
  • Ignorar los subprocesadores del proveedor. — Microsoft tiene subprocesadores. AWS tiene subprocesadores. Un DPA sin lista actualizada de subprocesadores es incompleto.
  • Hacer una sola EFVP global. — Cada finalidad distinta, cada categoría de datos distinta, requiere un análisis propio. Una EFVP global para «Microsoft 365» no cubre un nuevo caso de uso IA integrado por Copilot.

Preguntas que debe formular a su asesor jurídico

  • ¿El régimen de Ontario (LPRPDE provincial de facto) se considera equivalente para nuestras transferencias Quebec–Ontario?
  • ¿Nuestros contratos con proveedores actuales cumplen con el artículo 17, o se requieren adendas?
  • ¿Cuál es el umbral de materialidad por debajo del cual una EFVP simplificada basta?
  • ¿El CLOUD Act estadounidense cambia el análisis de equivalencia? ¿Cómo documentar el riesgo residual?
AnteriorDerechos de las personasSiguienteSanciones y penalidades
Volver al sumario de la colección Guía Ley 25

¿Preguntas sobre esta guía?

Pascal y Jérémie pueden responder directamente por correo o en una llamada de descubrimiento.

Escríbenos