Quebec Law 25 (Bill 64): La guida completa al consenso dei cookie e alla privacy per gli editori nel 2026
La maggior parte delle conversazioni sulla privacy nordamericana inizia e finisce con la California. Questa prospettiva è superata. La Law 25 del Quebec, precedentemente nota come Bill 64, ora impone sanzioni che eclissano CCPA, CPRA e ogni legge statale statunitense — fino a CAD $25 milioni o il 4% del fatturato mondiale, a seconda di quale sia maggiore. La fase finale della Law 25 è entrata in vigore il 22 settembre 2024, introducendo un diritto completo alla portabilità dei dati, e l'applicazione si è intensificata nel 2025 e nel 2026. Qualsiasi editore, piattaforma SaaS o fornitore adtech con traffico dal Quebec deve ora fare fronte a obblighi di livello GDPR — spesso più esigenti dello stesso GDPR in aree specifiche come i trasferimenti transfrontalieri e le notifiche sulle decisioni automatizzate.
Cosa richiede effettivamente la Law 25 del Quebec
La Law 25 modifica la legge sulla privacy del settore privato del Quebec (Act Respecting the Protection of Personal Information in the Private Sector) avvicinandola al GDPR europeo pur mantenendo caratteristiche distintamente canadesi. I requisiti fondamentali che riguardano editori e operatori digitali sono:
- Consenso esplicito e granulare prima di raccogliere o utilizzare informazioni personali per qualsiasi scopo diverso da quello originariamente comunicato.
- Un Responsabile della Privacy designato (il dirigente di più alto rango per impostazione predefinita, salvo delega formale) il cui nome e recapito devono essere pubblicati sul sito web.
- Valutazioni d'impatto sulla privacy (PIA) obbligatorie prima di avviare qualsiasi progetto che coinvolga informazioni personali, in particolare trasferimenti transfrontalieri o nuove tecnologie.
- Notifica delle violazioni alla Commission d'accès à l'information (CAI) e alle persone interessate quando la violazione presenta un rischio di danno grave.
- Diritti individuali tra cui accesso, rettifica, cancellazione, portabilità e — in modo unico — il diritto di essere informati sulle decisioni automatizzate e di richiedere una revisione umana.
L'organo di vigilanza è la Commission d'accès à l'information du Québec (CAI), che ha emesso avvisi di indagine formali a numerosi editori e piattaforme internazionali nel corso del 2025. A differenza di alcuni regolatori, la CAI ha dimostrato disponibilità a perseguire entità non canadesi che servono residenti del Quebec.
Specificità del consenso ai cookie: più rigoroso del GDPR in aree chiave
La Law 25 non utilizza direttamente la parola "cookie", ma la sua definizione di tecnologia che identifica, localizza o profila un individuo comprende cookie, pixel, fingerprinting e identificatori mobili basati su SDK. La Sezione 8.1 è la disposizione critica: qualsiasi tecnologia di questo tipo che sia attivata per impostazione predefinita deve essere disabilitata per impostazione predefinita e richiedere un consenso attivo per essere attivata.
Niente caselle pre-selezionate, niente consenso implicito
Questo linguaggio è più rigoroso del framework ePrivacy del GDPR in un aspetto specifico: non solo il consenso deve essere opt-in, ma la tecnologia sottostante deve essere tecnicamente disabilitata fino a quando il consenso non viene concesso. Un banner per i cookie che carica le analisi prima che l'utente faccia clic su accetta viola la Law 25 anche se il banner stesso è tecnicamente corretto. Gli editori devono implementare un vero caricamento di script condizionato al consenso, simile a Google Consent Mode v2 in modalità avanzata — la modalità base è generalmente insufficiente.
La personalizzazione basata su profili richiede un consenso separato
Se utilizzi i cookie per costruire un profilo utente per la pubblicità personalizzata, la Law 25 lo tratta come uno scopo distinto che richiede il proprio livello di consenso, in aggiunta al consenso di base per il posizionamento dei cookie. Un singolo pulsante "accetta tutto" che raggruppa archiviazione, analisi e personalizzazione è a rischio — il regolatore del Quebec ha segnalato una preferenza per toggle granulari per singolo scopo.
Trasferimenti transfrontalieri: il requisito PIA
Il Quebec è l'unica provincia canadese che richiede una Valutazione d'impatto sulla privacy formale prima di trasferire informazioni personali al di fuori del Quebec — incluso il resto del Canada, gli Stati Uniti e i data center europei. La PIA deve valutare:
- La sensibilità dei dati coinvolti.
- Lo scopo e la necessità del trasferimento.
- Il quadro giuridico della giurisdizione di destinazione.
- Le salvaguardie contrattuali e tecniche in atto.
Per gli editori, questo riguarda più comunemente analisi, gestione dei tag, log CDN e dati del server pubblicitario che confluiscono nell'infrastruttura statunitense. Una PIA di adeguatezza del Quebec non blocca questi trasferimenti, ma richiede una valutazione documentata e — elemento critico — conferma scritta da parte del destinatario che i dati saranno protetti secondo principi equivalenti. I contratti SaaS standard ospitati negli USA raramente includono questo linguaggio per impostazione predefinita e devono essere modificati.
Notifiche sulle decisioni automatizzate
La Sezione 12.1 della Law 25 è unica nel diritto nordamericano: se un'azienda utilizza informazioni personali per prendere una decisione basata esclusivamente su elaborazione automatizzata, deve:
- Informare il soggetto interessato al momento o prima che la decisione venga presa.
- Su richiesta, spiegare le informazioni personali utilizzate, le ragioni e i principali fattori che hanno portato alla decisione.
- Fornire l'opportunità di presentare osservazioni a un revisore umano.
Per l'adtech, questo comprende il processo decisionale programmatico sulle richieste di offerta, la determinazione dinamica dei prezzi, la valutazione delle frodi e qualsiasi classificazione dei contenuti assistita da AI. Gli editori raramente controllano direttamente questi algoritmi — si affidano a SSP e DSP — ma la Law 25 tratta l'editore come parte corresponsabile quando la decisione utilizza dati raccolti dall'editore. Aggiungere una breve informativa sulle decisioni automatizzate alla propria informativa sulla privacy è il passo minimo di conformità praticabile.
Lista di controllo pratica per la conformità nel 2026
Fase 1: Mappa il traffico del Quebec e i flussi di dati
Utilizza la geolocalizzazione IP nelle tue analisi per stimare il volume dei visitatori del Quebec. Anche se il Quebec è meno del 5% del tuo pubblico, la penalità del 4% del fatturato lo rende sproporzionatamente rischioso da ignorare. Mappa ogni cookie, pixel e SDK che si attiva per gli utenti del Quebec e dove finiscono i suoi dati.
Fase 2: Distribuisci un CMP condizionato al consenso
Il tuo CMP deve supportare il blocco reale a livello di script, non la semplice chiusura cosmetica del banner. FlexyConsent e altri CMP certificati Google offrono regole geografiche specifiche per il Quebec che abbinano la logica della Law 25 ai segnali più ampi di Consent Mode v2 e GPP US-national. La modalità Quebec preconfigurata dovrebbe disabilitare per impostazione predefinita tutte le categorie non essenziali.
Fase 3: Nomina e pubblica un Responsabile della Privacy
Se la tua organizzazione non ha una presenza canadese, il tuo CEO o equivalente è il Responsabile della Privacy per impostazione predefinita a meno che non deleghi formalmente per iscritto. Pubblica il nome e l'email nella tua informativa sulla privacy — la CAI lo controlla alla prima ispezione.
Fase 4: Completa una PIA prima di nuovi progetti
Ogni nuovo fornitore, ogni nuovo trasferimento transfrontaliero, ogni nuova tecnologia di tracciamento richiede una PIA documentata. I modelli di PIA della CAI sono accettati; non hai bisogno di un parere legale personalizzato per analisi di routine o contratti CDN.
Fase 5: Aggiorna la tua informativa sulla privacy
Il Quebec richiede informative specifiche: il recapito del Responsabile della Privacy, le categorie di informazioni personali raccolte, i periodi di conservazione, i destinatari terzi, le destinazioni dei trasferimenti transfrontalieri e le pratiche di decisione automatizzata. Un'informativa GDPR generica quasi mai soddisfa la Law 25 senza aggiunte sostanziali.
Come la Law 25 del Quebec interagisce con PIPEDA e il futuro della Law 25
PIPEDA, la legge federale canadese sulla privacy, si applica all'attività commerciale in tutto il Canada — ma la Law 25 del Quebec ha la precedenza all'interno del Quebec perché la provincia è stata dichiarata sostanzialmente simile per gli scopi della privacy del settore privato. In pratica questo significa che le operazioni nel Quebec seguono per impostazione predefinita la Law 25 e PIPEDA si applica solo alle attività che attraversano i confini provinciali.
Il Canada sta anche modernizzando PIPEDA attraverso il proposto Consumer Privacy Protection Act (CPPA). Se il CPPA venisse approvato nella sua forma attuale, avvicinerebbe il resto del Canada al modello del Quebec — consenso esplicito, sanzioni significative, Commissario federale per la Privacy con potere decisionale e trasparenza nelle decisioni automatizzate. Gli editori che costruiscono oggi il loro stack attorno alla Law 25 del Quebec saranno ben posizionati per i cambiamenti federali di domani.
In breve: la Law 25 del Quebec non è una particolarità provinciale. È il modello verso cui si sta dirigendo la privacy canadese e il regime di privacy più aggressivo nelle Americhe. Editori, inserzionisti e fornitori SaaS che servono traffico canadese dovrebbero trattare la conformità alla Law 25 come una priorità del 2026, non come un progetto futuro.