Lei de Privacidade da Austrália: Conformidade Empresarial e Tratamento de Dados

A Lei de Privacidade da Austrália de 1988 (Cth) é a principal legislação federal de privacidade que protege as informações pessoais dos australianos. Significativamente fortalecido pela Lei de Emenda à Legislação de Privacidade (Aprimoramento da Privacidade Online e Outras Medidas) de 2021 e pela Lei de Emenda à Legislação de Privacidade e Outras Legislações de 2024, a estrutura de privacidade da Austrália está passando por sua reforma mais substancial desde a introdução dos Princípios de Privacidade Australianos (APPs) em 2014.

As reformas de 2024 introduziram um ato ilícito legal para invasões graves de privacidade, aumentaram significativamente as penas (agora até 50 milhões de dólares australianos por contravenção), expandiram os poderes de aplicação do Gabinete do Comissário de Informação Australiano (OAIC) ​​e adicionaram novas obrigações para retenção de dados, marketing direto e transparência algorítmica. Compreender tanto a estrutura existente do APP quanto as novas reformas é essencial para qualquer organização que opere na Austrália.

Principais conclusões

• A Lei de Privacidade se aplica a agências governamentais australianas e organizações do setor privado com faturamento anual superior a US$ 3 milhões (limite inferior com reformas)
• Treze Princípios de Privacidade Australianos (APPs) regem a coleta, uso, divulgação, qualidade, segurança, acesso e correção de informações pessoais
• O esquema de Violações de Dados Notificáveis (NDB) exige notificação à OAIC e aos indivíduos afetados no prazo de 30 dias após uma violação qualificada
• As reformas de 2024 introduziram: um ato ilícito de privacidade legal, penas mais altas (US$ 50 milhões de AUD), direitos de ação direta para indivíduos e novas obrigações de privacidade das crianças
• Informações sensíveis (saúde, origem racial, biometria, religião, orientação sexual, etc.) requerem consentimento explícito para coleta e uso
• As restrições de divulgação transfronteiriças exigem responsabilização dos destinatários estrangeiros de informações pessoais
• A OAIC pode realizar auditorias, aceitar reclamações e encaminhar assuntos graves para processos penais cíveis na Justiça Federal
• As reformas introduzirão um Código de Privacidade Online para Crianças para serviços direcionados a crianças

---

Quem deve cumprir a Lei de Privacidade

Limites de Cobertura

A Lei de Privacidade se aplica a:

Agências governamentais australianas: Todos os departamentos e agências governamentais da Commonwealth, além de algumas agências estaduais/territoriais em determinados contextos.

Entidades APP (setor privado): Organizações com faturamento anual superior a US$ 3 milhões em qualquer exercício financeiro. Este limiar tem sido objecto de discussão de reformas – estão em curso propostas para reduzir ou eliminar o limiar para cobrir mais empresas.

Pequenas empresas com atividades específicas: Independentemente do volume de negócios, a Lei da Privacidade aplica-se se a organização:

• É um prestador de serviços de saúde (incluindo consultório particular)
• Negociações de informações pessoais
• É um prestador de serviços contratado pelo governo australiano
• Aderiu à Lei de Privacidade
• Opera um banco de dados de locação residencial
• Está relacionado a uma entidade abrangida pela Lei

Âmbito extraterritorial: A Lei de Privacidade se aplica a organizações australianas e suas atividades no exterior. Entidades offshore sem presença australiana que coletam informações pessoais de australianos por meio de um link australiano (por exemplo, servidor australiano, relacionamento comercial australiano) também podem estar sujeitas à Lei.

Principais isenções

• Registros de funcionários (para organizações do setor privado em relação à sua relação de trabalho)
• Jornalismo e mídia (organizações de notícias registradas em atividades jornalísticas)
• Atos praticados fora da Austrália por cidadãos/residentes australianos (isenção complexa)
• Pequenas empresas abaixo do limite de volume de negócios (com exceções mencionadas acima)

---

Os Princípios de Privacidade Australianos (APPs)

Os treze APPs formam a estrutura substantiva para conformidade com a privacidade:

APP 1 — Gestão aberta e transparente: Tenha uma Política de Privacidade atualizada e claramente expressa. Disponibilize-o mediante solicitação, gratuitamente.

APP 2 — Anonimato e pseudonimato: Sempre que for legal e praticável, dê às pessoas a opção de interagir com você anonimamente ou usando um pseudônimo.

APP 3 — Coleta de informações pessoais solicitadas: Colete apenas informações pessoais que sejam razoavelmente necessárias para suas funções. Colete informações confidenciais somente com consentimento (ou em circunstâncias específicas). Colete diretamente do indivíduo sempre que for razoavelmente praticável.

APP 4 — Lidando com informações pessoais não solicitadas: Se você receber informações pessoais que não solicitou e que não teria permissão para coletar de acordo com o APP 3, destrua ou desidentifique-as assim que possível.

APP 5 — Notificação da coleta: Durante ou antes da coleta (ou assim que possível depois), tome medidas razoáveis ​​para notificar as pessoas sobre: ​​quem você é, como entrar em contato com você, se a coleta é exigida por lei, os objetivos da coleta, as consequências de não fornecer informações, quem mais pode receber as informações e como acessá-las/corrigí-las.

APP 6 — Uso ou divulgação de informações pessoais: Use ou divulgue informações pessoais apenas para o propósito principal de coleta, um propósito secundário relacionado que o indivíduo razoavelmente esperaria, com consentimento ou sob uma exceção específica do APP 6 (exigido por lei, aplicação da lei, saúde/segurança).

APP 7 — Marketing direto: Não deve usar ou divulgar informações pessoais para marketing direto, a menos que as condições sejam atendidas (fornecidas pelo indivíduo, consentimento para informações confidenciais, mecanismo de cancelamento de assinatura fornecido). Os indivíduos podem solicitar o cancelamento.

APP 8 — Divulgação internacional: Antes de divulgar informações pessoais a destinatários estrangeiros, tome medidas razoáveis ​​para garantir que o destinatário não viole os APPs. Você permanece responsável pelo tratamento do destinatário estrangeiro. Divulgação permitida se o indivíduo consentir ou se o destinatário estiver em um país com leis substancialmente semelhantes.

APP 9 — Adoção, uso ou divulgação de identificadores relacionados ao governo: Restrições ao uso de identificadores governamentais (por exemplo, número do Medicare, referência do Centrelink) para fins do setor privado.

APP 10 — Qualidade das informações pessoais: Tomar medidas razoáveis ​​para garantir que as informações pessoais sejam precisas, atualizadas e completas antes da coleta, uso ou divulgação.

APP 11 — Segurança de informações pessoais: Tomar medidas razoáveis ​​para proteger as informações pessoais contra uso indevido, interferência, perda e acesso, modificação ou divulgação não autorizada. Destrua ou desidentifique informações pessoais quando não forem mais necessárias.

APP 12 — Acesso a informações pessoais: Forneça aos indivíduos acesso às suas informações pessoais no prazo de 30 dias, no formato solicitado, quando razoável. As exceções incluem: quando o acesso representasse uma ameaça grave e um impacto irracional na privacidade de terceiros, o acesso seria ilegal.

APP 13 — Correção de informações pessoais: Mediante solicitação (ou por sua própria iniciativa), corrija informações pessoais imprecisas, incompletas, desatualizadas, irrelevantes ou enganosas. Se você se recusar a corrigir, notifique a pessoa e permita que ela associe uma declaração de correção ao seu registro.

---

Informações confidenciais

A Lei de Privacidade define informações confidenciais como um subconjunto de informações pessoais que requer um padrão mais elevado de proteção. Informações confidenciais incluem:

• Informações de saúde
• Informação genética
• Informações biométricas para fins de identificação
• Origem racial ou étnica
• Opiniões políticas
• Crenças religiosas ou filosóficas
• Orientação ou práticas sexuais
• Filiação sindical
• Informações sobre antecedentes criminais
• Detalhes de identificação emitidos pelo governo

APP 3.3: As organizações só poderão coletar informações confidenciais se:

• O indivíduo consentiu e a recolha é razoavelmente necessária para as funções da organização; ou
• Aplica-se uma das oito exceções específicas (exigidas por lei, evitando ameaças graves, etc.)

Informações de saúde: Recebe proteções adicionais — os prestadores de serviços de saúde são cobertos independentemente da rotatividade, e se aplicam diretrizes específicas de privacidade de saúde emitidas pela OAIC.

---

Esquema de Violações de Dados Notificáveis (NDB)

O esquema NDB (Parte IIIC da Lei de Privacidade) exige que as entidades APP notifiquem a OAIC e os indivíduos afetados sobre violações de dados elegíveis.

O que é uma violação de dados qualificada?

Uma violação de dados elegível ocorre quando:

1. Há acesso, divulgação ou perda não autorizada de informações pessoais mantidas por uma entidade; e
2. Uma pessoa razoável concluiria que o acesso/divulgação/perda provavelmente resultará em danos graves a qualquer um dos indivíduos a quem as informações se referem

Avaliação de danos graves: considere o tipo de informação, a sensibilidade, se a tecnologia de segurança foi aplicada, quem a acessou/recebeu e danos potenciais (financeiros, físicos, psicológicos, de reputação).

Cronograma de Notificação

Violações emergenciais de dados — onde é provável que haja danos graves e as entidades tenham conhecimento disso imediatamente — devem ser notificadas à OAIC e aos indivíduos o mais rápido possível, sem esperar 30 dias.

Conteúdo da notificação OAIC:

• Nome da entidade e detalhes de contato
• Descrição da violação
• Categorias de indivíduos afetados e número aproximado
• Informações envolvidas (tipo e número aproximado de registros)
• Medidas tomadas ou planejadas em resposta

---

As reformas da Lei de Privacidade de 2024

A Lei de Alteração de Privacidade e Outras Legislações de 2024 (promulgada em novembro de 2024) introduziu mudanças significativas. As principais reformas incluem:

Delito Legal por Invasão de Privacidade

Uma nova causa legal de ação permite que indivíduos processem organizações diretamente por graves invasões de privacidade no Tribunal Federal, sem exigir o envolvimento da OAIC. As soluções incluem danos (incluindo danos agravados e exemplares), liminares e contabilização de lucros. Este direito privado de ação aumenta significativamente o risco de litígio para as empresas.

Dois tipos de invasão: (1) Intrusão em reclusão – intrusão física ou eletrônica em assuntos privados; (2) Uso indevido de informações privadas – coleta, uso ou divulgação de informações privadas.

Uma invasão só é acionável se uma pessoa razoável a considerar altamente ofensiva e o reclamante tiver uma expectativa razoável de privacidade nas circunstâncias.

Penalidades mais altas

A pena civil máxima para interferências graves ou repetidas na privacidade aumentou para AUD 50 milhões de dólares por infração (acima de 2,22 milhões de dólares). Os tribunais também podem ordenar penalidades com base em três vezes o benefício obtido com a infração, ou 30% do volume de negócios australiano durante o período da infração – o que for mais elevado. Estas correspondem às penalidades mais altas da lei de concorrência da Austrália.

Poderes expandidos da OAIC

A OAIC agora tem:

• Poder para conduzir investigações por iniciativa própria sem reclamação
• Poderes de notificação de infração para contravenções menos graves
• Poderes para buscar descoberta preliminar e liminares provisórias
• Capacidade de compartilhar informações com autoridades de privacidade estrangeiras

Código de privacidade on-line para crianças

A Lei de 2024 cria uma estrutura para um Código de Privacidade Online para Crianças — requisitos obrigatórios para serviços online direcionados a crianças (menores de 18 anos que tenham idade relevante para o serviço). O código imporá obrigações específicas em matéria de minimização de dados, transparência para os pais e concepção adequada às crianças. O desenvolvimento está em andamento; as organizações devem monitorar os desenvolvimentos da OAIC.

Reformas de marketing direto

Restrições reforçadas ao marketing direto: os indivíduos podem optar por não receber publicidade direcionada com base nas suas informações pessoais, incluindo perfis para fins de publicidade direcionada.

Transparência automatizada na tomada de decisões

Novos requisitos de transparência sobre decisões automatizadas significativas que utilizam informações pessoais — as organizações devem ser capazes de explicar a lógica das decisões automatizadas com efeitos significativos sobre os indivíduos.

---

Divulgação Transfronteiriça (APP 8)

APP 8 é um dos APPs mais incompreendidos. Quando você divulga informações pessoais a destinatários estrangeiros:

Regra padrão: Você deve tomar medidas razoáveis ​​para garantir que o destinatário estrangeiro não viole os APPs com relação a essas informações. Você permanece responsável pelo tratamento do destinatário estrangeiro.

Exceção de consentimento: Você pode divulgar além-fronteiras sem permanecer responsável se tiver informado expressamente ao indivíduo que poderá compartilhar suas informações com destinatários estrangeiros e que poderá não ser responsável pelo tratamento do destinatário estrangeiro — e pelo consentimento individual.

Exceção de adequação: Divulgação permitida se a OAIC determinar que o país estrangeiro tem proteções de privacidade substancialmente semelhantes.

Implicações práticas para nuvem e SaaS:

• Se o seu provedor de nuvem armazena dados fora da Austrália, o APP 8 se aplica
• Você não pode simplesmente apontar os termos do provedor de nuvem — você deve tomar medidas razoáveis (proteções contratuais, avaliações de segurança)
• Se os dados forem armazenados em diversas regiões internacionais, cada local será uma divulgação potencial

---

Processo de Execução e Reclamação da OAIC

Caminho de reclamações:

1. Indivíduo faz reclamação à organização (a organização tem 30 dias para responder)
2. Se não for resolvido ou a entidade não responder, o indivíduo pode reclamar junto à OAIC
3. OAIC concilia a reclamação; se não for resolvido, a OAIC pode investigar
4. A OAIC pode tomar uma decisão, incluindo ordenar uma compensação

Processos de penalidade civil:

• OAIC remete assuntos graves à Justiça Federal
• O tribunal pode impor penalidades civis (até US$ 50 milhões)
• A OAIC também pode aceitar compromissos executáveis

Investigações regulatórias:

• A OAIC pode iniciar investigações por iniciativa própria
• Pode exigir que as entidades forneçam informações, compareçam a entrevistas, produzam documentos
• Pode realizar auditorias (planejadas ou não anunciadas)

Ações de fiscalização notáveis: A OAIC processou casos importantes, incluindo Uber Technologies (violação do esquema NDB), RI Advice Group (segurança inadequada) e a Comissão Eleitoral Australiana (falha de segurança do APP 11). A violação de dados Optus (2022, afetando 9,8 milhões de australianos) e a violação do Medibank (2022, 9,7 milhões de clientes) geraram atenção regulatória e legislativa significativa.

---

Lista de verificação de conformidade de privacidade na Austrália

• Aplicabilidade da Lei de Privacidade confirmada (limiar de volume de negócios, atividades específicas)
• Política de Privacidade publicada, atualizada e abrange todos os APPs
• Notificação APP 5 fornecida no ponto de coleta (avisos de coleta em todos os formulários de captura de dados)
• Informações confidenciais identificadas — consentimento obtido para coleta
• [] Minimização de dados revisada — coletando apenas informações razoavelmente necessárias
• Avaliação de uso/divulgação secundária do APP 6 documentada
• [] Mecanismo de cancelamento de marketing direto implementado (APP 7)
• Avaliação de divulgação no exterior concluída — etapas razoáveis para garantir a conformidade do APP do destinatário (APP 8)
• Medidas de segurança de dados implementadas e documentadas (APP 11)
• Política de retenção e destruição/desidentificação de dados implementada (APP 11.2)
• Procedimentos individuais de acesso e correção documentados (APPs 12, 13)
• Procedimento de resposta do NDB documentado e testado (cronograma de avaliação de 30 dias)
• [] Modelo de notificação de violação OAIC preparado
• [] Práticas de dados infantis revisadas — prepare-se para o Código de Privacidade On-line para Crianças
• [] Revisão automatizada de transparência na tomada de decisão realizada
• Treinamento de pessoal em APPs e esquema NDB concluído

---

Perguntas frequentes

A Lei de Privacidade se aplica à minha pequena empresa?

Geralmente, a Lei de Privacidade só se aplica a organizações do setor privado com faturamento anual superior a US$ 3 milhões. No entanto, você pode estar coberto independentemente da rotatividade se for um prestador de serviços de saúde, comercializar informações pessoais, for um contratado do governo, operar um banco de dados de locação residencial ou estiver relacionado a uma entidade coberta. Além disso, as leis de privacidade estaduais/territoriais podem ser aplicadas às suas atividades comerciais, especialmente em Queensland, NSW e Victoria para setores específicos.

O que é considerado "informação sensível" segundo a lei australiana?

Informações confidenciais são uma categoria definida que inclui informações sobre saúde, informações genéticas, informações biométricas (para identificação única), origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, orientação ou práticas sexuais, filiação sindical e informações sobre antecedentes criminais. A coleta de informações confidenciais requer consentimento e deve ser razoavelmente necessária para suas funções. As informações de saúde recebem as proteções mais abrangentes e orientações adicionais da OAIC.

Qual é o período de avaliação de 30 dias no âmbito do esquema NDB?

Quando uma organização toma conhecimento de que pode ter ocorrido uma violação de dados, tem 30 dias para realizar uma avaliação e determinar se se trata de uma violação de dados elegível (uma que possa resultar em danos graves). Durante este período de 30 dias, as organizações devem investigar o que aconteceu, que informações estavam envolvidas, quem foi afetado e se há probabilidade de danos graves. Se uma violação elegível for identificada, a notificação à OAIC e aos indivíduos afetados deverá ocorrer o mais rápido possível — não há período de espera adicional depois que a determinação da violação elegível for feita.

Como o APP 8 se aplica ao usar AWS ou Azure na Austrália?

Se você usar serviços AWS ou Azure implantados inteiramente em data centers australianos (AWS ap-southeast-2 Sydney, Azure Australia East), talvez não tenha problemas de divulgação no exterior – os dados permanecem na Austrália. Se você usa serviços com infraestrutura global (redes de entrega de conteúdo, replicação global, acesso de suporte do exterior), você pode estar divulgando dados no exterior. Revise cuidadosamente a documentação de processamento de dados do seu provedor de nuvem. Muitos provedores oferecem garantias de residência de dados australianas e acordos de processamento de dados que cobrem os requisitos do APP 8 por meio de proteções contratuais para subprocessamento no exterior.

Qual é o novo ato ilícito legal relativo à privacidade e como ele afeta as empresas?

O delito legal (introduzido pelas reformas da Lei de Privacidade de 2024) cria um direito direto para os indivíduos processarem organizações no Tribunal Federal por graves invasões de privacidade sem passar pela OAIC. Existem duas categorias: intrusão na reclusão e uso indevido de informações privadas. O delito aplica-se quando uma pessoa razoável consideraria a invasão altamente ofensiva e o indivíduo tinha uma expectativa razoável de privacidade. As possíveis soluções incluem danos compensatórios, danos agravados, danos exemplares, liminares e conta de lucros. Isto aumenta significativamente o risco de litígio para as empresas que lidam com informações pessoais – as ações coletivas são agora uma perspectiva realista para violações graves de dados.

---

Próximas etapas

As reformas da Lei de Privacidade da Austrália assinalam uma mudança no sentido de uma aplicação mais rigorosa, de penas mais elevadas e de maiores direitos individuais — num alinhamento mais estreito com os padrões globais. Esteja você avaliando a conformidade pela primeira vez ou atualizando seu programa para levar em conta as reformas de 2024, a equipe da ECOSIRE pode ajudar a projetar sistemas de privacidade desde o projeto e processos de conformidade apropriados para o seu negócio.

Começar: Serviços ECOSIRE

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. A lei de privacidade australiana está sujeita a reformas contínuas. Consulte um consultor jurídico australiano qualificado para obter aconselhamento específico para a sua organização.