La estructura de la reforma 2024-2026

La reforma se está implementando en dos tramos, y solo el primero ha aterrizado completamente. Entender la secuenciación es importante para saber qué está legalmente en vigor frente a lo que está por venir.

Tramo 1 — En vigor desde 2024-2025

La Privacy and Other Legislation Amendment Act 2024, promulgada en noviembre de 2024, introdujo varios cambios que ya se aplican:

• Agravio estatutario por invasiones graves de la privacidad — los individuos pueden demandar directamente por invasiones graves de la privacidad, sin necesidad de demostrar un incumplimiento de la propia Privacy Act
• Nuevas sanciones civiles — la OAIC puede buscar sanciones por cualquier injerencia en la privacidad, no solo por incumplimientos graves o repetidos
• Requisitos de transparencia para la toma de decisiones automatizada — las entidades deben revelar cuándo se toman decisiones significativas sobre individuos mediante sistemas automatizados
• El doxxing está criminalizado — la publicación intencional de datos personales para causar daño es ahora un delito penal
• Children's Online Privacy Code — se exige a la OAIC que desarrolle un código vinculante para servicios a los que probablemente accederán niños, con el código previsto para 2026

Tramo 2 — Bajo consulta activa para 2026-2027

El segundo tramo cubre los cambios más estructurales y está trabajando a través del acuerdo gubernamental en 2025 y 2026. Los elementos esperados incluyen:

• Eliminación o estrechamiento significativo de la exención para pequeñas empresas que actualmente exime a entidades con una facturación anual inferior a AUD 3 millones
• Una prueba de equidad y razonabilidad más clara que se aplica a cada manejo de información personal, independientemente del consentimiento
• Regulación explícita de la publicidad dirigida, con consentimiento de adhesión probable para categorías sensibles
• Un nuevo derecho al borrado, acercando la ley australiana al GDPR
• Controles más estrictos sobre las transferencias de datos transfronterizas

Qué cuenta como información personal bajo la ley australiana

La Privacy Act australiana define información personal de manera amplia. Cubre cualquier información sobre un individuo identificado o razonablemente identificable, y la OAIC interpreta razonablemente identificable para incluir identificadores en línea, identificadores de dispositivos, direcciones IP combinadas con otros datos e identificadores publicitarios. En la práctica, las cookies, el rastreo de píxeles, las huellas digitales de dispositivos y los gráficos de identidad utilizados para la publicidad entre sitios procesan todos información personal bajo la ley australiana y están completamente dentro del alcance del cumplimiento de las Australian Privacy Principles (APP).

Cómo funciona el consentimiento de cookies bajo la ley australiana en 2026

La ley australiana no exige actualmente un banner completo de adhesión al estilo GDPR para todas las cookies. Pero tampoco es una zona sin reglas, y varios desarrollos recientes han endurecido el listón.

APP 3 — La recopilación requiere aviso

El Australian Privacy Principle 3 requiere que la información personal se recopile únicamente por medios legales y justos, con aviso de los propósitos. Para las cookies que recopilan información personal, esto significa que debe presentarse un aviso visible e informativo antes o en el momento de la recopilación. El rastreo oculto no satisface el APP 3.

APP 6 — El uso y la divulgación requieren coincidencia de propósito

La información personal solo puede utilizarse para el propósito para el que se recopiló, para un propósito secundario razonablemente relacionado o con el consentimiento del individuo. Compartir datos derivados de cookies con una plataforma de publicidad digital para publicidad conductual entre contextos cae típicamente fuera del propósito principal, lo que lo empuja hacia el consentimiento.

Orientación de la OAIC sobre el rastreo

La orientación de la OAIC de 2024 sobre tecnologías de rastreo es inequívoca: las entidades deben proporcionar un mecanismo claro para que los individuos puedan optar por no ser rastreados, y para cualquier caso de uso que involucre información sensible o elaboración de perfiles para decisiones significativas, la OAIC espera consentimiento de adhesión. Eso sitúa firmemente la publicidad dirigida, el retargeting programático, la reproducción de sesiones y la analítica conductual en territorio de adhesión en la práctica, aunque el estatuto aún no lo haya hecho obligatorio en todos los casos.

La configuración práctica del CMP para 2026

La mayoría de los editores que operan en Australia ejecutan ahora un CMP que presenta un banner de tres estados: Aceptar, Rechazar y Personalizar. Para el tráfico de la EU o del Reino Unido, la adhesión es estricta. Para el tráfico australiano, la adhesión es el valor predeterminado recomendado para la publicidad dirigida y la reproducción de sesiones, mientras que los análisis a menudo pueden funcionar bajo un modelo de aviso y elección siempre que la anonimización de IP y la minimización de datos estén implementadas.

El agravio estatutario — Qué permite realmente

El nuevo agravio estatutario es el cambio más significativo para los anunciantes digitales en términos prácticos. Antes, solo la OAIC podía hacer cumplir los derechos de privacidad y los recursos individuales eran limitados. El agravio estatutario cambia esto.

¿Qué es una invasión grave de la privacidad?

El agravio cubre la conducta intencional o imprudente que causa una invasión grave de la privacidad, ya sea mediante intrusión en la reclusión o mediante el uso indebido de información privada. Los tribunales sopesarán la gravedad frente al interés público y otras consideraciones.

Por qué deben preocuparse los anunciantes

El rastreo agresivo, especialmente la reproducción de sesiones que captura pulsaciones de teclas y comportamiento del cursor en páginas sensibles, las huellas digitales que eluden la exclusión de un usuario, o la vinculación no autorizada de comportamiento anónimo a una identidad nominada — todo esto son ahora bases fácticas plausibles para una reclamación por agravio. Esperad que las firmas de demandantes comiencen a probar los límites en 2026. Australia no tiene la cultura de demandas colectivas de los Estados Unidos, pero las acciones representativas son posibles y algunas firmas claramente se están posicionando para ellas.

Children's Online Privacy Code

El Children's Online Privacy Code es la pieza única más específica de nueva regulación para editores cuyos sitios probablemente sean accedidos por niños.

Quién está dentro del alcance

El Código se aplica a los servicios de redes sociales, los servicios electrónicos relevantes a los que probablemente accederán niños y ciertos servicios de internet designados. En la práctica, esto llega mucho más allá de los sitios puramente infantiles — cualquier plataforma para audiencias generales a la que acceda un número significativo de menores es probable que quede incluida, y se espera que la OAIC adopte una lectura inclusiva.

Obligaciones fundamentales esperadas en el Código

• Configuración predeterminada de alta privacidad para usuarios menores de 18 años
• Restricciones a la publicidad dirigida a menores
• Prohibiciones de patrones oscuros que empujan a los niños hacia configuraciones de privacidad más débiles
• Explicaciones apropiadas para la edad sobre el manejo de datos
• Evaluaciones del interés superior del niño antes de implementar funciones que procesan su información personal

Qué preparar ahora

Los editores cuya audiencia incluye un número significativo de visitantes menores de 18 años deben comenzar a auditar su pila de rastreo, configuración de publicidad y configuración predeterminada antes de que el Código se finalice. La adaptación posterior es típicamente más costosa y más disruptiva que diseñar el cumplimiento en la pila desde el principio.

Postura de aplicación en 2026

La OAIC ha recibido recursos significativamente mejorados junto con las reformas. La actividad de auditoría ha aumentado, y el Comisionado ha señalado un enfoque de aplicación más público.

Sanciones en vigor

La sanción civil máxima por injerencia grave o reiterada en la privacidad es el mayor de AUD 50 millones, tres veces el beneficio obtenido de la conducta o el 30 por ciento de la facturación ajustada de la entidad durante el período de incumplimiento. La reforma también introdujo un segundo nivel de sanción para cualquier injerencia en la privacidad que no alcance el umbral de gravedad, dando a la OAIC herramientas de aplicación más calibradas.

Violaciones de datos notificables

Australia ha tenido un régimen obligatorio de notificación de violaciones de datos desde 2018, y la OAIC ha sido visiblemente agresiva en la aplicación tras los principales incidentes de violación de datos australianos de 2022 y 2023. Cualquier incidente relacionado con cookies o rastreo que conduzca a una divulgación no autorizada probablemente esté dentro del alcance.

Transferencias transfronterizas y tráfico global

El Australian Privacy Principle 8 requiere que las entidades tomen medidas razonables para garantizar que los destinatarios en el extranjero manejen la información personal de manera coherente con las APP. Para un editor que utiliza ad tech global, esto significa ya sea una jurisdicción con leyes sustancialmente similares, un compromiso contractual vinculante del destinatario en el extranjero o el consentimiento informado del individuo.

Transferencias a los Estados Unidos

Los US no están actualmente reconocidos como poseedores de leyes sustancialmente similares. Las transferencias a proveedores de ad tech de los US requieren, por lo tanto, ya sea compromisos contractuales vinculantes o consentimiento explícito. Los editores que confían en las certificaciones del Data Privacy Framework — que cubren las transferencias EU-US — deben tener en cuenta que esas certificaciones no satisfacen automáticamente el requisito australiano del APP 8.

Lista de verificación de auditoría para el tráfico australiano en 2026

• El CMP presenta opciones claras de Aceptar, Rechazar y Personalizar con igual prominencia visual para el tráfico australiano
• La publicidad dirigida, el retargeting y la reproducción de sesiones requieren consentimiento de adhesión; los análisis se ejecutan bajo aviso más minimización de datos
• La política de privacidad identifica claramente las cookies, el rastreo de píxeles y los identificadores publicitarios, con una declaración de propósito alineada con el APP 3 y el APP 6
• Los mecanismos de transferencia transfronteriza están documentados para cada procesador no australiano (lista de proveedores, protecciones contractuales o consentimiento)
• La toma de decisiones automatizada se divulga donde se toman decisiones significativas utilizando tales sistemas
• La evaluación de preparación del Children's Online Privacy Code está completa, con valores predeterminados de alta privacidad disponibles para usuarios menores detectados
• La revisión del riesgo de doxxing está completa para cualquier funcionalidad que pueda publicar información personal enviada por el usuario
• El plan de respuesta a violaciones de datos está alineado con la ventana de notificación de 30 días y el formato de reporte actual de la OAIC

Las perspectivas para 2026

Australia se encuentra en medio de un cambio estructural de un régimen de privacidad más ligero a uno que se parece cada vez más a los marcos europeos y californianos — con sus propias características australianas. El primer tramo ya es ejecutable y ya está reconfigurando los litigios. El segundo tramo, incluido el estrechamiento de la exención para pequeñas empresas y la regulación explícita de la publicidad dirigida, probablemente entrará en vigor en 2026 o 2027. Los editores y anunciantes que han invertido en una pila de consentimiento de nivel GDPR ya tienen la mayor parte de la maquinaria que necesitan para cumplir. Quienes han confiado en la postura históricamente más ligera de Australia están entrando al nuevo régimen con brechas conocidas. El movimiento correcto es cerrar esas brechas ahora — antes de que el agravio estatutario, el Código para Niños o una auditoría de la OAIC fuercen la cuestión en un plazo que nadie controla.