Loi 25 y Email con IA: Cómo Elegir una Herramienta Conforme en Quebec (2026)
· Alexandre Sauvageau
Loi 25 y email IA: 5 señales de alerta, 7 criterios de cumplimiento y 6 preguntas antes de firmar. Guía completa para empresas de Quebec.
¿Usas un asistente de email con IA en Quebec? Bajo la Loi 25, tu proveedor procesa datos personales en tu nombre — haciéndote responsable de su cumplimiento. Aquí están las 5 señales de alerta a detectar y los 7 criterios que toda herramienta de email con IA conforme debe cumplir.
Por Qué tu Bandeja de Email es Dato Personal bajo la Loi 25
Bajo el Artículo 2 de la *Loi sur la protection des renseignements personnels dans le secteur privé* de Quebec (P-39.1), la información personal es cualquier información que, sola o combinada con otra, permite identificar a una persona física. Tu bandeja de email califica completamente: nombres de remitentes, direcciones de email, contenido de mensajes, patrones de contacto, relaciones profesionales y señales de comportamiento (tiempo de respuesta, tono, temas discutidos) son todos datos personales. Cuando conectas una herramienta de email con IA a tu bandeja, estás delegando el procesamiento de datos personales a un tercero. Bajo la Loi 25, sigues siendo el responsable del tratamiento — responsable de cómo esos datos se manejan, almacenan y protegen. El proveedor se convierte en un procesador, vinculado por tus obligaciones.
Esta realidad legal significa que elegir un proveedor de email con IA no conforme no solo crea riesgo para el proveedor — crea exposición legal directa para tu organización. Si el proveedor sufre una brecha, notificas a la CAI con diligencia. Si el proveedor usa tus datos de email para entrenar sus modelos de IA sin consentimiento explícito, has violado el principio de limitación de propósito de la Loi 25. Si los centros de datos del proveedor están en Estados Unidos, podrías estar facilitando transferencias transfronterizas no autorizadas de datos personales. La relación responsable-procesador no es solo una formalidad legal bajo la ley de Quebec — es una obligación de cumplimiento activa que requiere diligencia debida del proveedor antes del despliegue, no después.
5 Señales de Alerta de la Loi 25 a Detectar en Cualquier Proveedor de Email con IA
Señal de alerta 1: Residencia de datos solo en EE.UU. sin una PIA calificada. Si los términos del proveedor dicen que los datos se almacenan en centros de datos estadounidenses y no pueden producir una Evaluación de Impacto de Privacidad que confirme protecciones equivalentes a la Loi 25, esa es una brecha de cumplimiento que tú como controlador posees. El riesgo del CLOUD Act es real: las autoridades estadounidenses pueden obligar a empresas americanas a producir datos almacenados en cualquier lugar del mundo. Señal de alerta 2: 'Podemos usar tus datos para mejorar nuestros modelos.' Esta cláusula común en los términos de servicio de herramientas de IA viola directamente el principio de limitación de propósito de la Loi 25. El contenido de tu email fue recopilado para comunicación — no para entrenamiento de IA. Cualquier uso más allá del propósito original requiere un nuevo consentimiento explícito. Si los términos predeterminados del proveedor incluyen entrenamiento de modelos, ese consentimiento nunca se obtuvo. Señal de alerta 3: Sin Responsable de Privacidad nombrado. Si no puedes encontrar el Responsable de Privacidad designado del proveedor en su sitio web o DPA, probablemente no cumple con la Loi 25 — lo que lo convierte en un procesador no calificante bajo tus obligaciones.
Señal de alerta 4: Sin Acuerdo de Procesamiento de Datos (DPA). La Loi 25 requiere contratos escritos con cada tercero que procese datos personales en tu nombre, especificando protecciones equivalentes a la ley de Quebec. Si un proveedor no ofrece un DPA o te redirige a una política de privacidad genérica, no cumple el estándar de proveedor tercero de la Loi 25. Señal de alerta 5: Sin divulgación de toma de decisiones automatizada. Bajo la Fase 3 de la Loi 25 (en vigor desde septiembre de 2024), cualquier herramienta que use IA para tomar decisiones que afecten a individuos debe divulgar que ese procesamiento automatizado está ocurriendo y ofrecer al individuo el derecho a revisión humana. Si tu herramienta de email con IA ordena, prioriza o redacta sin ninguna divulgación al usuario, tanto tú como el proveedor pueden estar en violación. Pregunta específicamente a los proveedores: ¿la herramienta divulga a los destinatarios o usuarios que el procesamiento de IA está involucrado?
7 Criterios que una Herramienta de Email con IA Conforme a la Loi 25 Debe Cumplir
Al evaluar cualquier herramienta de email con IA para uso en un contexto empresarial de Quebec, verifica los siete criterios siguientes antes del despliegue: 1. Residencia de datos en Canadá. El contenido del email y los datos procesados deben almacenarse en centros de datos canadienses certificados. Esto elimina la exposición al CLOUD Act y satisface los requisitos de residencia de datos de la Loi 25 para información personal sensible. 2. Sin entrenamiento de modelos con datos de usuario. Los términos del proveedor deben indicar explícitamente que el contenido del email nunca se usa para entrenar modelos de IA, ajustar modelos base o mejorar el servicio para otros usuarios. Esto es innegociable bajo los requisitos de limitación de propósito y consentimiento de la Loi 25. 3. Un Acuerdo de Procesamiento de Datos firmado. El DPA debe especificar la naturaleza del procesamiento, propósito, duración, tipos de datos, medidas de seguridad, plazos de notificación de brechas y tu derecho a auditar o terminar el procesamiento. Disponible *antes* de registrarte, no solo bajo solicitud después. 4. Responsable de Privacidad nombrado publicado en su sitio web. Verificable, no solo 'privacy@empresa.com'. Un nombre real con un rol. 5. Compromiso de notificación de brechas rápida. El DPA debe especificar que el proveedor te notificará dentro de las 24 horas de descubrir una brecha para que puedas cumplir tu obligación de notificar a la CAI con diligencia. 6. Revisión humana antes de enviar. Ninguna herramienta de email con IA debería enviar nada sin tu aprobación explícita. Bajo las disposiciones de toma de decisiones automatizada de la Loi 25, los usuarios deben retener el control sobre acciones consecuentes. 7. Eliminación de datos bajo solicitud. El proveedor debe poder eliminar todos tus datos personales — correos, perfiles de voz, datos de comportamiento — dentro de 30 días de una solicitud de eliminación, con confirmación escrita.
Agentys cumple los siete criterios. Centros de datos canadienses (sin infraestructura estadounidense). Contenido de email nunca usado para entrenamiento de IA. DPA disponible antes de registrarse. Responsable de Privacidad nombrado publicado en el Trust Center. Compromiso de notificación de brechas en 24 horas. Nada se envía sin tu aprobación explícita con un clic. Y eliminación de datos ejecutada dentro de 30 días con confirmación escrita. Estos no son casillas de cumplimiento — son decisiones de diseño tomadas antes de escribir la primera línea de código, porque creemos que la privacidad desde el diseño es la única arquitectura defendible para una empresa que maneja email profesional.
6 Preguntas que Hacerle a Cualquier Proveedor de Email con IA Antes de Firmar
Usa esta checklist en cualquier evaluación de proveedor: 1. '¿Exactamente dónde se almacenan mis datos de email?' Requiere una respuesta a nivel de país y centro de datos. 'Norteamérica' no es aceptable. 2. '¿Mi contenido de email se usa para entrenar tus modelos de IA?' Requiere una respuesta escrita en el DPA, no solo una garantía verbal. 3. '¿Puedo ver tu Acuerdo de Procesamiento de Datos antes de registrarme?' Si el DPA solo está disponible después del registro, el proveedor no se está posicionando como un procesador conforme a la Loi 25. 4. '¿Quién es tu Responsable de Privacidad y dónde puedo encontrarlo?' Si no pueden nombrar a alguien y señalarte a una página pública, puede que no tengan uno. 5. '¿Cuál es tu SLA de notificación de brechas a los clientes?' Necesitas escuchar '24 horas' o menos. 'Tan pronto como sea razonablemente posible' es una brecha de cumplimiento. 6. '¿Cómo divulgas la toma de decisiones automatizada a los usuarios?' Deben describir una divulgación específica dentro del producto, no solo referenciar su política de privacidad.
Estas preguntas sirven un doble propósito: identifican a los proveedores no conformes y te protegen legalmente. Si un proveedor pasa las seis — por escrito, en el DPA — has documentado tu diligencia debida como controlador. Si alguna vez surge una brecha o queja, tus registros de auditoría de proveedores demuestran que tomaste en serio tus obligaciones de la Loi 25 y seleccionaste un procesador que cumplió el estándar de cuidado requerido por la ley de Quebec. La diligencia debida del proveedor no es burocracia. Es tu escudo de responsabilidad.
La Loi 25 no prohíbe usar herramientas de email con IA. Establece un estándar claro sobre cómo deben construirse y cómo deben comportarse los proveedores. Los siete criterios y seis preguntas anteriores son tu marco completo de evaluación de proveedores. Cualquier herramienta de email con IA que cumpla los siete — residencia de datos en Canadá, sin entrenamiento de modelos, DPA firmado, Responsable de Privacidad nombrado, SLA de brechas en 24h, revisión humana antes de enviar y eliminación de datos bajo solicitud — puede desplegarse en un flujo de trabajo conforme a la Loi 25. Agentys fue construido según ese estándar. Si actualmente estás usando una herramienta que no puede responder esas seis preguntas por escrito, estás cargando con exposición legal que una sola queja de cliente podría activar.