Ley de Privacidad de Australia: Cumplimiento comercial y manejo de datos

La Ley de Privacidad de Australia de 1988 (Cth) es la principal legislación federal sobre privacidad que protege la información personal de los australianos. Significativamente fortalecido a través de la Ley de Enmienda de la Legislación de Privacidad (Mejora de la Privacidad en Línea y Otras Medidas) de 2021 y la Ley de Enmienda de Privacidad y Otras Legislaciones de 2024, el marco de privacidad de Australia está atravesando su reforma más sustancial desde la introducción de los Principios de Privacidad de Australia (APP) en 2014.

Las reformas de 2024 introdujeron un agravio legal por invasiones graves de la privacidad, aumentaron significativamente las sanciones (ahora hasta 50 millones de dólares australianos por infracción), ampliaron los poderes de aplicación de la Oficina del Comisionado de Información de Australia (OAIC) ​​y agregaron nuevas obligaciones para la retención de datos, el marketing directo y la transparencia algorítmica. Comprender tanto el marco APP existente como las nuevas reformas es esencial para cualquier organización que opere en Australia.

Conclusiones clave

• La Ley de Privacidad se aplica a las agencias gubernamentales australianas y a las organizaciones del sector privado con una facturación anual de más de 3 millones de dólares (umbral más bajo con reformas)
• Trece Principios de Privacidad de Australia (APP) rigen la recopilación, el uso, la divulgación, la calidad, la seguridad, el acceso y la corrección de la información personal.
• El esquema de violaciones de datos notificables (NDB) requiere notificación a la OAIC y a las personas afectadas dentro de los 30 días posteriores a una violación calificada.
• Se introdujeron las reformas de 2024: un agravio legal sobre privacidad, sanciones más altas ($50 millones de dólares australianos), derechos de acción directa para los individuos y nuevas obligaciones de privacidad para los niños.
• La información sensible (salud, origen racial, datos biométricos, religión, orientación sexual, etc.) requiere consentimiento explícito para su recopilación y uso.
• Las restricciones de divulgación transfronteriza exigen responsabilidad para los destinatarios extranjeros de información personal
• La OAIC puede realizar auditorías, aceptar quejas y remitir asuntos graves para procedimientos de sanción civil ante el Tribunal Federal.
• Las reformas introducirán un Código de Privacidad Infantil en Línea para los servicios dirigidos a niños

---

¿Quién debe cumplir con la Ley de Privacidad?

Umbrales de cobertura

La Ley de Privacidad se aplica a:

Agencias del gobierno australiano: todos los departamentos y agencias del gobierno de la Commonwealth, además de algunas agencias estatales/territoriales en determinados contextos.

Entidades APP (sector privado): Organizaciones con facturación anual superior a $3 millones en cualquier año financiero. Este umbral ha sido objeto de debate sobre reformas: están en curso propuestas para reducir o eliminar el umbral para cubrir más empresas.

Pequeñas empresas con actividades específicas: Independientemente del volumen de negocios, la Ley de Privacidad se aplica si la organización:

• Es un proveedor de servicios de salud (incluida la práctica privada)
• Comercio de información personal
• Es un proveedor de servicios contratado por el gobierno australiano.
• Ha optado por la Ley de Privacidad
• Opera una base de datos de arrendamiento residencial.
• Está relacionado con una entidad cubierta por la Ley.

Ámbito extraterritorial: La Ley de Privacidad se aplica a las organizaciones australianas y sus actividades en el extranjero. Las entidades extraterritoriales sin presencia en Australia que recopilan información personal de australianos a través de un enlace australiano (por ejemplo, un servidor australiano, una relación comercial australiana) también pueden estar sujetas a la Ley.

Exenciones clave

• Registros de empleados (para organizaciones del sector privado en relación con su relación laboral)
• Periodismo y medios (organizaciones de noticias registradas en relación con actividades periodísticas)
• Actos realizados fuera de Australia por ciudadanos/residentes australianos (exención compleja)
• Pequeñas empresas por debajo del umbral de facturación (con las excepciones indicadas anteriormente)

---

Los Principios de Privacidad de Australia (APP)

Las trece APP forman el marco sustantivo para el cumplimiento de la privacidad:

APP 1 — Gestión abierta y transparente: Disponer de una Política de Privacidad claramente expresada y actualizada. Ponlo a disposición previa solicitud, de forma gratuita.

APLICACIÓN 2: Anonimato y seudónimo: Cuando sea legal y factible, brinde a las personas la opción de interactuar con usted de forma anónima o utilizando un seudónimo.

APLICACIÓN 3: Recopilación de información personal solicitada: Recopile únicamente información personal que sea razonablemente necesaria para sus funciones. Recopile información confidencial solo con consentimiento (o en circunstancias específicas). Recoger directamente del individuo cuando sea razonablemente posible.

APLICACIÓN 4: Manejo de información personal no solicitada: Si recibe información personal que no solicitó y que no se le habría permitido recopilar según la APLICACIÓN 3, destrúyala o anómela lo antes posible.

APLICACIÓN 5: Notificación de la recopilación: En el momento de la recopilación o antes (o tan pronto como sea posible después), tome medidas razonables para notificar a las personas sobre: ​​quién es usted, cómo contactarlo, si la recopilación es requerida por ley, los propósitos de la recopilación, las consecuencias de no proporcionar información, quién más podría recibir la información y cómo acceder a ella o corregirla.

APLICACIÓN 6: Uso o divulgación de información personal: use o divulgue información personal únicamente para el propósito principal de recopilación, un propósito secundario relacionado que el individuo razonablemente esperaría, con consentimiento o bajo una excepción específica de la APLICACIÓN 6 (requerido por la ley, cumplimiento de la ley, salud/seguridad).

APLICACIÓN 7 — Marketing directo: No debe utilizar ni divulgar información personal para marketing directo a menos que se cumplan las condiciones (proporcionadas por el individuo, consentimiento para información confidencial, mecanismo de cancelación de suscripción proporcionado). Las personas pueden solicitar su exclusión.

APP 8: Divulgación transfronteriza: antes de revelar información personal a destinatarios en el extranjero, tome medidas razonables para garantizar que el destinatario no infrinja las APP. Usted sigue siendo responsable del manejo del destinatario en el extranjero. Divulgación permitida si el individuo da su consentimiento o si el destinatario se encuentra en un país con leyes sustancialmente similares.

APP 9 — Adopción, uso o divulgación de identificadores relacionados con el gobierno: Restricciones en el uso de identificadores gubernamentales (por ejemplo, número de Medicare, referencia de Centrelink) para fines del sector privado.

APLICACIÓN 10: Calidad de la información personal: Tome medidas razonables para garantizar que la información personal sea precisa, esté actualizada y completa antes de su recopilación, uso o divulgación.

APLICACIÓN 11: Seguridad de la información personal: Tome medidas razonables para proteger la información personal contra el uso indebido, la interferencia, la pérdida y el acceso, modificación o divulgación no autorizados. Destruir o anonimizar la información personal cuando ya no sea necesaria.

APLICACIÓN 12 — Acceso a información personal: Proporcionar a las personas acceso a su información personal dentro de los 30 días, en el formato solicitado cuando sea razonable. Las excepciones incluyen: cuando el acceso suponga una amenaza grave o un impacto irrazonable en la privacidad de otras personas, el acceso sería ilegal.

APLICACIÓN 13 — Corrección de información personal: Previa solicitud (o por su propia iniciativa), corrija la información personal que sea inexacta, incompleta, desactualizada, irrelevante o engañosa. Si se niega a corregir, notifique a la persona y permítale asociar una declaración de corrección con su registro.

---

Información confidencial

La Ley de Privacidad define la información confidencial como un subconjunto de información personal que requiere un nivel más alto de protección. La información confidencial incluye:

• Información de salud
• Información genética
• Información biométrica con fines de identificación.
• Origen racial o étnico
• Opiniones políticas
• Creencias religiosas o filosóficas
• Orientación o prácticas sexuales
• Afiliación sindical
• Información de antecedentes penales
• Detalles de identificación emitidos por el gobierno

APP 3.3: Las organizaciones solo pueden recopilar información confidencial si:

• El individuo ha dado su consentimiento y la recopilación es razonablemente necesaria para las funciones de la organización; o
• Se aplica una de ocho excepciones específicas (exigidas por la ley, prevención de amenazas graves, etc.)

Información de salud: Recibe protecciones adicionales: los proveedores de servicios de salud están cubiertos independientemente de su facturación y se aplican pautas específicas de privacidad de salud emitidas por la OAIC.

---

Esquema de violaciones de datos notificables (NDB)

El esquema NDB (Parte IIIC de la Ley de Privacidad) requiere que las entidades APP notifiquen a la OAIC y a las personas afectadas sobre violaciones de datos elegibles.

¿Qué es una filtración de datos elegible?

Una violación de datos elegible ocurre cuando:

1. Hay acceso no autorizado, divulgación o pérdida de información personal en poder de una entidad; y
2. Una persona razonable concluiría que el acceso/divulgación/pérdida probablemente resulte en un daño grave a cualquiera de las personas a quienes se relaciona la información.

Evaluación de daños graves: considere el tipo de información, la sensibilidad, si se aplicó tecnología de seguridad, quién accedió/recibió y el daño potencial (financiero, físico, psicológico, reputacional).

Cronograma de notificación

Las violaciones de datos de emergencia, cuando es probable que se produzcan daños graves y las entidades sean conscientes de ello de inmediato, deben notificarse a la OAIC y a las personas tan pronto como sea posible, sin esperar 30 días.

Contenido de la notificación OAIC:

• Nombre de la entidad y datos de contacto.
• Descripción del incumplimiento
• Categorías de personas afectadas y número aproximado
• Información involucrada (tipo y número aproximado de registros)
• Medidas adoptadas o previstas en respuesta

---

Las reformas de la Ley de Privacidad de 2024

La Ley de Enmienda de Privacidad y Otras Legislaciones de 2024 (promulgada en noviembre de 2024) introdujo cambios significativos. Las reformas clave incluyen:

Agravio legal por invasión de la privacidad

Una nueva causa de acción legal permite a las personas demandar a las organizaciones directamente por invasiones graves de la privacidad en el Tribunal Federal, sin requerir la participación de la OAIC. Los remedios incluyen daños (incluidos daños agravados y ejemplares), medidas cautelares y cuenta de ganancias. Este derecho de acción privado aumenta significativamente el riesgo de litigio para las empresas.

Dos tipos de invasión: (1) Intrusión en reclusión: intrusión física o electrónica en asuntos privados; (2) Uso indebido de información privada: recopilación, uso o divulgación de información privada.

Una invasión es procesable sólo si una persona razonable la consideraría altamente ofensiva y el demandante tenía una expectativa razonable de privacidad dadas las circunstancias.

Sanciones más altas

La pena civil máxima por interferencias graves o repetidas en la privacidad aumentó a 50 millones de dólares australianos por infracción (frente a 2,22 millones de dólares). Los tribunales también pueden ordenar sanciones basadas en tres veces el beneficio obtenido de la infracción, o el 30% del volumen de negocios australiano durante el período de la infracción, lo que sea mayor. Estas corresponden a las sanciones de nivel más alto de la ley de competencia de Australia.

Poderes ampliados de la OAIC

La OAIC ahora cuenta con:

• Poder para realizar investigaciones de oficio sin denuncia.
• Facultades de notificación de infracción para infracciones menos graves.
• Facultades para solicitar descubrimiento preliminar y medidas cautelares
• Capacidad para compartir información con autoridades de privacidad extranjeras.

Código de privacidad en línea para niños

La Ley de 2024 crea un marco para un Código de Privacidad Infantil en Línea: requisitos obligatorios para los servicios en línea dirigidos a niños (aquellos menores de 18 años que tienen una edad relevante para el servicio). El código impondrá obligaciones específicas sobre minimización de datos, transparencia para los padres y diseño apropiado para los niños. El desarrollo está en curso; Las organizaciones deben monitorear los desarrollos de la OAIC.

Reformas del marketing directo

Restricciones mejoradas sobre marketing directo: las personas pueden optar por no recibir publicidad dirigida en función de su información personal, incluida la elaboración de perfiles con fines publicitarios dirigidos.

Transparencia en la toma de decisiones automatizada

Nuevos requisitos de transparencia sobre decisiones automatizadas importantes que utilizan información personal: las organizaciones deben poder explicar la lógica de las decisiones automatizadas con efectos significativos en las personas.

---

Divulgación transfronteriza (APLICACIÓN 8)

La APP 8 es una de las APP más incomprendidas. Cuando divulga información personal a destinatarios en el extranjero:

Regla predeterminada: Debe tomar medidas razonables para garantizar que el destinatario extranjero no infrinja las APP con respecto a esa información. Usted sigue siendo responsable del manejo del destinatario en el extranjero.

Excepción de consentimiento: puede divulgar información a través de fronteras sin ser responsable si ha informado expresamente a la persona que podría compartir su información con destinatarios en el extranjero y que es posible que no sea responsable del manejo del destinatario en el extranjero, y la persona da su consentimiento.

Excepción de adecuación: Se permite la divulgación si la OAIC ha determinado que el país extranjero tiene protecciones de privacidad sustancialmente similares.

Implicaciones prácticas para la nube y SaaS:

• Si su proveedor de nube almacena datos fuera de Australia, se aplica la APLICACIÓN 8
• No puede simplemente señalar los términos del proveedor de la nube; debe tomar medidas razonables (protecciones contractuales, evaluaciones de seguridad).
• Si los datos se almacenan en varias regiones internacionales, cada ubicación es una divulgación potencial

---

Proceso de quejas y cumplimiento de la OAIC

Vía de quejas:

1. El individuo presenta una queja a la organización (la organización tiene 30 días para responder)
2. Si no se resuelve o la entidad no responde, el individuo puede presentar una queja ante la OAIC
3. La OAIC concilia la denuncia; si no se resuelve, la OAIC puede investigar
4. La OAIC puede tomar una determinación, incluso ordenar una compensación.

Procedimiento sancionador civil:

• La OAIC remite asuntos graves al Tribunal Federal
• El tribunal puede imponer sanciones civiles (hasta 50 millones de dólares)
• La OAIC también puede aceptar compromisos ejecutables.

Investigaciones regulatorias:

• La OAIC puede iniciar investigaciones de oficio
• Puede exigir a las entidades que proporcionen información, asistan a entrevistas y produzcan documentos.
• Puede realizar auditorías (planificadas o no anunciadas)

Acciones de cumplimiento notables: La OAIC ha llevado a cabo casos importantes, incluidos Uber Technologies (incumplimiento del esquema NDB), RI Advice Group (seguridad inadecuada) y la Comisión Electoral Australiana (fallo de seguridad de APP 11). La filtración de datos de Optus (2022, que afectó a 9,8 millones de australianos) y la filtración de Medibank (2022, 9,7 millones de clientes) generaron una importante atención regulatoria y legislativa.

---

Lista de verificación de cumplimiento de privacidad de Australia

• Se confirma la aplicabilidad de la Ley de Privacidad (umbral de facturación, actividades específicas)
• Política de Privacidad publicada, actualizada y cubre todas las APPs
• [] Notificación de la APLICACIÓN 5 proporcionada en el punto de recopilación (avisos de recopilación en todos los formularios de captura de datos)
• Información confidencial identificada: consentimiento obtenido para su recopilación
• Se revisó la minimización de datos: solo se recopila la información razonablemente necesaria.
• Evaluación de divulgación/uso secundario de APLICACIÓN 6 documentada
• Mecanismo de exclusión voluntaria de marketing directo implementado (APP 7)
• Evaluación de divulgación en el extranjero completada: pasos razonables para garantizar el cumplimiento del APP del destinatario (APP 8)
• Medidas de seguridad de datos implementadas y documentadas (APP 11)
• Política de retención y destrucción/desidentificación de datos implementada (APP 11.2)
• Procedimientos individuales de acceso y corrección documentados (APPs 12, 13)
• Procedimiento de respuesta del BND documentado y probado (cronograma de evaluación de 30 días)
• [] Plantilla de notificación de incumplimiento de la OAIC preparada
• [] Revisión de las prácticas de datos de los niños: prepárese para el Código de privacidad en línea para niños
• Se lleva a cabo una revisión automatizada de la transparencia en la toma de decisiones.
• Se completó la capacitación del personal sobre APP y el esquema NDB

---

Preguntas frecuentes

¿Se aplica la Ley de Privacidad a mi pequeña empresa?

Generalmente, la Ley de Privacidad sólo se aplica a organizaciones del sector privado con una facturación anual superior a 3 millones de dólares. Sin embargo, usted puede estar cubierto independientemente de su facturación si es un proveedor de servicios de salud, comercia con información personal, es un contratista gubernamental, opera una base de datos de arrendamiento residencial o está relacionado con una entidad cubierta. Además, es posible que se apliquen leyes de privacidad estatales/territoriales a sus actividades comerciales, particularmente en Queensland, Nueva Gales del Sur y Victoria para sectores específicos.

¿Qué se considera "información confidencial" según la ley australiana?

La información confidencial es una categoría definida que incluye información de salud, información genética, información biométrica (para identificación única), origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, orientación o prácticas sexuales, afiliación sindical e información de antecedentes penales. La recopilación de información confidencial requiere consentimiento y debe ser razonablemente necesaria para sus funciones. La información de salud recibe las protecciones más completas y orientación adicional de la OAIC.

¿Cuál es el período de evaluación de 30 días según el esquema NDB?

Cuando una organización se da cuenta de que puede haber ocurrido una violación de datos, tiene 30 días para realizar una evaluación y determinar si se trata de una violación de datos elegible (una que probablemente resulte en daños graves). Durante este período de 30 días, las organizaciones deben investigar qué sucedió, qué información estuvo involucrada, quiénes se vieron afectados y si es probable que se produzcan daños graves. Si se identifica una infracción elegible, la notificación a la OAIC y a las personas afectadas debe realizarse lo antes posible; no hay un período de espera adicional una vez que se toma la determinación de infracción elegible.

¿Cómo se aplica la APLICACIÓN 8 cuando se utiliza AWS o Azure en Australia?

Si utiliza servicios de AWS o Azure implementados íntegramente en centros de datos australianos (AWS ap-southeast-2 Sydney, Azure Australia East), es posible que no tenga problemas de divulgación en el extranjero: los datos permanecen en Australia. Si utiliza servicios con infraestructura global (redes de entrega de contenido, replicación global, acceso a soporte desde el extranjero), es posible que esté divulgando datos en el extranjero. Revise atentamente la documentación de procesamiento de datos de su proveedor de nube. Muchos proveedores ofrecen garantías de residencia de datos en Australia y acuerdos de procesamiento de datos que cubren los requisitos del APP 8 a través de protecciones contractuales para el subprocesamiento en el extranjero.

¿Qué es el nuevo agravio legal para la privacidad y cómo afecta a las empresas?

El agravio legal (introducido por las reformas de la Ley de Privacidad de 2024) crea un derecho directo para que las personas demanden a las organizaciones en el Tribunal Federal por invasiones graves de la privacidad sin pasar por la OAIC. Hay dos categorías: intrusión en reclusión y uso indebido de información privada. El agravio se aplica cuando una persona razonable consideraría la invasión como altamente ofensiva y el individuo tenía una expectativa razonable de privacidad. Los posibles remedios incluyen daños compensatorios, daños agravados, daños ejemplares, medidas cautelares y cuenta de ganancias. Esto aumenta significativamente el riesgo de litigio para las empresas que manejan información personal: las demandas colectivas son ahora una perspectiva realista de violaciones graves de datos.

---

Próximos pasos

Las reformas a la Ley de Privacidad de Australia señalan un cambio hacia una aplicación más estricta, penas más altas y mayores derechos individuales, en mayor alineación con los estándares globales. Ya sea que esté evaluando el cumplimiento por primera vez o actualizando su programa para tener en cuenta las reformas de 2024, el equipo de ECOSIRE puede ayudarlo a diseñar sistemas de privacidad por diseño y procesos de cumplimiento apropiados para su negocio.

Comenzar: Servicios ECOSIRE

Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. La ley de privacidad australiana está sujeta a reformas en curso. Consulte a un asesor legal australiano calificado para obtener asesoramiento específico para su organización.