Çfarë kërkon në të vërtetë Ligji 25 i Kuebek-ut

Ligji 25 ndryshon ligjin ekzistues të privatësisë në sektorin privat të Kuebek-ut (Akti për Mbrojtjen e Informacionit Personal në Sektorin Privat) dhe e afron atë me GDPR-në europiane, duke ruajtur tipare dalluese kanadiane. Kërkesat kryesore që prekin botuesit dhe operatorët dixhitalë janë:

• Pëlqim eksplicit dhe i detajuar para mbledhjes ose përdorimit të informacionit personal për çdo qëllim përtej atij të zbuluar fillimisht.
• Një Zyrtar i Caktuar i Privatësisë (ekzekutivi me gradën më të lartë si parazgjedhje, nëse nuk delegohet zyrtarisht) emri dhe kontakti i të cilit duhet të publikohet në faqen e internetit.
• Vlerësimet e Ndikimit në Privatësi (PIA) të detyrueshme para nisjes së çdo projekti që përfshin informacion personal, veçanërisht transferimet ndërkufitare ose teknologji të reja.
• Njoftimi i shkeljes te Commission d'accès à l'information (CAI) dhe te individët e prekur kur shkelja paraqet rrezik dëmtimi serioz.
• Të drejta individuale duke përfshirë aksesin, korrigjimin, fshirjen, portabilitetin dhe — në mënyrë unike — të drejtën për t'u informuar për vendimmarrjen e automatizuar dhe për të kërkuar rishikim njerëzor.

Organi zbatues është Commission d'accès à l'information du Québec (CAI), i cili ka lëshuar njoftime formale hetimi për disa botues dhe platforma ndërkombëtare gjatë 2025. Ndryshe nga disa rregullatorë, CAI ka treguar gatishmëri për të ndjekur entitete jo-kanadiane që shërbejnë banorët e Kuebek-ut.

Specifikat e pëlqimit për cookie-t: më strikte se GDPR në fusha kryesore

Ligji 25 nuk e përdor drejtpërdrejt fjalën "cookie", por përkufizimi i tij i teknologjisë që identifikon, lokalizon ose profilon një individ kap cookie-t, pikselët, gjurmimin e gishtave dhe identifikuesit mobilë të bazuar në SDK. Seksioni 8.1 është dispozita kritike: çdo teknologji e tillë që është e aktivizuar si parazgjedhje duhet të çaktivizohet si parazgjedhje dhe të kërkojë pëlqim aktiv për t'u ndezur.

Pa kuti të parakontrolluara, pa pëlqim të nënkuptuar

Ky gjuhë është më e rreptë se kuadri ePrivacy i GDPR-së në një mënyrë specifike: jo vetëm duhet pëlqimi të jetë opt-in, por teknologjia bazë duhet të jetë çaktivizuar teknikisht derisa të jepet pëlqimi. Një baner cookie që ngarkon analitikën para se përdoruesi të klikojë pranoj shkel Ligjin 25 edhe nëse baneri vetë është teknikisht korrekt. Botuesit duhet të zbatojnë ngarkimin e skripteve të kushtëzuara me pëlqim, ngjashëm me Google Consent Mode v2 në modalitetin të avancuar — modaliteti bazë është përgjithësisht i pamjaftueshëm.

Personalizimi i bazuar në profil kërkon pëlqim të veçantë

Nëse përdorni cookie-t për të ndërtuar një profil përdoruesi për reklamat e personalizuara, Ligji 25 e trajton atë si një qëllim të veçantë që kërkon shtresën e vet të pëlqimit, sipër pëlqimit bazë për vendosjen e cookie-ve. Një buton i vetëm "pranoj të gjitha" që bashkon ruajtjen, analitikën dhe personalizimin është në rrezik — rregullatori i Kuebek-ut ka sinjalizuar preferencë për çelësa të detajuar për çdo qëllim.

Transferimet ndërkufitare: kërkesa PIA

Kuebeku është provinca e vetme kanadiane që kërkon një Vlerësim Formal të Ndikimit në Privatësi para transferimit të informacionit personal jashtë Kuebek-ut — duke përfshirë pjesën tjetër të Kanadasë, Shtetet e Bashkuara dhe qendrat evropiane të të dhënave. PIA duhet të vlerësojë:

• Ndjeshmërinë e të dhënave të përfshira.
• Qëllimin dhe nevojën e transferimit.
• Kuadrin ligjor të juridiksionit të destinacionit.
• Garancitë kontraktuale dhe teknike në vend.

Për botuesit, kjo prek më shpesh analitikën, menaxhimin e etiketave, regjistrat CDN dhe të dhënat e serverit të reklamave që rrjedhin në infrastrukturën amerikane. Një PIA e përshtatshmërisë me Kuebek-un nuk i bllokon këto transferime, por kërkon vlerësim të dokumentuar dhe — në mënyrë kritike — konfirmim me shkrim nga pala marrëse se të dhënat do të mbrohen nën parime ekuivalente. Kontratat standarde SaaS të hostuara në SHBA rrallë e përfshijnë këtë gjuhë si parazgjedhje dhe duhet të ndryshohen.

Njoftimet e vendimmarrjes së automatizuar

Seksioni 12.1 i Ligjit 25 është unik në ligjin e Amerikës së Veriut: nëse një biznes përdor informacion personal për të marrë një vendim bazuar ekskluzivisht në përpunimin e automatizuar, ai duhet:

• Të informojë individin gjatë ose para se të merret vendimi.
• Me kërkesë, të shpjegojë informacionin personal të përdorur, arsyet dhe faktorët kryesorë që çuan në vendim.
• Të ofrojë mundësinë e paraqitjes së vërejtjeve tek një rishikues njerëzor.

Për adtech, kjo kap vendimmarrjen programatike mbi kërkesat e ofertave, çmimet dinamike, vlerësimin e mashtrimit dhe çdo renditje të përmbajtjes me asistencë të AI. Botuesit rrallë i kontrollojnë drejtpërdrejt këto algoritme — ata mbështeten te SSP-të dhe DSP-të — por Ligji 25 e trajton botuesin si palë të përbashkët përgjegjëse kur vendimi përdor të dhëna të mbledhura nga botuesi. Shtimi i një zbulimi të shkurtër të vendimmarrjes së automatizuar në njoftimin tuaj të privatësisë është hapi minimal i pajtueshmërisë.

Lista kontrolluese praktike e pajtueshmërisë për 2026

Hapi 1: Hartoni trafikun dhe rrjedhat e të dhënave të Kuebek-ut

Përdorni gjeolokalizimin IP në analitikën tuaj për të vlerësuar volumin e vizitorëve nga Kuebeku. Edhe nëse Kuebeku është më pak se 5% e audiencës tuaj, gjoba e 4%-it të qarkullimit e bën atë jo proporcionale për t'u inoruar. Hartoni çdo cookie, piksel dhe SDK që ndizet për përdoruesit e Kuebek-ut dhe ku pristën të dhënat e tij.

Hapi 2: Vendosni një CMP të kushtëzuar me pëlqim

CMP-ja juaj duhet të mbështesë bllokimin e vërtetë të nivelit të skriptit, jo heqjen kozmetike të banerit. FlexyConsent dhe CMPt e tjera të certifikuara nga Google ofrojnë rregulla gjeografike specifike për Kuebek-un që çiftojnë logjikën e Ligjit 25 me sinjalet më të gjera të Consent Mode v2 dhe GPP US-kombëtare. Modaliteti i parakonfiguruar i Kuebek-ut duhet të parazgjedhë të gjitha kategoritë jo-thelbësore si të fikura.

Hapi 3: Emëroni dhe publikoni një Zyrtar Privatësie

Nëse organizata juaj nuk ka prani kanadiane, CEO ose ekuivalenti juaj është Zyrtari i Privatësisë si parazgjedhje nëse nuk delegoni zyrtarisht me shkrim. Publikoni emrin dhe emailin në njoftimin tuaj të privatësisë — CAI e kontrollon këtë në inspektimin e parë.

Hapi 4: Plotësoni një PIA para projekteve të reja

Çdo shitës i ri, çdo transferim i ri ndërkufitar, çdo teknologji e re gjurmimi kërkon një PIA të dokumentuar. PIA-t me shabllone nga CAI pranohen; ju nuk keni nevojë për një opinion të personalizuar ligjor për analitikën rutinë ose kontratat CDN.

Hapi 5: Përditësoni njoftimin tuaj të privatësisë

Kuebeku kërkon zbulime specifike: kontaktin e Zyrtarit të Privatësisë, kategoritë e informacionit personal të mbledhur, periudhat e mbajtjes, marrësit e palëve të treta, destinacionet e transferimit ndërkufitar dhe praktikat e vendimmarrjes së automatizuar. Një njoftim gjenerik GDPR pothuajse kurrë nuk kënaq Ligjin 25 pa shtesa materiale.

Si ndërvepron Ligji 25 i Kuebek-ut me PIPEDA dhe të ardhmen e Ligjit 25

PIPEDA, ligji federal i privatësisë i Kanadasë, zbatohet për aktivitetin tregtar në të gjithë Kanadanë — por Ligji 25 i Kuebek-ut ka përparësi brenda Kuebek-ut sepse province është deklaruar thelbësisht e ngjashme për qëllimet e privatësisë në sektorin privat. Në praktikë, kjo do të thotë se operacionet e Kuebek-ut parazgjedhin Ligjin 25 dhe PIPEDA zbatohet vetëm për aktivitetet që kalojnë kufijtë provincialë.

Kanadaja po modernizon gjithashtu PIPEDA-n nëpërmjet Consumer Privacy Protection Act (CPPA)-s së propozuar. Nëse CPPA kalon në formën e saj aktuale, ajo do të afrojë pjesën tjetër të Kanadasë me modelin e Kuebek-ut — pëlqim eksplicit, gjoba domethënëse, një Komisioneri Federal i Privatësisë me fuqi urdhëruese dhe transparencë e vendimmarrjes së automatizuar. Botuesit që ndërtojnë stackun e tyre rreth Ligjit 25 të Kuebek-ut sot do të jenë të pozicionuar mirë për ndryshimet federale të nesërm.

Versioni i shkurtër: Ligji 25 i Kuebek-ut nuk është një kuriozitet provincial. Është shablloni për drejtimin e privatësisë kanadiane dhe regjimi më agresiv i privatësisë në Amerikat. Botuesit, reklamuesit dhe shitësit SaaS që shërbejnë trafikun kanadian duhet ta trajtojnë pajtueshmërinë me Ligjin 25 si prioritet të 2026, jo si projekt të ardhshëm.