En marzo de 2026, el gobierno Liberal de Canadá introdujo el Proyecto de Ley C-22, formalmente llamado Lawful Access Act (Ley de Acceso Legal). El título es técnico y burocrático, pero el contenido es concreto: los proveedores de telecomunicaciones y plataformas digitales deberán retener categorías específicas de metadatos de sus usuarios durante hasta 12 meses, y las autoridades tendrán nuevas herramientas para acceder a esa información con umbrales de sospecha más bajos que los actuales.
El gobierno dice que no está interceptando contenido. Técnicamente, es verdad. Pero los metadatos de comunicaciones —marcas temporales, ubicaciones derivadas de torres celulares, registros de dispositivos, con quién te comunicas y cuándo— ya no son datos vacíos. En muchos contextos, revelan más sobre una persona que el contenido de sus mensajes. C-22 convierte esa información en obligatoriamente retenida, sin que el usuario tenga opción de decir que no.
¿Qué ordena exactamente el proyecto de ley?
Hay cuatro elementos centrales en C-22:
IA para el Resto de Nosotros
La nueva versión de mi curso estrella para aprender a usar la IA de forma práctica, simple y útil en tu día a día. Comienza el 24 de marzo.
→ Inscríbete hoy 🚀Retención de metadatos hasta 12 meses. Los proveedores de telecomunicaciones quedan obligados a guardar categorías de metadatos —datos de transmisión, marcas temporales, información de dispositivos asociados— según reglamentaciones que se definirán posteriormente. El límite superior es un año. Hasta ahora, muchas empresas eliminaban estos datos rápidamente por razones operacionales y de privacidad.
La “demanda de confirmación de servicio”. Esta es una figura nueva: las autoridades pueden preguntar a una empresa de telecomunicaciones si presta o no servicio a un número de teléfono o dirección IP determinada, sin necesidad de orden judicial. La respuesta es binaria: sí o no. Para obtener información completa del suscriptor —nombre, domicilio, tipo de servicio— se requiere una orden, pero con un umbral reducido de “sospecha razonable” en lugar de la “causa probable” tradicional.
Proveedores “esenciales” con obligaciones técnicas. El gobierno puede designar, mediante reglamento, a ciertas empresas como “core providers”: telecomunicadoras, grandes plataformas como Google, y otros proveedores de servicios electrónicos. Esos actores quedarán obligados a construir y mantener capacidades técnicas que permitan el acceso legal a datos bajo autorización judicial. Es decir: puertas traseras estructurales para el Estado.
Alcance internacional ampliado. C-22 permite emitir órdenes para obtener datos de transmisión e información de suscriptores de entidades en el extranjero, y modifica la Ley de Asistencia Mutua en Materia Penal para ejecutar órdenes de producción extranjera. Lo que pasa en Canadá ya no se queda en Canadá.
La diferencia entre metadatos y contenido, y por qué importa menos de lo que parece
El gobierno canadiense repite que C-22 no permite interceptar el contenido de las comunicaciones. Esa distinción fue importante en 2002, cuando se redactó el marco legal anterior. En 2026, la diferencia es mucho más delgada.
Los metadatos modernos incluyen: con quién hablas y cuándo, desde dónde, con qué dispositivo, con qué frecuencia, durante cuánto tiempo. Modelos de análisis de grafo social pueden reconstruir relaciones íntimas, afiliaciones políticas, hábitos de salud, rutinas de movimiento y redes de contacto con solo esos datos. Sin acceder al contenido de un solo mensaje.
Un estudio de Stanford de 2016 demostró que con solo metadatos telefónicos era posible inferir si alguien padecía una enfermedad cardíaca, consumía marihuana o tenía afiliaciones con grupos religiosos minoritarios. En 2026, con 12 meses de datos de una persona activa digitalmente, el perfil que se puede construir es incomparablemente más preciso.
Qué implica para empresas tech en Canadá (y fuera)
Las obligaciones de C-22 alcanzan a cualquier empresa con presencia en Canadá que pueda ser designada como “proveedor de servicios electrónicos”. Eso incluye desde ISPs hasta plataformas SaaS, aplicaciones móviles con usuarios canadienses, y potencialmente servicios cloud con data centers en territorio canadiense.
Para startups que operan con privacidad como diferenciador —apps de mensajería cifrada, herramientas de productividad para empresas, servicios de salud digital— C-22 plantea un problema técnico y legal: retener datos que hoy no retienen, construir capacidades de acceso que hoy no tienen, y responder a órdenes con un estándar de sospecha más bajo.
La tensión entre protección pública y privacidad individual es un patrón que se repite en cada nueva regulación digital: la justificación siempre es legítima en su contexto (proteger a menores, perseguir criminales, combatir terrorismo), y los efectos siempre se extienden más allá del caso justificante.
El contexto global: Canadá no está solo
C-22 no es una anomalía canadiense. Es parte de una ola regulatoria global que busca actualizar marcos legales diseñados en la era del teléfono fijo para una realidad de comunicaciones digitales cifradas y almacenadas en la nube.
Australia ya tiene el Assistance and Access Act desde 2018. El Reino Unido tiene la Investigatory Powers Act. La UE debate continuamente la regulación de acceso a datos cifrados. EE.UU. lleva años intentando encontrar una ley de “acceso legal” que sobreviva el escrutinio constitucional.
La diferencia entre C-22 y sus equivalentes más agresivos es el nivel de supervisión judicial que requiere. La diferencia entre C-22 y un marco fuerte de privacidad como el GDPR europeo es que Europa tiende a limitar la recolección de datos; C-22 la obliga.
Para LATAM, el patrón es relevante. Cuando California o Canadá cambian sus reglas, los estándares de compliance global se mueven. Las empresas tech de la región que operan en múltiples jurisdicciones necesitan entender qué espera de ellas cada mercado donde tienen usuarios.
Por qué importa
C-22 no es una conspiración de vigilancia masiva. Es la respuesta institucional de un gobierno democrático a la frustración real de investigadores criminales que no pueden acceder a evidencia digital porque las empresas no la retienen o porque el cifrado la hace inaccesible.
Pero esa frustración legítima produce consecuencias que van más allá del caso que la originó. Doce meses de metadatos de un ciudadano, retenidos por obligación legal en servidores de una empresa, con acceso posible bajo un umbral reducido de sospecha, son doce meses de exposición permanente para todos. No solo para quienes un día sean investigados.
La pregunta que merece debate público real —y que C-22 no responde de forma satisfactoria— es si ese equilibrio entre seguridad pública y privacidad individual es el correcto. En democracia, esa es exactamente la pregunta que debe hacerse antes de que la ley quede aprobada.
