Ley 25 Quebec: Checklist de Cumplimiento en 12 Pasos para Empresas (2026)

· Alexandre Sauvageau

Ley 25 Quebec: Checklist de Cumplimiento en 12 Pasos para Empresas (2026)

Loi 25 Quebec: checklist de cumplimiento 12 pasos para empresas. Responsable de Privacidad, PIA, notificación de brechas, auditoría herramientas IA y multas hasta $25M.

Las tres fases de la Loi 25 de Quebec ya están en vigor. Aquí está la checklist exacta de 12 pasos que toda empresa debe completar para evitar multas de hasta $25M — desde designar un Responsable de Privacidad hasta auditar tus herramientas de IA.

¿A Quién se Aplica la Loi 25 — y Cuáles Son las Sanciones Reales?

La Loi 25 — oficialmente la *Loi modernisant des dispositions législatives en matière de protection des renseignements personnels* — se aplica a toda organización del sector privado en Quebec que recopile, conserve, use o comunique información personal sobre residentes de Quebec. Eso incluye autónomos, organizaciones sin fines de lucro, firmas de abogados, agencias, empresas SaaS y cualquier negocio que use una herramienta de terceros (como un asistente de email con IA) que procese datos de clientes o empleados. No hay umbral de ingresos. Una agencia de cinco personas está tan sujeta a la Loi 25 como una empresa de 500. La ley está plenamente en vigor desde septiembre de 2024, con las tres fases habiendo entrado en vigencia entre septiembre de 2022 y septiembre de 2024.

El régimen de sanciones es el más estricto de América del Norte. La Commission d'accès à l'information (CAI) puede imponer multas administrativas de hasta $25 millones CAD o el 4% de los ingresos mundiales, lo que sea mayor, por violaciones graves. Más allá de las multas, la Loi 25 crea un derecho de acción privada: cualquier individuo cuyos derechos fueron violados puede demandar a tu organización directamente — sin necesidad de probar daños específicos — con daños mínimos estatutarios garantizados. No existe ningún mecanismo equivalente bajo el GDPR, PIPEDA o CCPA. Los tribunales de Quebec ya están viendo casos, y la CAI ha comenzado a emitir orientaciones formales sobre las prioridades de aplicación para 2025-2026.

La Checklist de Cumplimiento de la Loi 25 en 12 Pasos

1. Designar un Responsable de Privacidad. Bajo la Sección 3.1 de P-39.1, cada organización debe identificar públicamente a una persona responsable de la protección de la información personal. El nombre y los datos de contacto de esta persona deben publicarse en tu sitio web. 2. Publicar una política de privacidad conforme. Tu política debe describir qué datos recopilas, por qué, cuánto tiempo los conservas, con quién los compartes y cómo los individuos pueden ejercer sus derechos. Las plantillas genéricas no cumplen — la política debe reflejar tus prácticas reales. 3. Construir un registro de información personal. Documenta cada categoría de datos personales que conservas, su fuente, dónde se almacenan, quién tiene acceso, el período de retención y qué terceros los reciben. 4. Realizar Evaluaciones de Impacto de Privacidad (PIA) para nuevos proyectos. Cualquier nuevo sistema o herramienta de terceros que recopile datos personales — incluidos los asistentes de email con IA — requiere una PIA antes del despliegue. La CAI proporciona un marco de ÉFVP. 5. Implementar mecanismos de consentimiento. El consentimiento debe manifestarse claramente, separado de otros términos, en lenguaje sencillo y específico para cada propósito. Las casillas pre-marcadas son inválidas bajo la Loi 25. 6. Establecer un procedimiento de notificación de brechas. Debes notificar a la CAI y a las personas afectadas con diligencia al descubrir un incidente que presente un riesgo de perjuicio serio. Esto requiere detección de incidentes, escalada interna y plantillas de notificación pre-redactadas.

7. Establecer calendarios de retención de datos. Los datos personales deben destruirse o anonimizarse una vez cumplido su propósito. Necesitas períodos de retención documentados para cada categoría de datos y un proceso de destrucción aplicado. 8. Habilitar el procesamiento de solicitudes de derechos. Los individuos pueden solicitar: acceso a sus datos, corrección, eliminación, portabilidad (desde septiembre de 2024), des-indexación y revisión humana de cualquier decisión automatizada que los afecte. Necesitas un proceso para manejar estas solicitudes en 30 días. 9. Auditar todos los proveedores terceros. Cualquier proveedor que reciba datos personales de Quebec debe tener un contrato que incluya obligaciones de privacidad equivalentes a la Loi 25 — eso incluye proveedores cloud, CRMs, herramientas de email y plataformas de marketing. Verifica su residencia de datos y compromisos de notificación de brechas. 10. Implementar la minimización de datos. Recopila solo lo estrictamente necesario. Cada campo de datos debe tener una justificación documentada. Los datos excedentes — ya sea en formularios, correos o bases de datos — son una responsabilidad. 11. Habilitar la portabilidad de datos. Desde septiembre de 2024, los individuos pueden solicitar sus datos en un formato estructurado, de uso común y legible por máquina. Tus sistemas deben poder exportar datos personales bajo demanda. 12. Divulgar la toma de decisiones automatizada. Si usas IA que toma decisiones que afectan a individuos (incluida la IA de email que ordena, prioriza o redacta respuestas), debes divulgarlo, explicar la lógica y ofrecer al individuo el derecho a solicitar revisión humana.

Los 3 Errores de Cumplimiento de la Loi 25 Más Comunes de las Empresas Quebequenses

Error 1: Sin Responsable de Privacidad designado. Este es el incumplimiento más común. Muchas empresas asumen que el CEO o el gerente de TI cumple implícitamente este rol. La Loi 25 requiere una designación *explícita y nominativa* — y ese nombre debe publicarse en tu sitio web o intranet. El Responsable de Privacidad no necesita ser abogado. Lo que importa es la responsabilidad: una persona nombrada que pueda ser contactada sobre asuntos de privacidad, que conozca las obligaciones y tenga autoridad para actuar. Sin esto, la CAI tiene motivos para sanciones inmediatas, independientemente de tus prácticas reales de datos. Error 2: Usar un servicio cloud estadounidense sin un acuerdo de privacidad. El CLOUD Act permite a las autoridades estadounidenses obligar a empresas americanas a producir datos almacenados en cualquier parte del mundo. Si tu herramienta de email con IA, CRM o plataforma documental funciona en infraestructura estadounidense sin un acuerdo de procesamiento de datos, podrías estar exponiendo datos personales de Quebec a una jurisdicción extranjera — una violación directa de los requisitos de residencia de datos y proveedores terceros de la Loi 25. La solución es una PIA calificada que confirme que la herramienta cumple los estándares de la Loi 25, o cambiar a un proveedor con residencia de datos canadiense verificada.

Error 3: Una política de privacidad que no refleja las prácticas reales. Muchas empresas copian una plantilla, la publican y se consideran conformes. La Loi 25 requiere que tu política describa con precisión los *flujos de datos reales*. Si tu política dice que no compartes datos con terceros pero tu herramienta de email o plataforma de análisis lo hace, la política en sí misma se convierte en evidencia de incumplimiento. La CAI ha estado auditando políticas frente a flujos de datos reales, particularmente para empresas que usan herramientas de IA. Una política precisa y revisada regularmente es tanto un requisito de cumplimiento como tu primera línea de defensa si se presenta una queja.

Cómo las Herramientas de Email con IA Crean Obligaciones de la Loi 25 — y Cómo Auditarlas

Las herramientas de email con IA son uno de los proveedores terceros de mayor riesgo bajo la Loi 25. Procesan el contenido del correo — que contiene nombres, datos de contacto, patrones de comportamiento, relaciones profesionales y a veces información confidencial — a escala, a menudo usando servidores fuera de Canadá. Bajo la Loi 25, tu organización sigue siendo el responsable del tratamiento de estos datos personales incluso cuando el procesamiento se delega a un proveedor. Eso significa: si el proveedor sufre una brecha, notificas a la CAI con diligencia. Si el proveedor usa datos para entrenar sus modelos, has violado las obligaciones de consentimiento. Si los servidores del proveedor están en EE.UU., necesitas un acuerdo de transferencia de datos calificado o una PIA que confirme protecciones adecuadas. Tu checklist de auditoría de proveedores para herramientas de email con IA debe incluir: (1) ubicación de residencia de datos — servidores canadienses preferidos, EE.UU. requiere análisis del CLOUD Act; (2) si los datos de email del usuario se usan para entrenamiento de modelos de IA — debe ser opt-out como mínimo, opt-in preferido; (3) SLA de notificación de brechas — debe comprometerse a notificarte en 24 horas; (4) un acuerdo de procesamiento de datos firmado con protecciones equivalentes a la Loi 25; (5) si la herramienta divulga la toma de decisiones automatizada a los usuarios finales.

Agentys fue construido para esta realidad de cumplimiento desde cero. Los datos se almacenan exclusivamente en centros de datos canadienses certificados (sin infraestructura estadounidense). El contenido del email nunca se usa para entrenar modelos de IA — tus datos son tuyos. Cada usuario ve una divulgación clara de que el procesamiento de IA está ocurriendo, con un paso de revisión humana antes de enviar cualquier cosa. Un Responsable de Privacidad nombrado está listado públicamente. Y el Acuerdo de Procesamiento de Datos está disponible a solicitud antes de que firmes. Si tu proveedor actual de email con IA no puede responder las cinco preguntas de auditoría anteriores, ese es un riesgo de la Loi 25 que tu organización está asumiendo hoy.

El cumplimiento de la Loi 25 no es un proyecto único — es un compromiso operacional continuo. Los 12 pasos anteriores cubren el alcance completo de las obligaciones ahora en vigor. Pero el cumplimiento no es solo evitar multas. La ley de privacidad de Quebec es el marco más respetuoso de los derechos en América del Norte. Las organizaciones que la implementan correctamente generan confianza con los clientes, reducen la exposición a brechas y preparan sus prácticas de datos para regulaciones aún más estrictas que vienen a nivel federal (Proyecto de Ley C-27). Comienza con los tres pasos de mayor impacto: designa a tu Responsable de Privacidad hoy, audita cada herramienta de terceros que toca datos personales y publica una política de privacidad precisa. Todo lo demás sigue de esas bases.