O que a Lei 25 do Quebec realmente exige

A Lei 25 altera a lei de privacidade do setor privado existente no Quebec (Act Respecting the Protection of Personal Information in the Private Sector) e a aproxima do GDPR europeu, mantendo características genuinamente canadenses. Os requisitos principais que afetam editores e operadores digitais são:

• Consentimento explícito e granular antes de coletar ou usar informações pessoais para qualquer finalidade além da originalmente divulgada.
• Um Encarregado de Privacidade designado (o executivo de mais alto escalão por padrão, a menos que formalmente delegado) cujo nome e contato devem ser publicados no site.
• Avaliações de Impacto na Privacidade (PIA) obrigatórias antes de lançar qualquer projeto envolvendo informações pessoais, especialmente transferências transfronteiriças ou nova tecnologia.
• Notificação de violação à Commission d'accès à l'information (CAI) e às pessoas afetadas quando a violação apresenta risco de dano grave.
• Direitos individuais incluindo acesso, retificação, exclusão, portabilidade e — de forma única — o direito de ser informado sobre a tomada de decisão automatizada e de solicitar revisão humana.

O órgão fiscalizador é a Commission d'accès à l'information du Québec (CAI), que emitiu notificações formais de investigação a vários editores e plataformas internacionais ao longo de 2025. Ao contrário de alguns reguladores, a CAI demonstrou disposição para perseguir entidades não canadenses que atendem residentes do Quebec.

Especificidades do consentimento de cookies: mais rígido que o GDPR em áreas-chave

A Lei 25 não usa a palavra "cookie" diretamente, mas sua definição de tecnologia que identifica, localiza ou cria perfil de um indivíduo abrange cookies, pixels, fingerprinting e identificadores móveis baseados em SDK. A Seção 8.1 é a disposição crítica: qualquer tecnologia desse tipo que seja ativada por padrão deve ser desativada por padrão e exigir consentimento ativo para ser habilitada.

Sem caixas pré-marcadas, sem consentimento implícito

Esta linguagem é mais rígida do que o framework ePrivacy do GDPR em um aspecto específico: não apenas o consentimento deve ser opt-in, mas a tecnologia subjacente deve estar tecnicamente desativada até que o consentimento seja concedido. Um banner de cookies que carrega análises antes de o usuário clicar em aceitar viola a Lei 25, mesmo que o próprio banner seja tecnicamente correto. Os editores devem implementar um verdadeiro carregamento de scripts condicionado ao consentimento, semelhante ao Google Consent Mode v2 no modo avançado — o modo básico é geralmente insuficiente.

A personalização baseada em perfil requer consentimento separado

Se você usa cookies para construir um perfil de usuário para publicidade personalizada, a Lei 25 trata isso como uma finalidade distinta que requer sua própria camada de consentimento, além do consentimento básico para o armazenamento de cookies. Um único botão "aceitar tudo" que agrupa armazenamento, análises e personalização está em risco — o regulador do Quebec sinalizou preferência por alternâncias granulares por finalidade.

Transferências transfronteiriças: o requisito de PIA

O Quebec é a única província canadense que exige uma Avaliação de Impacto na Privacidade formal antes de transferir informações pessoais para fora do Quebec — incluindo para o restante do Canadá, para os Estados Unidos e para centros de dados europeus. A PIA deve avaliar:

• A sensibilidade dos dados envolvidos.
• O propósito e a necessidade da transferência.
• O quadro jurídico da jurisdição de destino.
• As salvaguardas contratuais e técnicas em vigor.

Para editores, isso afeta mais comumente análises, gerenciamento de tags, logs de CDN e dados de servidores de anúncios que fluem para a infraestrutura dos EUA. Uma PIA de adequação ao Quebec não bloqueia essas transferências, mas exige avaliação documentada e — criticamente — confirmação por escrito da parte receptora de que os dados serão protegidos sob princípios equivalentes. Os contratos SaaS padrão hospedados nos EUA raramente incluem esta linguagem por padrão e precisam ser alterados.

Avisos de tomada de decisão automatizada

A Seção 12.1 da Lei 25 é única no direito norte-americano: se uma empresa usa informações pessoais para tomar uma decisão baseada exclusivamente em processamento automatizado, ela deve:

• Informar o indivíduo no momento ou antes de a decisão ser tomada.
• Mediante solicitação, explicar as informações pessoais usadas, os motivos e os fatores principais que levaram à decisão.
• Fornecer a oportunidade de apresentar observações a um revisor humano.

Para adtech, isso abrange a tomada de decisão programática sobre solicitações de lances, precificação dinâmica, pontuação de fraudes e qualquer classificação de conteúdo assistida por AI. Os editores raramente controlam esses algoritmos diretamente — eles dependem de SSPs e DSPs — mas a Lei 25 trata o editor como uma parte conjuntamente responsável quando a decisão usa dados coletados pelo editor. Adicionar uma breve divulgação de decisão automatizada ao seu aviso de privacidade é o passo mínimo viável de conformidade.

Lista de verificação prática de conformidade para 2026

Etapa 1: Mapeie o tráfego do Quebec e os fluxos de dados

Use a geolocalização de IP em suas análises para estimar o volume de visitantes do Quebec. Mesmo que o Quebec represente menos de 5% do seu público, a penalidade de 4% do faturamento torna desproporcional o risco de ignorar. Mapeie cada cookie, pixel e SDK que dispara para usuários do Quebec e para onde os dados vão.

Etapa 2: Implante um CMP condicionado ao consentimento

Seu CMP deve suportar bloqueio verdadeiro no nível do script, não a rejeição cosmética de banners. FlexyConsent e outros CMPs certificados pelo Google oferecem regras geográficas específicas do Quebec que combinam a lógica da Lei 25 com os sinais mais amplos do Consent Mode v2 e GPP US-national. O modo Quebec pré-configurado deve definir todas as categorias não essenciais como desativadas por padrão.

Etapa 3: Nomeie e publique um Encarregado de Privacidade

Se sua organização não tem presença canadense, seu CEO ou equivalente é o Encarregado de Privacidade por padrão, a menos que você delegue formalmente por escrito. Publique o nome e o e-mail em seu aviso de privacidade — a CAI verifica isso na primeira inspeção.

Etapa 4: Conclua uma PIA antes de novos projetos

Cada novo fornecedor, cada nova transferência transfronteiriça, cada nova tecnologia de rastreamento exige uma PIA documentada. PIAs modelo da CAI são aceitas; você não precisa de um parecer jurídico personalizado para análises de rotina ou contratos de CDN.

Etapa 5: Atualize seu aviso de privacidade

O Quebec exige divulgações específicas: o contato do Encarregado de Privacidade, as categorias de informações pessoais coletadas, os períodos de retenção, os destinatários terceiros, os destinos de transferências transfronteiriças e as práticas de decisão automatizada. Um aviso genérico de GDPR quase nunca satisfaz a Lei 25 sem adições materiais.

Como a Lei 25 do Quebec interage com a PIPEDA e o futuro da Lei 25

A PIPEDA, lei federal de privacidade do Canadá, aplica-se a atividades comerciais em todo o Canadá — mas a Lei 25 do Quebec tem precedência dentro do Quebec porque a província foi declarada substancialmente similar para fins de privacidade do setor privado. Na prática, isso significa que as operações no Quebec seguem a Lei 25 por padrão e a PIPEDA aplica-se apenas a atividades que cruzam linhas provinciais.

O Canadá também está modernizando a PIPEDA através da proposta Consumer Privacy Protection Act (CPPA). Se a CPPA for aprovada em sua forma atual, aproximará o restante do Canadá do modelo do Quebec — consentimento explícito, penalidades significativas, um Comissário Federal de Privacidade com poder de emitir ordens e transparência sobre decisões automatizadas. Os editores que constroem sua stack em torno da Lei 25 do Quebec hoje estarão bem posicionados para as mudanças federais de amanhã.

A versão curta: a Lei 25 do Quebec não é uma curiosidade provincial. É o modelo para onde a privacidade canadense está indo e o regime de privacidade mais agressivo das Américas. Editores, anunciantes e fornecedores de SaaS que atendem tráfego canadense devem tratar a conformidade com a Lei 25 como prioridade para 2026, não como um projeto futuro.