Organizações canadenses que usam o Microsoft Copilot precisam entender como essa ferramenta de IA está em conformidade com a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) e leis provinciais de privacidade, como a Lei 25 do Quebec, a PIPA de Alberta e a PIPA da Colúmbia Britânica. O Copilot processa dados por meio dos serviços do Microsoft 365 e do Microsoft Graph, o que levanta questões sobre residência de dados, consentimento e limitação de finalidade. Este artigo explica como o Copilot lida com informações pessoais sob a lei canadense e quais medidas os administradores devem tomar para manter a conformidade. Aborda compromissos contratuais da Microsoft, opções de armazenamento geográfico de dados e configurações que afetam as obrigações de privacidade.
Principais Conclusões: Conformidade do Copilot com PIPEDA e Leis Provinciais
- Centro de administração do Microsoft 365 > Configurações > Configurações da organização > Copilot > Residência de dados: Controla se o Copilot processa dados dentro do Canadá ou em outras regiões de datacenter da Microsoft.
- Escopo de acesso a dados do Microsoft Graph: O Copilot acessa apenas o conteúdo do Microsoft 365 que o usuário já tem permissão para visualizar, limitando a coleta não autorizada.
- Consentimento e limitação de finalidade: As organizações devem fornecer aviso claro aos funcionários sobre o uso de dados pelo Copilot e não podem reutilizar informações pessoais além da necessidade de negócio declarada.
Como a PIPEDA e as Leis Provinciais se Aplicam ao Copilot
A PIPEDA regula como as organizações do setor privado coletam, usam e divulgam informações pessoais durante atividades comerciais. As leis provinciais substancialmente semelhantes à PIPEDA incluem a Lei 25 do Quebec, a PIPA de Alberta e a PIPA da Colúmbia Britânica. O Copilot interage com informações pessoais de duas maneiras principais: processa prompts do usuário que podem conter dados pessoais e recupera conteúdo de serviços do Microsoft 365, como e-mail, calendário, documentos e mensagens do Teams. A questão central é se o Copilot coleta informações pessoais para uma finalidade razoável e se o consentimento foi obtido.
A Microsoft contrata com organizações por meio do Microsoft Online Subscription Agreement (MOSA) e do Data Protection Addendum (DPA). O DPA afirma que a Microsoft é a processadora de dados e a organização é a controladora de dados. Isso significa que a organização é responsável por garantir que o uso do Copilot esteja em conformidade com as leis de privacidade canadenses. A Microsoft não usa prompts do Copilot ou conteúdo recuperado para seus próprios fins, como treinar modelos de IA, sem consentimento explícito do cliente. Isso está alinhado com os requisitos da PIPEDA para consentimento e limitação de finalidade.
Residência de Dados e Transferências Transfronteiriças
A PIPEDA e as leis provinciais exigem que as informações pessoais sejam protegidas durante a transferência entre fronteiras. A Microsoft oferece opções de residência de dados para clientes canadenses por meio do compromisso de Residência de Dados Canadense do Microsoft 365. O Copilot processa dados na mesma região geográfica dos dados primários do Microsoft 365 do locatário. Se o locatário for provisionado no Canadá, os dados do Copilot permanecem nos datacenters canadenses, a menos que a organização configure recursos multigeográficos. As organizações que usam multigeográfico devem garantir que as informações pessoais não sejam movidas para uma região com proteções de privacidade inadequadas. A Microsoft fornece salvaguardas contratuais por meio do DPA e Cláusulas Contratuais Padrão para transferências fora do Canadá.
Requisitos de Consentimento e Aviso
Sob a PIPEDA, as organizações devem obter consentimento significativo antes de coletar, usar ou divulgar informações pessoais. Para o Copilot, a organização deve informar aos funcionários que seu conteúdo do Microsoft 365 pode ser processado pelo Copilot e que os prompts inseridos serão usados para gerar respostas. A finalidade deve ser claramente declarada: por exemplo, melhorar a produtividade por meio de rascunho ou resumo assistido por IA. O consentimento não pode ser implícito apenas pelo uso; as organizações devem publicar um aviso de privacidade ou atualizar sua política de privacidade do funcionário. A Lei 25 do Quebec vai além, exigindo consentimento explícito para tomada de decisão automatizada que use informações pessoais. As organizações devem consultar um advogado para determinar se o uso do Copilot aciona esse requisito.
Etapas para Configurar o Copilot para Conformidade com a Privacidade Canadense
- Verifique a residência de dados no centro de administração do Microsoft 365
Vá para Configurações > Configurações da organização > Perfil da organização > Localização dos dados. Confirme se a localização principal dos dados do seu locatário está definida como Canadá. Se não estiver, talvez seja necessário migrar seu locatário ou usar o complemento de compromisso de residência de dados. - Atualize o Data Protection Addendum (DPA)
Certifique-se de que sua organização assinou o DPA atual da Microsoft que inclui as Cláusulas Contratuais Padrão da União Europeia ou os termos específicos canadenses atualizados. Este documento rege as transferências transfronteiriças de dados e as obrigações do processador. - Configure o escopo de acesso a dados do Copilot
No centro de administração do Microsoft 365, vá para Configurações > Configurações da organização > Copilot. Em Fontes de dados, selecione qual conteúdo do Microsoft Graph o Copilot pode acessar. Restrinja o acesso apenas aos serviços necessários para sua finalidade de negócio, como Exchange Online e SharePoint Online. - Ative a auditoria de log para interações do Copilot
No portal de conformidade do Microsoft Purview, vá para Auditoria > Pesquisa de log de auditoria. Ative a auditoria para eventos do Copilot. Isso permite revisar como o Copilot é usado e demonstrar conformidade durante uma auditoria de privacidade. - Publique um aviso de privacidade para o uso do Copilot
Atualize sua política de privacidade do funcionário para informar que o Copilot processa conteúdo do Microsoft 365 e prompts do usuário. Inclua a finalidade, os tipos de dados envolvidos e o período de retenção. Distribua o aviso por meio de canais de comunicação internos. - Conduza uma Avaliação de Impacto na Privacidade (PIA)
Complete uma PIA que avalie os riscos do processamento de informações pessoais pelo Copilot. Documente os fluxos de dados, a base legal para o processamento e as salvaguardas em vigor. Isso é exigido pela Lei 25 do Quebec para qualquer nova tecnologia que processe informações pessoais.
Lacunas Comuns de Conformidade e Como Abordá-las
Copilot Acessa Mais Dados do que o Esperado
Se o Copilot recuperar conteúdo de serviços que não são necessários para sua finalidade de negócio, pode violar o princípio de limitação de finalidade sob a PIPEDA. Revise as fontes de dados nas configurações do Copilot e desative o acesso a serviços como Viva Insights ou Microsoft Forms se não forem necessários. Você também pode restringir o Copilot a sites específicos do SharePoint ou caixas de correio do Exchange usando rótulos de confidencialidade e políticas de retenção.
Consentimento do Funcionário Não Foi Obtido
Sem aviso adequado, os funcionários podem não saber que suas comunicações e documentos estão sendo processados pelo Copilot. Isso pode levar a uma reclamação sob a PIPEDA. Envie um e-mail para toda a empresa explicando o que o Copilot faz, quais dados usa e como os funcionários podem optar por não ter seu conteúdo processado. Para a Lei 25 do Quebec, pode ser necessário fornecer um mecanismo para os funcionários recusarem o processamento automatizado.
Residência de Dados Não Verificada Após Migração do Locatário
Se sua organização migrou de outra região para o Canadá, os dados do Copilot ainda podem estar armazenados na região anterior. Verifique a localização dos dados no centro de administração do Microsoft 365 e confirme se a migração foi concluída. Abra um ticket de suporte com a Microsoft para solicitar um relatório de verificação de residência de dados.
PIPEDA vs Lei 25 do Quebec vs PIPA de Alberta: Principais Diferenças para o Copilot
| Item | PIPEDA | Lei 25 do Quebec | PIPA de Alberta |
|---|---|---|---|
| Exigência de consentimento | Consentimento implícito ou expresso dependendo da sensibilidade | Consentimento expresso exigido para tomada de decisão automatizada | Consentimento implícito ou expresso dependendo da sensibilidade |
| Avaliação de Impacto na Privacidade | Recomendada, mas não obrigatória | Obrigatória para qualquer nova tecnologia que processe informações pessoais | Recomendada, mas não obrigatória |
| Salvaguardas para transferência transfronteiriça | Cláusulas contratuais ou regras corporativas vinculativas | Deve realizar uma avaliação de risco e publicar uma política | Cláusulas contratuais exigidas |
| Direito à explicação | Não explícito | Indivíduos têm direito a uma explicação das decisões automatizadas | Não explícito |
| Penalidades por não conformidade | Até CAD 100.000 por violação | Até o maior valor entre CAD 25 milhões ou 4% da receita global | Até CAD 500.000 por violação |
Organizações que operam em várias províncias devem cumprir a lei mais rigorosa aplicável. Por exemplo, uma empresa com funcionários em Quebec e Alberta deve atender aos requisitos da Lei 25 do Quebec para esses funcionários, mesmo que o restante da organização siga a PIPEDA. Use as etapas de configuração do Copilot acima para adaptar a conformidade por província, quando necessário.
Agora você pode configurar o Microsoft Copilot para estar em conformidade com a PIPEDA e as leis provinciais de privacidade ajustando a residência de dados, o escopo de acesso a dados e as práticas de consentimento. Comece verificando a localização dos dados do seu locatário e atualizando sua política de privacidade do funcionário. Para organizações em Quebec, priorize a conclusão de uma Avaliação de Impacto na Privacidade e a obtenção de consentimento explícito para processamento automatizado. Revise o DPA da Microsoft anualmente e monitore as atualizações das leis provinciais, pois a Lei 25 do Quebec está sendo implementada gradualmente até 2024 e 2025.