Ley 25 de Quebec (Proyecto de Ley 64): La guía completa de consentimiento de cookies y privacidad para editores en 2026
La mayoría de las conversaciones sobre privacidad en América del Norte comienzan y terminan en California. Ese enfoque está desactualizado. La Ley 25 de Quebec, antes conocida como Bill 64, impone ahora sanciones que eclipsan a la CCPA, la CPRA y todas las leyes estatales de EE. UU. — hasta 25 millones de dólares CAD o el 4 % de la facturación mundial, la cifra que sea mayor. La fase final de la Ley 25 entró en vigor el 22 de septiembre de 2024, introduciendo un derecho pleno a la portabilidad de datos, y la aplicación se ha intensificado a lo largo de 2025 y hasta 2026. Cualquier editor, plataforma SaaS o proveedor de adtech con tráfico de Quebec se enfrenta ahora a obligaciones de nivel GDPR — en ocasiones más exigentes que el propio GDPR en áreas específicas como las transferencias transfronterizas y los avisos de toma de decisiones automatizada.
Qué exige realmente la Ley 25 de Quebec
La Ley 25 modifica la ley de privacidad del sector privado existente en Quebec (Act Respecting the Protection of Personal Information in the Private Sector) y la acerca al GDPR europeo manteniendo características inequívocamente canadienses. Los requisitos fundamentales que afectan a editores y operadores digitales son:
- Consentimiento explícito y granular antes de recopilar o usar información personal para cualquier finalidad más allá de la declarada originalmente.
- Un responsable de privacidad designado (por defecto el directivo de mayor rango, salvo delegación formal), cuyo nombre y datos de contacto deben publicarse en el sitio web.
- Obligatorias Evaluaciones de Impacto sobre la Privacidad (PIA) antes de lanzar cualquier proyecto que implique información personal, especialmente transferencias transfronterizas o nuevas tecnologías.
- Notificación de brecha a la Commission d'accès à l'information (CAI) y a las personas afectadas cuando la brecha presenta un riesgo de daño grave.
- Derechos individuales, incluidos acceso, rectificación, supresión, portabilidad y — de forma única — el derecho a ser informado sobre la toma de decisiones automatizada y a solicitar revisión humana.
El organismo de aplicación es la Commission d'accès à l'information du Québec (CAI), que ha emitido notificaciones formales de investigación a numerosos editores y plataformas internacionales a lo largo de 2025. A diferencia de algunos reguladores, la CAI ha mostrado voluntad de perseguir a entidades no canadienses que prestan servicios a residentes de Quebec.
Particularidades del consentimiento de cookies: más estricto que el GDPR en áreas clave
La Ley 25 no usa directamente la palabra "cookie", pero su definición de tecnología que identifica, localiza o perfila a un individuo captura cookies, píxeles, fingerprinting e identificadores móviles basados en SDK. La sección 8.1 es la disposición crítica: cualquier tecnología de este tipo que esté activada por defecto debe estar desactivada por defecto y requerir consentimiento activo para habilitarse.
Sin casillas premarcadas, sin consentimiento implícito
Este texto es más estricto que el marco ePrivacy del GDPR en un aspecto concreto: no solo el consentimiento debe ser opt-in, sino que la tecnología subyacente debe estar técnicamente desactivada hasta que se otorgue el consentimiento. Un banner de cookies que carga analíticas antes de que el usuario haga clic en aceptar viola la Ley 25 aunque el banner en sí sea técnicamente correcto. Los editores deben implementar una auténtica carga de scripts condicionada al consentimiento, similar a Google Consent Mode v2 en modo advanced — el modo básico es generalmente insuficiente.
La personalización basada en perfiles requiere consentimiento separado
Si usas cookies para crear un perfil de usuario para publicidad personalizada, la Ley 25 lo trata como una finalidad distinta que requiere su propia capa de consentimiento, además del consentimiento base para la colocación de cookies. Un único botón «aceptar todo» que agrupa almacenamiento, analíticas y personalización corre riesgo — el regulador de Quebec ha indicado preferencia por interruptores granulares por finalidad.
Transferencias transfronterizas: el requisito de PIA
Quebec es la única provincia canadiense que exige una Evaluación de Impacto sobre la Privacidad formal antes de transferir información personal fuera de Quebec — incluidos el resto de Canadá, Estados Unidos y centros de datos europeos. La PIA debe evaluar:
- La sensibilidad de los datos involucrados.
- La finalidad y necesidad de la transferencia.
- El marco jurídico de la jurisdicción de destino.
- Las salvaguardas contractuales y técnicas vigentes.
Para los editores, esto afecta con mayor frecuencia a las analíticas, la gestión de etiquetas, los registros de CDN y los datos del servidor de anuncios que fluyen hacia infraestructura estadounidense. Una PIA de adecuación para Quebec no bloquea estas transferencias, pero exige una evaluación documentada y — de forma crítica — una confirmación por escrito de la parte receptora de que los datos se protegerán bajo principios equivalentes. Los contratos estándar de SaaS alojados en EE. UU. raramente incluyen este texto por defecto y deben modificarse.
Avisos sobre toma de decisiones automatizada
La sección 12.1 de la Ley 25 es única en el derecho norteamericano: si una empresa usa información personal para tomar una decisión basada exclusivamente en el procesamiento automatizado, debe:
- Informar al individuo en el momento de la decisión o antes.
- A solicitud, explicar la información personal utilizada, los motivos y los factores principales que llevaron a la decisión.
- Proporcionar la oportunidad de presentar observaciones a un revisor humano.
Para el adtech, esto abarca la toma de decisiones programática en solicitudes de oferta, la fijación dinámica de precios, la puntuación de fraude y cualquier clasificación de contenido asistida por AI. Los editores raramente controlan estos algoritmos directamente — dependen de SSPs y DSPs — pero la Ley 25 trata al editor como responsable conjunto cuando la decisión usa datos que el editor recopiló. Añadir una breve divulgación de decisión automatizada a su aviso de privacidad es el paso mínimo viable de cumplimiento.
Lista de comprobación práctica de cumplimiento para 2026
Paso 1: Mapear el tráfico de Quebec y los flujos de datos
Use la geolocalización por IP en sus analíticas para estimar el volumen de visitantes de Quebec. Aunque Quebec represente menos del 5 % de su audiencia, la sanción del 4 % de la facturación hace que ignorarlo sea desproporcionadamente arriesgado. Mapee cada cookie, píxel y SDK que se activa para usuarios de Quebec y a dónde llegan sus datos.
Paso 2: Desplegar un CMP con control de consentimiento
Su CMP debe admitir bloqueo auténtico a nivel de script, no el simple cierre cosmético del banner. FlexyConsent y otros CMPs certificados por Google ofrecen reglas geográficas específicas de Quebec que combinan la lógica de la Ley 25 con las señales más amplias de Consent Mode v2 y GPP a nivel nacional de EE. UU. El modo Quebec preconfigurado debe tener por defecto todas las categorías no esenciales desactivadas.
Paso 3: Nombrar y publicar un responsable de privacidad
Si su organización no tiene presencia canadiense, su CEO o equivalente es el responsable de privacidad por defecto, salvo que delegue formalmente por escrito. Publique el nombre y el correo electrónico en su aviso de privacidad — la CAI lo comprueba en la primera inspección.
Paso 4: Completar una PIA antes de nuevos proyectos
Cada nuevo proveedor, cada nueva transferencia transfronteriza y cada nueva tecnología de seguimiento requiere una PIA documentada. Se aceptan las PIA plantilla de la CAI; no necesita un dictamen jurídico personalizado para analíticas rutinarias o contratos CDN.
Paso 5: Actualizar el aviso de privacidad
Quebec exige divulgaciones específicas: el contacto del responsable de privacidad, las categorías de información personal recopilada, los períodos de retención, los destinatarios de terceros, los destinos de transferencia transfronteriza y las prácticas de toma de decisiones automatizada. Un aviso GDPR genérico casi nunca satisface la Ley 25 sin adiciones materiales.
Cómo la Ley 25 de Quebec interactúa con PIPEDA y el futuro de la Ley 25
PIPEDA, la ley federal de privacidad de Canadá, se aplica a la actividad comercial en todo el país — pero la Ley 25 de Quebec tiene primacía dentro de Quebec porque la provincia ha sido declarada sustancialmente similar a efectos de privacidad en el sector privado. En la práctica, esto significa que las operaciones en Quebec siguen por defecto la Ley 25 y PIPEDA solo se aplica a actividades que cruzan fronteras provinciales.
Canadá también moderniza PIPEDA a través del propuesto Consumer Privacy Protection Act (CPPA). Si la CPPA se aprueba en su forma actual, acercará el resto de Canadá al modelo de Quebec — consentimiento explícito, sanciones significativas, un comisionado federal de privacidad con poder para dictar órdenes y transparencia en la toma de decisiones automatizada. Los editores que construyan su infraestructura en torno a la Ley 25 de Quebec hoy estarán bien posicionados para los cambios federales del mañana.
En resumen: la Ley 25 de Quebec no es una curiosidad provincial. Es la plantilla hacia donde se dirige la privacidad canadiense y el régimen de privacidad más agresivo de las Américas. Los editores, anunciantes y proveedores de SaaS que sirven tráfico canadiense deben tratar el cumplimiento de la Ley 25 como una prioridad de 2026, no como un proyecto futuro.