Llei 25 de Quebec (Projecte de llei 64): La guia completa de consentiment de cookies i privadesa per a editors el 2026
La majoria de les converses sobre privadesa a Amèrica del Nord comencen i acaben a Califòrnia. Aquesta perspectiva és obsoleta. La Llei 25 de Quebec, anteriorment coneguda com a Bill 64, ara imposa sancions que eclipsen la CCPA, la CPRA i totes les lleis estatals dels EUA — fins a 25 milions de dòlars CAD o el 4% de la facturació mundial, el que sigui superior. La fase final de la Llei 25 va entrar en vigor el 22 de setembre de 2024, introduint un dret ple a la portabilitat de les dades, i l'aplicació s'ha intensificat durant el 2025 i fins al 2026. Qualsevol editor, plataforma SaaS o proveïdor d'adtech amb trànsit de Quebec ara s'enfronta a obligacions de nivell GDPR — sovint més exigents que el GDPR mateix en àrees específiques com les transferències transfrontereres i els avisos de presa de decisions automatitzada.
Què requereix realment la Llei 25 de Quebec
La Llei 25 modifica la llei de privadesa del sector privat existent a Quebec (Act Respecting the Protection of Personal Information in the Private Sector) i l'acosta al GDPR europeu tot mantenint característiques distintivament canadenques. Els requisits bàsics que afecten els editors i els operadors digitals són:
- Consentiment explícit i granular abans de recollir o usar informació personal per a qualsevol finalitat més enllà de la declarada originàriament.
- Un responsable de privadesa designat (per defecte el directiu de rang més alt, tret que se n'hagi delegat formalment) el nom i les dades de contacte del qual s'han de publicar al lloc web.
- Avaluacions d'impacte sobre la privadesa (PIA) obligatòries abans de llançar qualsevol projecte que impliqui informació personal, especialment transferències transfrontereres o noves tecnologies.
- Notificació de bretxa a la Commission d'accès à l'information (CAI) i a les persones afectades quan la bretxa presenta un risc de dany greu.
- Drets individuals que inclouen accés, rectificació, supressió, portabilitat i, de manera única, el dret a ser informat sobre la presa de decisions automatitzada i a sol·licitar revisió humana.
L'organisme d'aplicació és la Commission d'accès à l'information du Québec (CAI), que ha emès avisos formals d'investigació a diversos editors i plataformes internacionals al llarg del 2025. A diferència d'alguns reguladors, la CAI ha mostrat voluntat de perseguir entitats no canadenques que presten serveis a residents de Quebec.
Detalls del consentiment de cookies: més estricte que el GDPR en àrees clau
La Llei 25 no usa directament la paraula "cookie", però la seva definició de tecnologia que identifica, localitza o perfila un individu captura cookies, píxels, fingerprinting i identificadors mòbils basats en SDK. La secció 8.1 és la disposició crítica: qualsevol tecnologia d'aquest tipus que estigui activada per defecte ha d'estar desactivada per defecte i requerir consentiment actiu per activar-se.
Sense caselles premarcades, sense consentiment implícit
Aquest text és més estricte que el marc ePrivacy del GDPR en un aspecte concret: no només el consentiment ha de ser opt-in, sinó que la tecnologia subjacent ha d'estar tècnicament desactivada fins que s'atorgui el consentiment. Un bàner de cookies que carrega analítiques abans que l'usuari faci clic a acceptar viola la Llei 25 fins i tot si el bàner en si és tècnicament correcte. Els editors han d'implementar una càrrega d'scripts condicionada al consentiment autèntica, similar a Google Consent Mode v2 en mode advanced — el mode bàsic en general no és suficient.
La personalització basada en perfils requereix consentiment separat
Si useu cookies per crear un perfil d'usuari per a publicitat personalitzada, la Llei 25 ho tracta com una finalitat diferent que requereix la seva pròpia capa de consentiment, a més de el consentiment de base per a la col·locació de cookies. Un únic botó "acceptar tot" que agrupa emmagatzematge, analítiques i personalització és arriscat — el regulador de Quebec ha indicat preferència per commutadors granulars per finalitat.
Transferències transfrontereres: el requisit de PIA
Quebec és l'única província canadenca que requereix una Avaluació d'impacte sobre la privadesa formal abans de transferir informació personal fora de Quebec — inclosa la resta del Canadà, els Estats Units i els centres de dades europeus. La PIA ha d'avaluar:
- La sensibilitat de les dades implicades.
- La finalitat i la necessitat de la transferència.
- El marc jurídic de la jurisdicció de destinació.
- Les salvaguardes contractuals i tècniques vigents.
Per als editors, això afecta habitualment les analítiques, la gestió d'etiquetes, els registres de CDN i les dades del servidor d'anuncis que flueixen cap a la infraestructura dels EUA. Una PIA d'adequació de Quebec no bloqueja aquestes transferències, però requereix una avaluació documentada i, de manera crítica, una confirmació per escrit de la part receptora que les dades es protegiran sota principis equivalents. Els contractes de SaaS estàndard allotjats als EUA rarament inclouen aquest text per defecte i s'han de modificar.
Avisos de presa de decisions automatitzada
La secció 12.1 de la Llei 25 és única en el dret nord-americà: si una empresa usa informació personal per prendre una decisió basada exclusivament en el processament automatitzat, ha de:
- Informar l'individu en el moment de la decisió o abans.
- A sol·licitud, explicar la informació personal usada, els motius i els factors principals que van dur a la decisió.
- Proporcionar l'oportunitat de presentar observacions a un revisor humà.
Per a l'adtech, això captura la presa de decisions programàtica en sol·licituds d'oferta, preus dinàmics, puntuació de frau i qualsevol classificació de contingut assistida per AI. Els editors rarament controlen aquests algorismes directament — depenen de SSP i DSP — però la Llei 25 tracta l'editor com a responsable conjunt quan la decisió usa dades que l'editor ha recollit. Afegir una breu divulgació de decisió automatitzada al vostre avís de privadesa és el pas mínim viable de compliment.
Llista de verificació pràctica de compliment per al 2026
Pas 1: Mapeu el trànsit de Quebec i els fluxos de dades
Useu la geolocalització per IP a les vostres analítiques per estimar el volum de visitants de Quebec. Fins i tot si Quebec representa menys del 5% del vostre públic, la sanció del 4% de la facturació fa que ignorar-ho sigui desproporcionadament arriscat. Cartografieu cada cookie, píxel i SDK que s'activa per a usuaris de Quebec i on acaben les seves dades.
Pas 2: Desplegueu un CMP condicionat al consentiment
El vostre CMP ha d'admetre el bloqueig autèntic a nivell d'script, no el tancament cosmètic del bàner. FlexyConsent i altres CMP certificats per Google ofereixen regles geogràfiques específiques de Quebec que combinen la lògica de la Llei 25 amb els senyals de Consent Mode v2 i GPP nacional dels EUA. El mode Quebec preconfigurats hauria de posar per defecte totes les categories no essencials en desactivat.
Pas 3: Nomeneu i publiqueu un responsable de privadesa
Si la vostra organització no té presència canadenca, el vostre CEO o equivalent és el responsable de privadesa per defecte tret que delegeu formalment per escrit. Publiqueu el nom i el correu electrònic en el vostre avís de privadesa — la CAI ho comprova en la primera inspecció.
Pas 4: Completeu una PIA abans dels nous projectes
Cada nou proveïdor, cada nova transferència transfronterera i cada nova tecnologia de seguiment requereix una PIA documentada. Les PIA plantilla de la CAI s'accepten; no necessiteu un dictamen jurídic personalitzat per a analítiques rutinàries o contractes CDN.
Pas 5: Actualitzeu el vostre avís de privadesa
Quebec requereix divulgacions específiques: el contacte del responsable de privadesa, les categories d'informació personal recollida, els períodes de retenció, els destinataris de tercers, les destinacions de transferència transfronterera i les pràctiques de presa de decisions automatitzada. Un avís GDPR genèric gairebé mai satisfà la Llei 25 sense addicions materials.
Com la Llei 25 de Quebec interactua amb PIPEDA i el futur de la Llei 25
PIPEDA, la llei federal de privadesa del Canadà, s'aplica a l'activitat comercial de tot el Canadà — però la Llei 25 de Quebec té preeminència dins de Quebec perquè la província ha estat declarada substancialment similar per a fins de privadesa del sector privat. En la pràctica, això significa que les operacions de Quebec per defecte segueixen la Llei 25 i PIPEDA només s'aplica a les activitats que creuen les fronteres provincials.
El Canadà també modernitza PIPEDA mitjançant la proposta Consumer Privacy Protection Act (CPPA). Si la CPPA s'aprova en la seva forma actual, aproparà la resta del Canadà al model de Quebec — consentiment explícit, sancions significatives, un comissari federal de privadesa amb potestat d'ordre i transparència en la presa de decisions automatitzada. Els editors que construeixin la seva infraestructura al voltant de la Llei 25 de Quebec avui estaran ben posicionats per als canvis federals del demà.
En resum: la Llei 25 de Quebec no és una curiositat provincial. És la plantilla per on va la privadesa canadenca i el règim de privadesa més agressiu de les Amèriques. Els editors, anunciants i proveïdors de SaaS que presten serveis al trànsit canadenc han de tractar el compliment de la Llei 25 com una prioritat del 2026, no com un projecte futur.