L'estructura de la Privacy Act el 2026

La Privacy Act és l'estatut federal principal de protecció de dades a Austràlia, recolzat pels Australian Privacy Principles (APPs) que operacionalitzen els seus requisits. Els paquets de reforma del 2024 i el 2025 van reestructurar diversos elements clau sense reescriure la Llei des de zero.

Què va canviar el primer tram

El primer tram de reforma, que va entrar en vigor durant el 2024, va introduir diversos canvis llarg temps esperats:

• Sancions màximes substancialment augmentades per a interferències greus o reiterades amb la privacitat, acostant les sancions australianes als nivells del GDPR
• Nous poders per a l'OAIC per dur a terme investigacions per iniciativa pròpia i emetre notificacions d'infracció
• El Children's Online Privacy Code, que imposa obligacions específiques als serveis als quals és probable que accedeixin els nens
• Requisits de notificació de violacions reforçats, inclosos terminis de notificació més ràpids

Què va canviar el segon tram

El segon tram de reforma, en vigor durant el 2025 i fins al 2026, va abordar les qüestions més arquitectòniques:

• El delicte civil estatutari d'invasions greus de la privacitat, que atorga als individus una causa directa d'acció per a violacions greus de la privacitat
• Definicions ampliades d'informació personal per aclarir el tractament dels identificadors en línia i les inferències
• Requisits de consentiment millorats per al màrqueting directe i la publicitat dirigida
• Noves obligacions de transparència per a la presa de decisions automatitzada, inclòs el dret a una explicació significativa
• Normes actualitzades de flux de dades transfronterer amb obligacions de mesures raonables reformades

Qui està regulat

La Privacy Act s'aplica a la majoria d'agències del Govern australià i a les organitzacions del sector privat amb una facturació anual superior a un llindar (actualment AUD 3 milions). També s'aplica extraterritorialment a les organitzacions estrangeres que duen a terme activitats comercials a Austràlia i que recullen o conserven informació personal a Austràlia. Els editors estrangers que serveixen usuaris australians a través de llocs localitzats o inventari programàtic comprat contra IP australianes generalment entren en l'àmbit d'aplicació, i l'OAIC ha invocat la disposició extraterritorial en diversos assumptes recents.

Què compta com a informació personal

La definició d'informació personal de la Privacy Act es va aclarir en el procés de reforma per abordar la llarga incertesa sobre els identificadors en línia.

La definició actualitzada

La informació personal és informació o una opinió sobre un individu identificat, o un individu que és raonablement identificable, independentment de si la informació és certa o si es registra en una forma material. Les reformes del 2025 van aclarir que això inclou els identificadors en línia, les dades tècniques i les inferències extretes de dades de comportament quan aquestes es poden vincular a un individu directament o per combinació amb altra informació.

Informació sensible

La Llei designa una categoria d'informació sensible que inclou informació de salut, origen racial o ètnic, opinions polítiques, afiliació a associacions polítiques, creences religioses, creences filosòfiques, afiliació a associacions professionals o comercials, afiliació a sindicats, orientació o pràctiques sexuals, antecedents penals, informació biomètrica i plantilles biomètriques. El tractament d'informació sensible requereix consentiment explícit i activa obligacions elevades.

Per què això importa per a les cookies

Una cookie que emmagatzema un identificador rutinari és informació personal. Una cookie que alimenta un segment d'audiència que toca la llista sensible —interessos de salut, alineació política, afiliació religiosa— és un tractament d'informació sensible i requereix el flux de consentiment elevat en lloc del consentiment publicitari general. Els editors que gestionen segments d'audiència que se superposen a la llista sensible haurien d'auditar els seus fluxos de consentiment específicament contra aquest límit.

Consentiment de cookies sota la Privacy Act reformada

El procés de reforma va aclarir els requisits de consentiment per al màrqueting directe i la publicitat dirigida de maneres que acosten Austràlia a un model d'acceptació opt-in d'estil GDPR que el règim australià històric.

L'estàndard de consentiment actualitzat

El consentiment sota la Privacy Act reformada ha de ser:

• Voluntari — donat sense coerció o pressió indeguda
• Informat — l'individu entén quines dades es recullen, per què i com s'usaran i es divulgaran
• Actual — el consentiment és prou recent per ser significatiu per al tractament proposat
• Específic — vinculat a finalitats clarament identificades en lloc d'un consentiment general de paraigua
• Inequívoc — expressat a través d'un acte afirmatiu clar en lloc d'inferir-se de la inactivitat

Com és una CMP conforme

Una CMP configurada per al trànsit australià el 2026 hauria de presentar:

• Un bàner visible abans que es dispari qualsevol cookie o rastrejador no essencial
• Prominència visual igual per a Acceptar, Rebutjar i Personalitzar: l'OAIC ha assenyalat una atenció creixent als dissenys de bàners amb patrons obscurs
• Commutadors granulars per finalitat: analítica, publicitat, personalització, transferència transfronterera i qualsevol tractament d'informació sensible
• Un flux separat i clarament etiquetat per al tractament d'informació sensible, tancat darrere de la seva pròpia acció
• Un mecanisme persistent i fàcilment accessible per retirar el consentiment
• Una política de privacitat en anglès amb divulgacions completes alineades amb les APPs, inclòs el canal de reclamacions de l'OAIC

Registres de consentiment

La reforma va augmentar la gana de l'OAIC per a l'aplicació basada en evidències, i els registres de consentiment s'han citat en diversos assumptes recents. Els registres de consentiment exportables amb marca de temps són l'expectativa de referència, i els registres de consentiment inadequats han estat assenyalats en resolucions formals.

Divulgacions transfrontereres sota el règim reformat

La Privacy Act ha adoptat històricament un enfocament diferent de les transferències de dades transfrontereres que el GDPR; el focus és la responsabilitat de l'organització que divulga en lloc de l'autorització prèvia de la jurisdicció receptora. Les reformes del 2025 van refinar aquest enfocament sense abandonar-lo.

L'obligació de mesures raonables de l'APP 8

L'Australian Privacy Principle 8 requereix que, abans de divulgar informació personal a un destinatari a l'estranger, l'organització que divulga prengui mesures raonables per garantir que el destinatari no incompleixi les APPs. Això sol significar un mecanisme contractual, una revisió de diligència deguda de les pràctiques de privacitat del destinatari o la confiança en un règim jurídic substancialment similar al país de destinació.

L'estoig de responsabilitat

Si el destinatari a l'estranger incompleix les APPs en relació amb la informació divulgada, l'organització australiana que divulga es considera que ha participat en l'incompliment. Aquest estoig de responsabilitat és l'apallissament d'aplicació pràctica per als fluxos transfronterers i és el que fa que el mecanisme contractual no sigui simplement un exercici de documentació.

L'enfocament pràctic per al 2026

Per a la majoria dels editors estrangers el 2026, l'enfocament de treball és executar acords de transferència de dades conformes amb les APPs amb processadors a l'estranger, documentar la transferència en la política de privacitat i mantenir un registre de diligència deguda del proveïdor que demostri que s'ha complert l'obligació de mesures raonables. Això és significativament més senzill que l'enfocament d'autorització prèvia del GDPR, però no menys rigorós en substància.

Drets de les persones interessades i presa de decisions automatitzada

La Llei reformada amplia els drets que els individus poden exercir.

Els drets bàsics

• Dret d'accés a la informació personal en poder de l'organització
• Dret de correcció d'informació inexacta, desfasada, incompleta, irrellevant o enganyosa
• Dret a excloure's del màrqueting directe
• Dret a saber a qui s'ha divulgat la informació personal
• Dret a una explicació significativa de les decisions automatitzades que produeixen efectes significatius
• Dret a presentar una reclamació a l'OAIC

Terminis de resposta

La Llei estableix terminis de resposta de període raonable, i la guia de l'OAIC interpreta raonable com que normalment no supera els 30 dies per a les sol·licituds d'accés. La preparació operacional per a aquesta finestra —amb eines i manuals ajustats als processos específics d'Austràlia— és una bretxa habitual per als editors estrangers.

Children's Online Privacy Code

El Codi, que va entrar en vigor durant el 2024, s'aplica als serveis en línia als quals és probable que accedeixin els nens i imposa obligacions específiques que inclouen el disseny adequat per a l'edat, el perfil restringit i la publicitat dirigida, la configuració de privacitat alta per defecte i els requisits d'implicació parental. Els editors les audiències dels quals inclouen un trànsit significatiu de menors de 18 anys necessiten fluxos sensibles a l'edat, un tractament restringit per al segment de menors i valors predeterminats alineats amb el Codi, cap dels quals és estàndard per a la majoria dels editors estrangers.

Sancions i postura d'aplicació el 2026

L'activitat d'aplicació de l'OAIC s'ha escalat significativament durant el 2024 i el 2025, i el 2026 va per una trajectòria similar.

Sancions màximes

Per a interferències greus o reiterades amb la privacitat, la sanció màxima és la major de AUD 50 milions, tres vegades el valor del benefici obtingut de la conducta o el 30 per cent de la facturació ajustada de l'organització en el període rellevant. Això col·loca les sancions australianes decididament en el rang del GDPR i elimina la caracterització de règim lleuger que s'aplicava anteriorment.

El delicte civil estatutari

El delicte civil estatutari del 2025 per a invasions greus de la privacitat atorga als individus una causa directa d'acció per a danys, separada de l'aplicació regulatòria. Les accions col·lectives són una via emergent, i diverses s'han presentat contra plataformes importants a finals del 2025 i principis del 2026.

Temes d'aplicació

Els assumptes recents de l'OAIC s'agrupen al voltant de problemes recurrents: bàners de consentiment amb patrons obscurs, notificació de violació inadequada, divulgacions transfrontereres sense mesures raonables documentades, tractament d'informació sensible sense consentiment explícit i incapacitat de respondre a les sol·licituds d'accés dins de la finestra de període raonable.

Llista de verificació d'auditoria per al trànsit australià el 2026

• Bàner de CMP amb Acceptar, Rebutjar i Personalitzar amb prominència visual igual
• Les finalitats del consentiment són granulars i separen el tractament d'informació sensible darrere del consentiment explícit
• La política de privacitat és conforme amb les APPs amb divulgació completa dels destinataris a l'estranger, les finalitats, la retenció i el canal de reclamacions de l'OAIC
• Els acords de divulgació transfronterera de l'APP 8 estan establerts amb tots els processadors a l'estranger, amb diligència deguda del proveïdor documentada
• Els registres de consentiment estan marcats amb data i hora, es poden exportar i es conserven durant el període de retenció aplicable
• El flux de treball d'accés de la persona interessada pot respondre dins de la finestra de període raonable de principi a fi
• Les obligacions del Children's Online Privacy Code s'aborden on l'audiència inclou menors, inclòs el disseny adequat per a l'edat i el perfil restringit
• Les explicacions de presa de decisions automatitzada estan disponibles on es prenen decisions significatives amb tals sistemes
• El manual de notificació de violació s'ha ajustat als terminis reformats
• La llista de proveïdors s'ha revisat per necessitat, amb proveïdors no usats o redundants eliminats per reduir la superfície de divulgació

Les perspectives per al 2026

El règim de privacitat d'Austràlia ha passat finalment d'un llarg procés de reforma a una postura d'aplicació creïble. Les sancions màximes ara estan en el rang del GDPR, l'OAIC té els poders que necessita per aplicar-les, el delicte civil estatutari atorga als individus una causa directa d'acció i el Children's Online Privacy Code eleva el mínim per a qualsevol servei que toca audiències de menors de 18 anys. Per als editors que ja gestionen una pila de consentiment de nivell GDPR, la bretxa fins al compliment de la Privacy Act és operacional i no arquitectònica: política de privacitat alineada amb les APPs, documentació de l'APP 8, els valors predeterminats del Children's Code i el ritme de resposta a les sol·licituds d'accés. La bretxa es pot tancar en setmanes si es prioritza. Els editors que van tractar Austràlia com un mercat relativament lleuger fins al 2023 estan descobrint que el 2026 és significativament més car, i la tendència continuarà. La bona notícia és que la bretxa fins al compliment és petita per a qualsevol editor que hagi fet la feina europea; la mala notícia és que la majoria dels editors subestimen fins a quin punt el règim australià reformat els exigeix.