Lei 25 do Quebec (Proxecto de lei 64): a guía completa de consentimento de cookies e privacidade para editores en 2026
A maioría das conversacións sobre privacidade en América do Norte comezan e rematan con California. Ese enfoque está desfasado. A Lei 25 do Quebec, antes coñecida como Proxecto de lei 64, impón agora penalizacións que eclipsan o CCPA, o CPRA e todas as leis estatais dos EUA — ata 25 millóns de dólares canadenses ou o 4 % da facturación mundial, o que sexa maior. A fase final da Lei 25 entrou en vigor o 22 de setembro de 2024, introducindo un dereito pleno á portabilidade dos datos, e a aplicación recrudeceuse ao longo de 2025 e ata 2026. Calquera editor, plataforma SaaS ou provedor adtech con tráfico de Quebec enfróntase agora a obrigas de nivel GDPR — frecuentemente máis esixentes que o propio GDPR en áreas específicas como as transferencias transfronteirizas e os avisos de toma de decisións automatizada.
O que realmente esixe a Lei 25 do Quebec
A Lei 25 modifica a lei de privacidade do sector privado existente en Quebec (Act Respecting the Protection of Personal Information in the Private Sector) e achégaa ao GDPR europeo mantendo ao mesmo tempo características distintivamente canadenses. Os requisitos fundamentais que afectan aos editores e operadores dixitais son:
- Consentimento explícito e granular antes de recoller ou usar información persoal para calquera fin máis alá do inicialmente divulgado.
- Un Delegado de Protección de Datos designado (o executivo de maior rango por defecto, a menos que sexa delegado formalmente) cuxo nome e contacto deben publicarse no sitio web.
- Avaliacións de impacto sobre a privacidade (PIA) obrigatorias antes de lanzar calquera proxecto que implique información persoal, especialmente transferencias transfronteirizas ou novas tecnoloxías.
- Notificación de violación á Commission d'accès à l'information (CAI) e ás persoas afectadas cando a violación presenta un risco de dano grave.
- Dereitos individuais incluíndo acceso, rectificación, supresión, portabilidade e — de xeito único — o dereito a ser informado sobre a toma de decisións automatizada e a solicitar revisión humana.
O organismo de aplicación é a Commission d'accès à l'information du Québec (CAI), que emitiu avisos formais de investigación a múltiples editores e plataformas internacionais ao longo de 2025. Ao contrario dalgúns reguladores, a CAI mostrou disposición a perseguir entidades non canadenses que prestan servizos a residentes de Quebec.
Especificidades do consentimento de cookies: máis estritas que o GDPR en áreas clave
A Lei 25 non usa directamente a palabra "cookie", pero a súa definición de tecnoloxía que identifica, localiza ou perfila a un individuo abarca cookies, píxeles, toma de fondo de pantalla e identificadores móbiles baseados en SDK. A Sección 8.1 é a disposición crítica: calquera tecnoloxía de este tipo que estea activada por defecto debe estar desactivada por defecto e requirir consentimento activo para activarse.
Sen caixas marcadas previamente, sen consentimento implícito
Esta linguaxe é máis estrita que o marco ePrivacy do GDPR nun aspecto concreto: non só o consentimento debe ser opt-in, senón que a tecnoloxía subxacente debe estar tecnicamente desactivada ata que se dea o consentimento. Un banner de cookies que carga análises antes de que o usuario faga clic en aceptar viola a Lei 25 aínda que o banner en si sexa tecnicamente correcto. Os editores deben implementar unha verdadeira carga de scripts condicionada ao consentimento, similar ao Google Consent Mode v2 en modo avanzado — o modo básico xeralmente non é suficiente.
A personalización baseada en perfís require consentimento separado
Se usas cookies para construír un perfil de usuario para publicidade personalizada, a Lei 25 trátao como un fin distinto que require a súa propia capa de consentimento, ademais do consentimento base para a colocación de cookies. Un único botón de "aceptar todo" que agrupa almacenamento, análises e personalización está en risco — o regulador de Quebec sinalou a preferencia por botóns granulares por finalidade.
Transferencias transfronteirizas: o requisito de PIA
Quebec é a única provincia canadense que require unha Avaliación de Impacto sobre a Privacidade formal antes de transferir información persoal fóra de Quebec — incluso ao resto de Canadá, aos Estados Unidos e aos centros de datos europeos. A PIA debe avaliar:
- A sensibilidade dos datos implicados.
- A finalidade e a necesidade da transferencia.
- O marco xurídico da xurisdición de destino.
- As salvagardas contractuais e técnicas existentes.
Para os editores, isto afecta máis comunmente ás análises, á xestión de etiquetas, aos rexistros CDN e aos datos do servidor de anuncios que flúen cara á infraestrutura dos EUA. Unha PIA de adecuación de Quebec non bloquea estas transferencias, pero require unha avaliación documentada e — de xeito crítico — confirmación escrita da parte receptora de que os datos serán protexidos baixo principios equivalentes. Os contratos SaaS estándar aloxados nos EUA rara vez inclúen esta linguaxe por defecto e deben ser modificados.
Avisos de toma de decisións automatizada
A Sección 12.1 da Lei 25 é única no dereito norteamericano: se unha empresa usa información persoal para tomar unha decisión baseada exclusivamente no procesamento automatizado, debe:
- Informar ao individuo no momento da decisión ou antes.
- A petición, explicar a información persoal utilizada, as razóns e os principais factores que levaron á decisión.
- Proporcionar a oportunidade de presentar observacións a un revisor humano.
Para adtech, isto abarca as decisións programáticas sobre solicitudes de oferta, prezos dinámicos, puntuación de fraude e calquera clasificación de contido asistida por AI. Os editores raramente controlan directamente estes algoritmos — dependen de SSP e DSP — pero a Lei 25 trata ao editor como un responsable conxunto cando a decisión usa datos recompilados polo editor. Engadir unha breve divulgación de decisión automatizada ao teu aviso de privacidade é o paso mínimo viable de cumprimento.
Lista de verificación práctica de cumprimento para 2026
Paso 1: mapear o tráfico e os fluxos de datos de Quebec
Usa a xeolocalización IP nas túas análises para estimar o volume de visitantes de Quebec. Aínda que Quebec sexa menos do 5 % da túa audiencia, a penalización do 4 % do volume de negocio fai que ignoralo sexa desproporcionadamente arriscado. Mapea cada cookie, píxel e SDK que se activa para os usuarios de Quebec e onde van parar os seus datos.
Paso 2: implementar un CMP condicionado ao consentimento
O teu CMP debe admitir un bloqueo real a nivel de script, non o rexeitamento cosmético de banners. FlexyConsent e outros CMP certificados por Google ofrecen regras xeográficas específicas de Quebec que combinan a lóxica da Lei 25 con sinais máis amplos de Consent Mode v2 e GPP de ámbito nacional dos EUA. O modo Quebec preconfigurado debería establecer de forma predeterminada todas as categorías non esenciais en desactivado.
Paso 3: nomear e publicar un Delegado de Protección de Datos
Se a túa organización non ten presenza canadense, o teu CEO ou equivalente é o Delegado de Protección de Datos por defecto a menos que delegues formalmente por escrito. Publica o nome e o correo electrónico no teu aviso de privacidade — a CAI compróbao na primeira inspección.
Paso 4: completar unha PIA antes de novos proxectos
Cada novo proveedor, cada nova transferencia transfronteiriza, cada nova tecnoloxía de rastrexo require unha PIA documentada. Aceptanse PIA de modelo da CAI; non necesitas unha opinión xurídica personalizada para análises habituais ou contratos de CDN.
Paso 5: actualizar o teu aviso de privacidade
Quebec require divulgacións específicas: o contacto do Delegado de Protección de Datos, as categorías de información persoal recollida, os períodos de retención, os destinatarios terceiros, os destinos das transferencias transfronteirizas e as prácticas de decisión automatizada. Un aviso GDPR xenérico case nunca satisfai a Lei 25 sen adicións materiais.
Como interactúa a Lei 25 do Quebec con PIPEDA e o futuro da Lei 25
PIPEDA, a lei federal de privacidade de Canadá, aplícase á actividade comercial en todo Canadá — pero a Lei 25 do Quebec ten prevalencia dentro de Quebec porque a provincia foi declarada substancialmente similar para fins de privacidade do sector privado. Na práctica, isto significa que as operacións en Quebec recorren por defecto á Lei 25 e PIPEDA só se aplica ás actividades que cruzan as fronteiras provinciais.
Canadá tamén está modernizando PIPEDA a través da Consumer Privacy Protection Act (CPPA) proposta. Se o CPPA se aproba na súa forma actual, achegará o resto de Canadá ao modelo de Quebec — consentimento explícito, penalizacións significativas, un Comisario Federal de Privacidade con poder de ordenar, e transparencia de decisión automatizada. Os editores que constrúan a súa infraestrutura en torno á Lei 25 do Quebec hoxe estarán ben posicionados para os cambios federais do mañá.
En resumo: a Lei 25 do Quebec non é unha curiosidade provincial. É o modelo cara a onde se dirixe a privacidade canadense e o réxime de privacidade máis agresivo das Américas. Os editores, anunciantes e provedores SaaS que prestan servizos ao tráfico canadense deben tratar o cumprimento da Lei 25 como unha prioridade para 2026, non como un proxecto futuro.