El Comisionado de Privacidad de Canadá, Philippe Dufresne, emitió la siguiente declaración en una conferencia de prensa.

Buenos días y gracias por estar aquí hoy.

Mi nombre es Philippe Dufresne y soy el Comisionado de Privacidad de Canadá.

Mi mandato es proteger y promover los derechos de privacidad de las personas en los sectores público y privado, y garantizar que las organizaciones respeten sus obligaciones de privacidad. Mi Oficina investiga quejas, brinda asesoramiento a departamentos gubernamentales y organizaciones del sector privado, promueve la conciencia pública sobre cuestiones de privacidad y brinda asesoramiento y recomendaciones al Parlamento sobre reformas legales y asuntos de privacidad de interés e importancia públicos.

Desde mi nombramiento en junio pasado, me he reunido con partes interesadas clave de todo Canadá que representan al gobierno, las empresas, la sociedad civil, los consumidores, los académicos y los grupos que merecen equidad. Uno de los temas recurrentes de los debates fue este: proteger la privacidad en nuestro mundo cada vez más digital es uno de los desafíos clave de nuestro tiempo.

Como Comisionado de Privacidad de Canadá, tengo toda la intención de afrontar este desafío y, al hacerlo, aplicaré los tres elementos de mi visión de la privacidad, que son:

1. Primero, la privacidad es un derecho fundamental. Debe estar protegida legalmente con un régimen basado en derechos fuerte, justo, accesible y ejecutable que ofrezca remedios significativos para prevenir y abordar las violaciones, y que actúe como incentivo para que las instituciones creen una cultura de privacidad con privacidad por diseño y privacidad por por defecto.
2. En segundo lugar, la privacidad respalda el interés público y la innovación y competitividad de Canadá . No es una proposición de uno u otro. Las organizaciones que consideren las implicaciones de la privacidad desde el inicio de cualquier innovación o iniciativa, y que faciliten a los canadienses elegir la protección de la privacidad como configuración predeterminada, encontrarán que, en última instancia, es más rentable y eficaz, y esos costos se convertirán en inversiones que son buenos para los consumidores, las empresas, las políticas públicas y la innovación por igual.
3. En tercer y último lugar, la privacidad acelera la confianza que los canadienses tienen en sus instituciones. Cuando las personas tienen la seguridad de que su privacidad está suficientemente protegida, se sienten seguras de poder participar libremente en la economía digital.

Estos tres pilares reflejan la realidad de que los canadienses quieren ser ciudadanos digitales activos e informados, capaces de participar plenamente en la sociedad y la economía sin tener que elegir entre esta participación y sus derechos fundamentales de privacidad.

Como usted sabe, esta semana es la Semana de la Privacidad de Datos y hoy publicamos los resultados de nuestra investigación sobre el intercambio de información de clientes por parte de Home Depot Canada con Meta Platforms, que opera Facebook. Nuestro hallazgo clave, y un recordatorio importante para todas las organizaciones, es que cuando un cliente elige recibir un recibo electrónico en lugar de uno impreso, no da su consentimiento para que su información personal se comparta con terceros.

Desde al menos 2018, Home Depot había estado recopilando direcciones de correo electrónico de los clientes en las cajas de las tiendas con el propósito declarado de proporcionarles una copia electrónica de su recibo.

Es una pregunta que estoy seguro de que todos recordamos que nos han hecho en un momento u otro: «¿Le gustaría un recibo impreso o por correo electrónico?» Cuando se les ofrece esta opción, la mayoría de los clientes probablemente comprendan que es para su beneficio y conveniencia en este mundo cada vez más digital. Los canadienses probablemente no esperarían ni aceptarían que su información personal fuera compartida con un tercero, como Facebook, simplemente porque optaron por un recibo por correo electrónico.

Sin embargo, la investigación de mi Oficina luego de una queja bajo la Ley de Protección de Información Personal y Documentos Electrónicos reveló que Home Depot envió estas direcciones de correo electrónico, en un formato codificado, junto con detalles de alto nivel sobre las compras en la tienda de cada cliente, a Meta, quien luego use esta información para determinar si un cliente tenía una cuenta de Facebook. Si lo hicieran, Meta compararía las compras de la persona en la tienda con los anuncios de Home Depot enviados a través de la plataforma para medir e informar sobre la efectividad de esos anuncios. Meta también podría usar la información para sus propios fines comerciales, incluida la elaboración de perfiles de usuario y publicidad dirigida que no estuviera relacionada con Home Depot. Si bien cada dirección de correo electrónico que Home Depot compartía con Meta estaba codificada para que no pudiera ser leída por personas en Facebook, Meta empleó un proceso automatizado que le permitió hacer coincidir las direcciones de correo electrónico adjuntas a cuentas individuales de Facebook.

Cuando a los clientes de Home Depot se les solicitó y aceptaron recibir un recibo electrónico, nunca se les informó que su información se compartiría con Meta ni cómo la utilizaría cualquiera de las empresas. Aquí es donde Home Depot se quedó corto. Los consumidores necesitan información clara en puntos clave de transacción para que puedan tomar decisiones informadas sobre cómo se debe utilizar su información personal y brindar un consentimiento significativo.

Me complace compartir que, en respuesta a las recomendaciones de nuestro informe, Home Depot ha descontinuado esta práctica a partir de octubre de 2022. Home Depot también ha confirmado que obtendría un consentimiento expreso y significativo si implementara una práctica similar. en el futuro. 

Esto representa un resultado muy concreto y positivo para los canadienses.

La información personal es una parte fundamental de quiénes somos como individuos, y respetar los derechos de privacidad es esencial para nuestra dignidad y libertades fundamentales. Las organizaciones no deberían trivializar el uso de información personal. Si bien nuestra investigación abordó un caso individual, nuestras conclusiones generales se aplicarían a cualquier organización que tenga una práctica similar con respecto a los recibos electrónicos. Este informe es un recordatorio para todas las empresas, a medida que buscan cada vez más prestar servicios en línea y ofrecer recibos electrónicos, que deben ser claras y transparentes sobre cómo y por qué solicitan información personal de los consumidores, y que deben obtener un consentimiento significativo. de sus consumidores antes de compartir esta información con terceros. Hacerlo no sólo lo exige la ley de privacidad, sino que también es una inversión importante en la confianza que los canadienses tienen en la economía digital.

https://www.priv.gc.ca/en/opc-news/speeches/2023/s-d_20230126/