منذ التعديلات التي أدخلت على قوانين حماية المعلومات الشخصية (“القانون 25”) ، يجب إبلاغ “لجنة التحقيق في المعلومات” (CAI) عن “حادثة السرية” التي تنطوي على “خطر المساس الخطير”. نتيجة لذلك ، قفز عدد التقارير. لكن وسائل التنظيم ، التي لم يتبعوها ، تستنكر رئيسها ، في مقابلة مع صحيفة لا برس.
وقالت ديان بويتراس: “منذ 22 سبتمبر ، تلقينا أكثر من 70 بيانًا”. واحد تقريبًا كل يوم. وبهذا المعدل ، سيكون 346 تقريرًا قد وصل إلى اللجنة في عام واحد ، أي أربع مرات أكثر من عام 2021. مهمة ضخمة للمنظمة ، التي احتفلت هذا العام بالذكرى الأربعين لتأسيسها.
“إنه أمر مزعج أن نقول ، لكن هناك مشكلة في الموارد” ، يلاحظ الرئيس.
على الرغم من المتطلبات الجديدة للقانون التي يجب أن تطبقها ، لم تمنح كيبيك اللجنة سوى ربع ما كانت تطلبه للتعامل بشكل صحيح مع الزيادة في عبء عملها. تقول ديان بويتراس: “بالنسبة للعام الحالي ، تبلغ الزيادة 1.5 مليون ، لتصل إلى 8.2 مليون”.
تقول القليل جدا. لأن الانفجار الذي تم توقيفه يمكن أن يشتد ، وفقًا للرئيس ، وهو من قدامى المحاربين في CAI ، والذي بدأ العمل كمحام للمنظمة في عام 1986 ، عندما كان عمره أربع سنوات فقط.
تتوقع Diane Poitras أن يكون معدل الزيادة في غضون عام مماثلاً لتلك التي يواجهها مكتب مفوض المعلومات والخصوصية في ألبرتا. في عام 2018 ، بدأت هذه المقاطعة في طلب الإبلاغ عن أي انتهاكات للخصوصية الصحية. “لقد شهدوا زيادة بنسبة 400٪ في التصريحات” ، يوضح الرئيس. من خلال قانون حماية المعلومات الشخصية والوثائق الإلكترونية الجديد ، شهد مكتب مفوض الخصوصية في كندا زيادة بنسبة 500٪ في التقارير.
من 2024 إلى 2025 ، عندما تكون جميع الأحكام الجديدة لقوانين الخصوصية سارية المفعول ، تطالب المفوضية بـ 9 ملايين إضافية كل عام.
في الواقع ، ستحتاج المنظمة إلى مضاعفة عدد موظفيها مقارنة بالعام الماضي ، لما مجموعه 156 موظفًا ، وفقًا للأرقام التي تم الإبلاغ عنها أثناء دراسة اعتمادات 2022-2023. حتى الآن ، لديها 98 فقط.
في ظل هذه الظروف ، يجب على CAI اختيار ما يضعه على رأس المكدس. توضح ديان بويتراس: “التحدي الرئيسي الذي نواجهه هو الحد من الضرر الذي يلحق بالمواطنين”.
خاصة وأن الأحكام الجديدة ستدخل حيز التنفيذ في عام 2023. سيتعين على الشركات والمؤسسات العامة بعد ذلك اعتماد أطر أكثر صرامة للتحكم في جمع المعلومات الشخصية وتخزينها واستخدامها. ستحتاج المنظمة إلى تصميم أدلة لمساعدتها على مراقبة القواعد والنظر في امتثالها.
مع ارتفاع التقارير عن انتهاكات السرية ، هل سيكون إبلاغ المنظمات عن الحوادث إلى اللجنة صعبًا للغاية؟
في مقال نُشر يوم الخميس حول التصريحات التي قدمتها الشركات إلى CAI منذ 22 سبتمبر ، عرضت La Presse قضية شركة تكنولوجيا المعلومات التي أبلغت عن إرسال بريد إلكتروني واحد على أحد الموردين إلى الشخص الخطأ. أبلغت إحدى الصيدليات أيضًا عن وجود صندوق دواء مفتوح ممزق ، والذي كان من الممكن نظريًا أن يسمح لموظف التوصيل برؤية المعلومات السرية والطبية عن العملاء.
تقول ديان بويتراس: “الحد الأدنى للإبلاغ هو خطر حدوث ضرر جسيم”. أول شخص يجب تقييمه هو المنظمة المعنية. من المؤكد أن هناك من لا يجازف ، لذلك قد يقوم البعض بالتصريح حتى لو لم يتم الوصول إلى الحد الأدنى بالفعل. »
تقول إنها أفضل أكثر من أقل. توقع اللجنة الأساسي هو أن تفعل المنظمات كل ما في وسعها لمنع الحوادث ، وإذا حدث حادث ، فافعل كل شيء لحماية الجمهور. »
عندما حصلت لابريس على قائمة الشركات التي أبلغت عن حوادث الخصوصية ، لم تتضمن أي وصف للأحداث المبلغ عنها.
على سبيل المثال ، بقّال سوبيس ، الذي رفض لمدة شهر إعطاء أي تفاصيل حول الهجوم الإلكتروني الذي تعرض له ، مدرج في القائمة ، ولكن دون أي تفاصيل يمكن أن تساعد الجمهور على فهم ما حدث في الماضي.
توضح ديان بويتراس: “عندما نعالج الحادث ، قد يكون الكشف عن المعلومات مخاطرة”.
ومع ذلك ، فهي ليست منغلقة على فكرة قول المزيد في المستقبل ، بمجرد الانتهاء من التحقيقات في القضايا المعروضة عليها. “لا يتم استبعاد إعطاء المزيد من المعلومات. »
من الناحية المثالية ، ربما كان ينبغي أن يحدد القانون ما هي المعلومات المتعلقة بانتهاكات السرية التي يجب نشرها على الملأ ، يضيف الرئيس. “كما هو الحال ، لا يوجد سجل عام لجميع الحوادث. »
عدد التقارير التي تلقتها لجنة الحصول على المعلومات لعام 2021 بأكمله. وهذا أقل بنسبة 25٪ منذ بدء نفاذ التعديلات على قوانين حماية المعلومات الشخصية (“loi 25”).
