L'estructura de la reforma 2024-2026

La reforma s'està implementant en dos trams i només el primer ha aterrat completament. Entendre el seqüenciament és important per saber el que és legalment en vigor versus el que està per venir.

Tram 1 — En vigor des de 2024-2025

La Privacy and Other Legislation Amendment Act 2024, sancionada el novembre del 2024, va lliurar diversos canvis que ja s'apliquen:

• Tort estatutari per a invasions greus de la privadesa — els individus poden demandar directament per invasions greus de la privadesa, sense necessitat de demostrar un incompliment de la mateixa Privacy Act
• Noves sancions civils — l'OAIC pot buscar sancions per qualsevol ingerència en la privadesa, no només per incompliments greus o repetits
• Requisits de transparència per a la presa de decisions automatitzada — les entitats han de revelar quan es prenen decisions significatives sobre individus fent servir sistemes automatitzats
• El doxxing és criminalitzat — la publicació intencional de dades personals per causar danys és ara un delicte penal
• Children's Online Privacy Code — es requereix a l'OAIC que desenvolupi un codi vinculant per a serveis als quals probablement accediran nens, amb el codi previst per al 2026

Tram 2 — Sota consulta activa per a 2026-2027

El segon tram cobreix els canvis més estructurals i s'està treballant a través de l'acord governamental el 2025 i el 2026. Els elements esperats inclouen:

• Eliminació o reducció significativa de l'exempció per a petites empreses que actualment excusa entitats amb una facturació anual inferior a AUD 3 milions
• Una prova més clara de justícia i raonabilitat que s'aplica a cada maneig d'informació personal, independent del consentiment
• Regulació explícita de la publicitat dirigida, amb consentiment per optar-hi probablement per a categories sensibles
• Un nou dret a l'esborrat, que apropa la llei australiana al GDPR
• Controls més estrictes sobre les transferències de dades transfrontereres

Què compta com a informació personal en virtut de la llei australiana

La Privacy Act australiana defineix àmpliament la informació personal. Cobreix qualsevol informació sobre un individu identificat o raonablement identificable, i l'OAIC interpreta raonablement identificable per incloure identificadors en línia, identificadors de dispositiu, adreces IP combinades amb altres dades i identificadors publicitaris. En la pràctica, les galetes, el seguiment de píxels, la presa de petjada digital del dispositiu i els gràfics d'identitat usats per a la publicitat entre llocs processen informació personal en virtut de la llei australiana i estan completament en l'àmbit del compliment de les Australian Privacy Principles (APP).

Com funciona el consentiment de galetes en virtut de la llei australiana el 2026

La llei australiana no requereix actualment un bàner complet per optar-hi a l'estil GDPR per a totes les galetes. Però tampoc és un camp lliure, i diversos desenvolupaments recents han endurit el llistó.

APP 3 — La col·lecció requereix avís

L'Australian Privacy Principle 3 requereix que la informació personal es reculli només per mitjans legals i justos, amb avís dels propòsits. Per a les galetes que recullen informació personal, això significa que s'ha de presentar un avís visible i informatiu abans o en el moment de la recollida. El seguiment ocult no satisfà l'APP 3.

APP 6 — L'ús i la divulgació requereix una coincidència d'objectius

La informació personal només es pot usar per al propòsit per al qual es va recollir, per a un propòsit secundari raonablement relacionat o amb el consentiment de l'individu. Compartir dades derivades de galetes amb una plataforma de publicitat digital per a publicitat comportamental de context creuat normalment queda fora del propòsit principal, cosa que l'empeny cap al consentiment.

Orientació de l'OAIC sobre el seguiment

L'orientació de l'OAIC del 2024 sobre tecnologies de seguiment no és ambigua: les entitats haurien de proporcionar un mecanisme clar perquè els individus es puguin excloure del seguiment i, per a qualsevol cas d'ús que impliqui informació sensible o creació de perfils per a decisions significatives, l'OAIC espera consentiment per optar-hi. Això posa la publicitat dirigida, el retargeting programàtic, la reproducció de sessions i les anàlisis de comportament fermament en territori d'optar-hi en la pràctica, fins i tot si l'estatut encara no l'ha fet obligatori en tots els casos.

La configuració pràctica del CMP per al 2026

La majoria dels editors que operen a Austràlia ara executen un CMP que presenta un bàner de tres estats: Accepta, Refusa i Personalitza. Per al trànsit de l'EU o del Regne Unit, l'opció per optar-hi és estricta. Per al trànsit australià, optar-hi és el predeterminat recomanat per a la publicitat dirigida i la reproducció de sessions, mentre que les anàlisis sovint poden funcionar sota un model d'avís i elecció sempre que l'anonimització d'IP i la minimització de dades estiguin en vigor.

El tort estatutari — Què permet realment

El nou tort estatutari és el canvi més significatiu per als anunciants digitals en termes pràctics. Anteriorment, només l'OAIC podia fer complir els drets de privadesa i els recursos individuals eren limitats. El tort estatutari canvia això.

Què és una invasió greu de la privadesa?

El tort cobreix la conducta intencional o imprudent que causa una invasió greu de la privadesa, ja sigui per intrusió en la reclusió o per ús indegut d'informació privada. Els tribunals pesaran la gravetat en contra de l'interès públic i d'altres consideracions.

Per què els anunciants haurien de preocupar-se

El seguiment agressiu, especialment la reproducció de sessions que captura les pulsacions de tecles i el comportament del cursor en pàgines sensibles, la presa de petjada digital que eludeix l'exclusió d'un usuari o la vinculació no autoritzada de comportament anònim a una identitat nominada — tots aquests ara són bases fàctiques plausibles per a una reclamació de tort. Espereu que les firmes de demandants comencin a provar els límits el 2026. Austràlia no té la cultura d'accions col·lectives dels Estats Units, però les accions representatives són possibles i algunes firmes clarament s'hi estan posicionant.

Children's Online Privacy Code

El Children's Online Privacy Code és la peça única més específica de nova regulació per als editors els llocs dels quals probablement accediran nens.

Qui està dins de l'àmbit

El Codi s'aplica als serveis de xarxes socials, els serveis electrònics rellevants als quals probablement accediran nens i certs serveis d'internet designats. En la pràctica, això arriba molt més lluny que els llocs purament infantils: qualsevol plataforma d'audiència general a la qual accedeixi un nombre significatiu de menors és probable que sigui captada, i s'espera que l'OAIC faci una lectura inclusiva.

Obligacions bàsiques esperades al Codi

• Configuració de privadesa alta predeterminada per a usuaris menors de 18 anys
• Restriccions a la publicitat dirigida als menors
• Prohibicions dels patrons obscurs que empenyien els nens cap a una configuració de privadesa més feble
• Explicacions adequades per edat del maneig de dades
• Avaluacions del millor interès del nen abans de desplegar funcions que processen la seva informació personal

Què preparar ara

Els editors l'audiència dels quals inclou un nombre significatiu de visitants menors de 18 anys haurien de començar a auditar la seva pila de seguiment, configuració de publicitat i configuració predeterminada abans que el Codi es finalitzi. La readaptació a posteriori és normalment més cara i més perjudicial que dissenyar el compliment a la pila des del principi.

Postura d'aplicació el 2026

L'OAIC ha rebut recursos significativament millorats juntament amb les reformes. L'activitat d'auditoria ha augmentat, i el Comissionat ha assenyalat un enfocament d'aplicació més públic.

Sancions en vigor

La sanció civil màxima per a la interferència greu o repetida amb la privadesa és el major de AUD 50 milions, tres vegades el benefici obtingut de la conducta o el 30 per cent de la facturació ajustada de l'entitat durant el període de l'incompliment. La reforma també va introduir un segon nivell de sanció per a qualsevol interferència amb la privadesa que no compleixi el llindar de gravetat, donant a l'OAIC eines d'aplicació més calibrades.

Violacions de dades notificables

Austràlia ha tingut un règim de notificació de violació de dades obligatori des del 2018, i l'OAIC ha estat visiblement agressiu en l'aplicació arran dels principals incidents de violació de dades australians del 2022 i el 2023. Qualsevol incident relacionat amb galetes o seguiment que provoqui una divulgació no autoritzada és probable que estigui dins de l'àmbit.

Transferències transfrontereres i trànsit global

L'Australian Privacy Principle 8 requereix que les entitats prenguin mesures raonables per garantir que els destinataris de l'estranger tractin la informació personal de manera coherent amb les APP. Per a un editor que faci servir adtech global, això significa o bé una jurisdicció amb lleis substancialment similars, un compromís vinculant contractual del destinatari a l'estranger o el consentiment informat de l'individu.

Transferències als Estats Units

Actualment no es reconeix que el US tingui lleis substancialment similars. Les transferències a proveïdors d'adtech dels US requereixen, per tant, o bé compromisos contractuals vinculants o bé consentiment explícit. Els editors que confien en les certificacions del Data Privacy Framework — que cobreixen les transferències EU-US — haurien de tenir en compte que aquestes certificacions no satisfan automàticament el requisit australià de l'APP 8.

Llista de verificació d'auditoria per al trànsit australià el 2026

• El CMP presenta opcions clares d'Accepta, Refusa i Personalitza amb prominència visual igual en el trànsit australià
• La publicitat dirigida, el retargeting i la reproducció de sessions requereixen consentiment per optar-hi; les anàlisis s'executen sota avís i minimització de dades
• La política de privadesa identifica clarament les galetes, el seguiment de píxels i els identificadors publicitaris, amb una declaració d'objectius alineada a l'APP 3 i l'APP 6
• Els mecanismes de transferència transfronterera estan documentats per a cada processador no australià (llista de proveïdors, proteccions contractuals o consentiment)
• La presa de decisions automatitzada es revela quan es prenen decisions significatives fent servir aquests sistemes
• L'avaluació de preparació del Children's Online Privacy Code és completa, amb valors predeterminats d'alta privadesa disponibles per a usuaris menors detectats
• La revisió del risc de doxxing és completa per a qualsevol funcionalitat que pugui publicar informació personal enviada per l'usuari
• El pla de resposta a la violació de dades s'alinea amb la finestra de notificació de 30 dies i el format de notificació actual de l'OAIC

Les perspectives per al 2026

Austràlia es troba en mig d'un canvi estructural d'un règim de privadesa més lleuger a un que sembla cada vegada més similar als marcs europeus i californians — amb les seves pròpies característiques australianes. El primer tram ja és aplicable i ja està reformant els litigs. El segon tram, inclosa la restricció de l'exempció per a petites empreses i la regulació explícita de la publicitat dirigida, probablement entrarà en vigor el 2026 o el 2027. Els editors i anunciants que han invertit en una pila de consentiment de grau GDPR ja disposen de la major part de la maquinària que necessiten per complir. Els que han estat confiant en la postura histèricament més lleugera d'Austràlia entren al nou règim amb llacunes conegudes. El moviment correcte és tancar aquestes llacunes ara — abans que el tort estatutari, el Codi dels infants o una auditoria de l'OAIC forcin la qüestió en un calendari que ningú controla.