anonym.legal

By · Last updated 2026-06-05

Volver al BlogGDPR y Cumplimiento

OPC Canadá: De PIPEDA a la Ley C-27...

La OPC de Canadá aplica PIPEDA mientras el Parlamento procesa la Ley C-27 sobre IA y Protección de Datos.

June 5, 202610 min de lectura
Canada OPCPIPEDA Bill C-27SIN detectionCanadian privacy lawEU adequacy

La ley de privacidad de Canadá está cambiando. La Oficina del Comisionado de Privacidad (OPC) aplica hoy la PIPEDA. El proyecto de ley C-27 reemplazaría a la PIPEDA con reglas más estrictas. El acuerdo de transferencia de datos entre Canadá y la UE también está bajo revisión en 2026. Esto es lo que necesita saber.

La ley de privacidad actual de Canadá

La PIPEDA es la principal ley de privacidad del sector privado de Canadá. Está en vigor desde 2001. Cubre empresas en sectores regulados a nivel federal. También aplica en provincias sin ley de privacidad propia.

Tres provincias tienen sus propias leyes: Alberta, Columbia Británica y Quebec.

La Ley 25 de Quebec es la más estricta. Entró en vigor en fases en 2022 y 2023. Exige evaluaciones de impacto en la privacidad y un responsable de privacidad designado. Es mucho más cercana al RGPD de la UE que la antigua PIPEDA.

La OPC gestionó más de 400 quejas relacionadas con la PIPEDA en 2024. Emitió órdenes vinculantes contra Tim Hortons por recopilar datos de ubicación sin consentimiento. Varios operadores de aplicaciones de salud también recibieron órdenes ese año.

Proyecto de ley C-27: Tres nuevas leyes

El proyecto de ley C-27 avanza en el Parlamento. Tiene tres partes.

Ley de Protección de la Privacidad del Consumidor (CPPA) reemplaza a la PIPEDA. Cambios clave:

  • Reglas de limitación de finalidad y minimización de datos.
  • Reglas de consentimiento más estrictas.
  • Multas de hasta el 3 % de las ventas globales o CAD $10 M — lo que sea mayor.
  • Derechos de portabilidad de datos.
  • Reglas de divulgación para decisiones automatizadas.

Ley de Inteligencia Artificial y Datos (AIDA) añade reglas sobre IA:

  • Reglas basadas en el riesgo para los sistemas de IA.
  • Evaluaciones de riesgo obligatorias para la IA de alto impacto.
  • Reglas de divulgación para la IA que afecta a las personas.
  • Una prohibición de la IA diseñada para causar daño.

Ley del Tribunal de Protección de la Información Personal y los Datos crea un nuevo órgano de apelación. Esto reemplaza el actual proceso del Tribunal Federal.

Vea cómo Canadá se compara con otras leyes de privacidad en nuestra guía global de cumplimiento de privacidad.

PII canadiense: qué detectar

Los archivos canadienses contienen tipos de identificadores únicos. Su herramienta debe manejarlos todos.

SIN (Número de Seguro Social): Nueve dígitos. Formato: XXX-XXX-XXX. Usa la verificación Luhn. El SIN aparece en formularios fiscales, registros de pago y expedientes de prestaciones. Es el identificador canadiense más sensible.

Números de tarjeta de salud provincial: Canadá tiene 13 provincias y territorios. Cada uno usa un formato diferente. No existe un estándar federal. Formatos principales:

  • Ontario OHIP: 10 dígitos más un código de 2 letras.
  • Alberta AHCIP: Número de Salud Personal de 9 dígitos.
  • BC Services Card: PHN de 10 dígitos.
  • Quebec RAMQ: 12 caracteres — codifica las iniciales del apellido y la fecha de nacimiento.

Una herramienta conforme debe soportar los 13 formatos.

Número de empresa de la CRA: Nueve dígitos. Emitido por la Agencia de Ingresos de Canadá.

PII bilingüe: inglés y francés

Canadá es oficialmente bilingüe. Los formularios federales suelen mezclar ambos idiomas en una misma página.

La PII en francés tiene sus propias necesidades:

  • Nombres: Los nombres en francés usan letras acentuadas. Una herramienta que omita los acentos perderá entidades.
  • Direcciones: Las direcciones de Quebec usan términos en francés — Rue, Avenue, Boulevard, Chemin. Los analizadores deben manejarlos.
  • Números RAMQ: El número de salud de Quebec codifica las iniciales del apellido. La detección debe ser consciente del francés.

Para una comparación, vea cómo la DPDPA de India gestiona la PII multilingüe.

El riesgo de adecuación de la UE en 2026

La decisión de adecuación de la UE de Canadá es de 2001. Fue la primera que otorgó la Comisión Europea. Ha superado todas las revisiones hasta ahora.

La revisión de 2026 es diferente. Dos puntos destacan.

Primero: la ley de ciberseguridad C-26 de Canadá (2024) obliga a las empresas críticas a informar incidentes al CSE. El CSE es la agencia de inteligencia de señales de Canadá. La Comisión verificará si el acceso del CSE a esos datos entra en conflicto con el RGPD.

Segundo: Canadá todavía opera bajo la PIPEDA. La Comisión ha señalado que la aplicación de la PIPEDA es débil. La CPPA aún no está en vigor.

Si la adecuación se suspende o revoca, todas las transferencias UE-Canadá deben cambiar a SCCs o BCRs de inmediato.

Comience a planificar ahora. Esperar la decisión es demasiado tarde.

Para contexto sobre cómo el riesgo de adecuación ha afectado a las empresas, vea nuestra guía de multas del RGPD.

Requisitos mínimos de cumplimiento

Para organizaciones con operaciones canadienses, la base técnica es:

  1. Detección del SIN con verificación Luhn.
  2. Procesamiento bilingüe de PII en inglés y francés.
  3. Detección de tarjeta de salud Ontario OHIP.
  4. Detección de tarjeta de salud Quebec RAMQ.
  5. Los 13 formatos provinciales para plena conformidad con la CPPA.

Fuentes

Artículos Relacionados

GDPR y Cumplimiento

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR y Cumplimiento

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.