Loi 25 Quebec: Guía Completa de Cumplimiento para Empresas (2026)

· Alexandre Sauvageau

Loi 25 Quebec: Guía Completa de Cumplimiento para Empresas (2026)

Loi 25 Quebec: multas hasta $25M, 3 fases vigentes. Guía completa de obligaciones, derechos, brechas y cumplimiento de herramientas de email IA para empresas.

La Loi 25 de Quebec es la ley de privacidad más estricta de América del Norte — multas de hasta $25M CAD. Las tres fases ya están vigentes. Esta guía completa cubre cada obligación, tus derechos, el cronograma de aplicación y cómo las herramientas de email con IA deben cumplir.

Qué es la Loi 25 y Por Qué Importa Más que el GDPR para los Canadienses

La Loi 25 de Quebec —oficialmente la *Loi modernisant des dispositions législatives en matière de protection des renseignements personnels*— es la ley de privacidad de datos más rigurosa de América del Norte. Adoptada por la Assemblée nationale en septiembre de 2021 y desplegada en tres fases (septiembre 2022, septiembre 2023, septiembre 2024), reformó completamente cómo toda organización debe gestionar la información personal de los residentes de Quebec. A diferencia de la PIPEDA federal de Canadá, que no ha visto una actualización importante desde 2000, la Loi 25 fue redactada para la era de la IA, la computación en la nube y el perfilado conductual. Se aplica a cualquier empresa, nacional o extranjera, que recopile, use o almacene información personal de residentes de Quebec en actividades comerciales. No hay umbrales mínimos: ningún número mínimo de residentes de Quebec atendidos, ningún ingreso mínimo y ninguna exención sectorial. Las organizaciones sin fines de lucro, los sindicatos y los despachos profesionales están todos cubiertos. Solo las organizaciones espirituales y religiosas reciben una exclusión limitada.

Para los profesionales que usan herramientas de email con IA, la Loi 25 es especialmente relevante. Tu bandeja de entrada es posiblemente tu silo de datos más sensible: contiene nombres, direcciones, números de teléfono, detalles financieros, información de salud, correspondencia legal, estrategias empresariales confidenciales e intercambios personales íntimos. Bajo la Loi 25, la 'información personal sensible' se define como información que crea una alta expectativa razonable de privacidad debido a su naturaleza médica, biométrica o íntima, o al contexto de su uso. La IA que lee, analiza y genera borradores a partir de estos datos está procesando información personal a escala industrial. La Loi 25 impone sanciones de hasta $25 millones o el 4% del volumen de negocios mundial (el que sea mayor) por incumplimiento, igualando el techo del GDPR.

El Cronograma de Tres Fases: Qué Cambió y Cuándo

Fase 1 — 22 de septiembre de 2022. Las organizaciones deben designar un Responsable de Privacidad (la autoridad de mayor rango por defecto, aunque se permite la delegación) y publicar su nombre e información de contacto en su sitio web. Un registro de incidentes de confidencialidad se vuelve obligatorio: cada brecha debe documentarse, y los incidentes que presenten un riesgo grave de daño deben reportarse a la CAI y a los individuos afectados. Nuevas reglas permiten compartir información personal sin consentimiento durante transacciones comerciales y para propósitos de investigación, pero solo bajo condiciones estrictas. Las organizaciones también deben notificar a la CAI antes de desplegar sistemas de identificación biométrica con al menos 60 días de anticipación.

Fase 2 — 22 de septiembre de 2023. La oleada más pesada de obligaciones. Las empresas deben ahora publicar políticas de gobernanza detalladas que cubran los calendarios de retención y destrucción de datos, los roles y responsabilidades del personal, y los procedimientos de gestión de quejas. Las reglas de consentimiento se endurecen: el consentimiento debe ser explícito, libre, informado y dado para propósitos específicos, solicitado por separado para cada finalidad en términos simples y claros. Las Evaluaciones de Impacto de Privacidad (ÉFVP) se vuelven obligatorias antes de adquirir o desarrollar cualquier sistema de información que involucre datos personales. El derecho a la desindexación (droit à l'oubli) entra en vigor. Los ajustes de privacidad predeterminados deben establecerse al nivel más alto sin intervención del usuario. Y fundamentalmente para las herramientas de IA: las organizaciones deben informar a los individuos cuando las decisiones se tomen exclusivamente a través del procesamiento automatizado, y deben proporcionar la oportunidad de revisión humana.

Arquitectura de Aplicación: Sanciones de Dos Niveles, Demandas Privadas y Responsabilidad Personal

El régimen de aplicación de la Loi 25 es el más agresivo de América del Norte, y comprender su estructura importa para cualquiera que evalúe herramientas de IA que manejen datos personales. La ley tiene dos niveles de sanciones. El regulador (la Commission d'accès à l'information, o CAI) puede multarte directamente, sin ir a los tribunales, hasta $10 millones o el 2% del volumen de negocios mundial. Por encima de eso, la persecución penal puede llegar a $25 millones o el 4% del volumen de negocios mundial, y las multas se duplican en infracciones posteriores. No es teórico: la CAI investiga activamente las quejas.

Lo que verdaderamente distingue a la Loi 25 es la Sección 93.1: permite a los individuos demandar a una organización directamente cuando sus datos se gestionan mal por una falta grave, con daños mínimos de $1,000 —y esas demandas pueden presentarse como demandas colectivas. Los directivos y administradores también pueden ser considerados personalmente responsables por los mismos montos. En resumen, la ley no solo multa a las empresas; da a las personas cuyos datos manejas una vía directa para ir contra ti.

Obligaciones de Gestión de Datos: Inventario, Anonimización y Riesgos Transfronterizos

La Loi 25 impone obligaciones prácticas de gestión de datos que van mucho más allá de los banners de consentimiento. Cada organización debe realizar un inventario completo de datos: catalogar toda la información personal almacenada, documentar cómo circula a través de los sistemas internos, identificar a cada usuario autorizado, determinar el propósito de cada recopilación y establecer calendarios de retención y destrucción con plazos específicos. Para las herramientas de email con IA, esto significa que el proveedor debe saber exactamente qué datos recopila de tu bandeja, dónde se almacenan, quién puede acceder y cuándo se eliminarán. La ley también establece una distinción legal crítica entre anonimización (irreversible: los datos dejan de ser información personal) y desidentificación (reversible: los datos permanecen sujetos a todas las protecciones de la Loi 25). Volver a identificar a una persona a partir de datos anonimizados sin autorización es un delito penal.

El consentimiento tiene fecha de caducidad. Bajo la Loi 25, la validez del consentimiento varía de 6 meses a 3 años según la sensibilidad y el contexto de los datos. Para las herramientas de email con IA con acceso continuo a la bandeja, esto significa que se requiere legalmente una reautorización periódica. En cuanto a las transferencias transfronterizas, cualquier transferencia de información personal fuera de Quebec requiere una Evaluación de Impacto de Privacidad (ÉFVP) completada. Pero el riesgo que la mayoría de los artículos omiten: si tu herramienta de email con IA usa infraestructura cloud estadounidense, el US CLOUD Act permite a las autoridades americanas obligar a los proveedores cloud de EE.UU. a producir datos, incluso si esos datos se almacenan físicamente fuera de Estados Unidos. Esto crea un conflicto directo con las protecciones transfronterizas de la Loi 25. La única forma de eliminar completamente este riesgo es elegir un proveedor con infraestructura de datos residente en Canadá, no sujeta a la jurisdicción estadounidense.

Qué Significa la Loi 25 Específicamente para las Herramientas de Email con IA

Ningún otro artículo sobre la Loi 25 aborda este ángulo, y es el más importante para los profesionales en 2026. Una IA que lee tu bandeja de entrada procesa información personal a una profundidad que ninguna otra categoría de software iguala. Analiza tus patrones de escritura (que pueden considerarse datos biométricos conductuales bajo la Loi 25), lee comunicaciones profesionales sensibles, almacena grafos de contactos y toma decisiones automatizadas sobre cómo responder a las personas en tu vida. Cada una de estas actividades desencadena obligaciones específicas bajo la Loi 25.

La toma de decisiones automatizada es la disposición más ignorada. Bajo la Loi 25, cuando una decisión sobre un individuo se toma 'exclusivamente a través del procesamiento automatizado', la organización debe informar al individuo y proporcionar la oportunidad de que un miembro del personal revise la decisión. Para las herramientas de email con IA que redactan y sugieren respuestas, esto significa que la herramienta no puede enviar correos de forma autónoma sin tu revisión explícita, un requisito que Agentys ha seguido desde el primer día con su arquitectura de aprobación antes de enviar. Además, la regla de ajustes de privacidad predeterminados de la Loi 25 significa que una herramienta de IA debe enviarse con el nivel de privacidad más alto activo por defecto: sin recopilación silenciosa de datos, sin seguimiento de solo exclusión, sin perfilado preactivado.

Tus Derechos bajo la Loi 25: Lo que Puedes Exigir a Cualquier Herramienta de IA

La Loi 25 te otorga un conjunto completo de derechos que toda herramienta de email con IA debe respetar. El derecho de acceso (dentro de los 30 días para empresas privadas) significa que puedes solicitar toda la información personal que una organización tiene sobre ti. El derecho de rectificación te permite corregir datos inexactos, incompletos o ambiguos. El derecho de eliminación requiere que las organizaciones destruyan tu información personal cuando se ha cumplido el propósito original de la recopilación. El derecho a la desindexación (droit à l'oubli) te permite solicitar que una empresa deje de difundir públicamente tu información personal.

Desde septiembre de 2024, el derecho a la portabilidad de datos significa que puedes solicitar tus datos personales en un formato tecnológico estructurado y comúnmente usado y transferirlos a otro proveedor. Para las herramientas de email con IA, esto significa que nunca estás atrapado: tus datos te pertenecen a ti, no a la plataforma. También tienes el derecho de retirar el consentimiento en cualquier momento. Si revocas el acceso de una herramienta de IA a tu bandeja, debe dejar de procesar inmediatamente y, a petición tuya, eliminar todos tus datos. Estos no son objetivos aspiracionales: son derechos legales ejecutables respaldados por la CAI.

Cómo Agentys fue Construido para la Loi 25 desde el Primer Día

Muchas herramientas de email con IA que operan desde EE.UU. o Europa simplemente ignoran los requisitos de la Loi 25. Tratan el cumplimiento como una ocurrencia tardía, una página de texto legal añadida a su sitio web después de la revisión de un abogado. Agentys, como empresa canadiense, fue construida con el cumplimiento de la Loi 25 integrado en su arquitectura desde el primer día. Nuestro Responsable de Privacidad fue nombrado antes de que se entregara nuestra primera línea de código. Nuestra Evaluación de Impacto de Privacidad (ÉFVP) se completó antes de nuestro lanzamiento beta. Nuestro registro de incidentes de confidencialidad estaba operativo antes de incorporar a nuestro primer usuario. Estos no son claims de marketing. Son hechos documentados y auditables disponibles para revisión.

En la práctica, esto significa que tus datos de email se almacenan en centros de datos canadienses, con prácticas de seguridad alineadas con los controles SOC 2 Tipo 2 y auditadas de forma independiente mediante CASA Tier II, eliminando la exposición al US CLOUD Act que de otro modo permitiría a las autoridades americanas obligar a producir datos a proveedores cloud de EE.UU., independientemente de dónde estén almacenados físicamente. Tus datos nunca se transfieren fuera de Quebec sin una ÉFVP, y nunca se usan para entrenar modelos de IA. Nuestra arquitectura de aprobación antes de enviar garantiza que ningún correo se envíe nunca sin tu revisión explícita, cumpliendo las disposiciones de toma de decisiones automatizadas de la Loi 25. Para detalles técnicos sobre nuestras certificaciones de seguridad, lee nuestras guías sobre ISO 27001 y SOC 2 Type II.

La Loi 25 no es una casilla burocrática. Es la protección de privacidad más sólida disponible para los norteamericanos, y la ley más relevante para cualquiera que confíe su bandeja de entrada a una IA. Te otorga derechos ejecutables sobre tus datos: acceso, rectificación, eliminación, portabilidad, desindexación y revisión humana de las decisiones automatizadas. Cuando elijas una herramienta de email con IA, exige el cumplimiento de la Loi 25 como línea base, no como bonus. Agentys cumple cada requisito — las tres fases — porque creemos que tus datos de email te pertenecen a ti. Punto.