Todas las publicaciones
cumplimientoquebecley-25privacidad

La Ley 25 de Quebec para tutores en línea: lo que realmente tienes que hacer

Lista práctica para tutores independientes bajo la Ley 25 de Quebec: consentimiento, minimización de datos, almacenamiento transfronterizo, portabilidad y supresión.

Por Equipo Classentra

Si eres tutor, entrenador o profesor independiente que gestiona su negocio desde Quebec — o que atiende a estudiantes residentes en Quebec —, la Ley 25 se aplica a ti. No importa que seas una operación unipersonal sin departamento de RR. HH. ni equipo legal. La ley no prevé una exención para pequeñas empresas en materia de protección de información personal.

Este artículo no es asesoría legal. Es una lista de verificación práctica de lo que realmente importa para un negocio de tutoría unipersonal sujeto a la Ley 25 (formalmente, la Ley que moderniza las disposiciones legislativas en materia de protección de la información personal).

Qué es realmente la Ley 25

La Ley 25 es la ley de privacidad de Quebec para el sector privado. Modernizó la Ley sobre la protección de la información personal en el sector privado y se desplegó en tres fases (2022, 2023 y 2024). Desde 2024 está plenamente en vigor.

Para un negocio de tutoría, el regulador que te concierne es la Commission d'accès à l'information du Québec (CAI).

Las seis obligaciones que realmente tienes

Si tuviera que resumir la Ley 25 para un tutor independiente en unos pocos puntos, estos son los que se aplican de manera tangible:

  1. Designar a una persona responsable de la información personal. En un negocio unipersonal, esa persona eres tú. Publica sus datos de contacto (los tuyos) en tu sitio web y en cualquier acuerdo con estudiantes o padres.
  2. Obtener un consentimiento específico, informado y granular antes de recopilar información personal. Los términos agrupados tipo «acepto todo» quedan fuera. El consentimiento para el servicio principal (impartir clases) es distinto del consentimiento para marketing (boletín futuro).
  3. Minimizar lo que recopilas. No pidas la dirección postal si con un correo electrónico basta. No guardes los archivos de tareas del año anterior «por si acaso».
  4. Declarar las transferencias transfronterizas. Si algún dato sale de Canadá — incluso por residir en una nube con sede en EE. UU. —, debes (a) realizar una evaluación de impacto sobre la privacidad e (b) informar al estudiante (o padre).
  5. Atender las solicitudes de acceso, portabilidad y supresión en un plazo de 30 días desde su recepción. Portabilidad significa específicamente proporcionar los datos en un formato estructurado, de uso común y tecnológico. JSON, CSV y PDF son válidos.
  6. Notificar los incidentes de confidencialidad a la CAI y a las personas afectadas si existe un riesgo de perjuicio grave. Mantén un registro de incidentes aunque no tengas que notificar.

Cómo se ve esto en la práctica

Consentimiento

Tu flujo de registro (o formulario de admisión) debe tener casillas separadas:

  • Una para la prestación del servicio: «Consiento que Classentra / mi tutor recopile la información necesaria para impartir mis sesiones.»
  • Una para el marketing: «Consiento recibir correos ocasionales sobre nuevos cursos y novedades.» (Desmarcada por defecto.)
  • Una para la compartición de datos con terceros si aplica: analítica, proveedor de video, etc.

Registra la marca de tiempo y la dirección IP de cada consentimiento. Tendrás que poder demostrarlo si te lo piden.

Minimización

No recopiles fecha de nacimiento a menos que un tipo de sesión lo requiera. No recopiles direcciones para tutoría exclusivamente en línea. No archives conversaciones de estudiantes que cancelaron hace dos años; elimínalas según un calendario.

Transferencias transfronterizas

Si usas una plataforma de video con sede en EE. UU., un proveedor de correo con sede en EE. UU. o un servicio de almacenamiento de archivos con sede en EE. UU., tus datos cruzan la frontera. Debes:

  • Declararlo claramente en tu política de privacidad.
  • Realizar una Evaluación de Impacto sobre la Privacidad (EIP) interna. Para un negocio unipersonal es un documento de una página; aun así debe existir.
  • Asegurar que el proveedor ofrezca protección equivalente a la ley de Quebec — esta es la cláusula que importa.

Portabilidad y supresión

Si un padre te escribe pidiendo el expediente de su hijo, tienes 30 días. Desarrolla el hábito ahora: ¿puedes, hoy mismo, exportar todo lo que conservas sobre un estudiante dado en un único archivo ZIP en pocos minutos? Si no, estás a una solicitud de quedar fuera de cumplimiento.

Classentra ofrece esto como un botón de autoservicio en la configuración de la cuenta: el estudiante (o su padre) hace clic en Exportar mis datos y recibe un ZIP con cada sesión, mensaje, material, tarea, calificación y notificación. La supresión es un botón separado en la misma pantalla y el borrado se propaga por el sistema en menos de 24 horas.

Si construyes tu propia infraestructura, necesitas el equivalente. Un correo del tipo «te responderemos pronto» no es una estrategia de cumplimiento.

Lo que puedes dejar de lado (como tutor independiente)

Estas partes de la Ley 25 existen, pero es poco probable que se apliquen a escala unipersonal:

  • Divulgaciones sobre decisiones automatizadas. Solo aplican si usas un sistema de IA para tomar una decisión sobre un estudiante sin intervención humana (p. ej. calificación automática que afecta su expediente). Para un tutor con intervención humana, no se activa.
  • Nombramiento de un responsable distinto de ti. El «responsable» de un negocio unipersonal es el propietario. No hace falta una segunda persona.
  • EIP escrita obligatoria para cada proveedor. Es una buena práctica, pero la orientación de la CAI se centra en transferencias significativas. Una nota interna de una página por proveedor importante es el mínimo realista.

El resumen

La Ley 25 no es opcional y no da miedo. El trabajo real es:

  • Una política de privacidad que refleje la realidad, no una plantilla.
  • Un flujo de admisión con consentimiento granular y registrado.
  • Un responsable nombrado (tú), contactable.
  • Un proceso — aunque sea manual — para responder a solicitudes de acceso, portabilidad o supresión en 30 días.
  • Un registro de incidentes.

Si eliges una plataforma, elige una construida en Canadá o una que te dé las herramientas para cumplir con estas obligaciones sin trabajo legal adicional. Si quieres ver cómo se ve esto en la práctica, prueba Classentra — el cumplimiento de la Ley 25 viene integrado.