A estrutura da Privacy Act 1988 en 2026

A Privacy Act 1988 é o principal estatuto federal de protección de datos en Australia, apoiado nos Australian Privacy Principles (APPs) que operacionalizan os seus requisitos. Os tramos de reforma de 2024 e 2025 reestruturaron varios elementos clave sen reescribir a Lei desde cero.

O que cambiou o primeiro tramo

O primeiro tramo de reforma, que entrou en vigor ao longo de 2024, introduciu varios cambios longamente agardados:

• Sancións máximas substancialmente aumentadas para as interferencias graves ou repetidas coa privacidade, achegando as sancións australianas ao nivel do GDPR
• Novos poderes para a OAIC de realizar investigacións por iniciativa propia e emitir notificacións de infracción
• O Children's Online Privacy Code, que impón obrigas específicas aos servizos aos que probablemente accedan menores
• Requisitos reforzados de notificación de violacións de datos, incluídos prazos de notificación máis rápidos

O que cambiou o segundo tramo

O segundo tramo de reforma, en vigor ao longo de 2025 e en 2026, abordou as cuestións máis arquitectónicas:

• O delito legal de invasión grave da privacidade, dando ás persoas unha causa de acción directa polas violacións graves da privacidade
• Definicións ampliadas de información persoal para clarificar o tratamento dos identificadores en liña e as inferencias
• Requisitos de consentimento mellorados para o marketing directo e a publicidade dirixida
• Novas obrigas de transparencia para a toma de decisións automatizadas, incluído o dereito a unha explicación significativa
• Regras actualizadas de fluxo de datos transfronteirizo con obrigas reformadas de medidas razoables

Quen está regulado

A Privacy Act 1988 aplícase á maioría dos organismos do Goberno australiano e ás organizacións do sector privado con facturación anual superior a un limiar (actualmente AUD 3 millóns). Tamén se aplica extraterritorialmente ás organizacións estranxeiras que exercen actividades en Australia e que recollen ou manteñen información persoal en Australia. Os editores estranxeiros que atenden a usuarios australianos a través de sitios localizados ou inventario programático comprado fronte a IP australianas están normalmente no ámbito de aplicación, e a OAIC invocou a disposición extraterritorial en varios asuntos recentes.

Que conta como información persoal

A definición de información persoal da Privacy Act 1988 foi clarificada no proceso de reforma para abordar a incerteza persistente sobre os identificadores en liña.

A definición actualizada

A información persoal é información ou unha opinión sobre un individuo identificado, ou un individuo razoablemente identificable, independentemente de se a información é verdadeira ou de se está rexistrada nun soporte material. As reformas de 2025 clarificaron que isto inclúe os identificadores en liña, os datos técnicos e as inferencias extraídas de datos de comportamento cando estes se poden vincular a un individuo directamente ou por combinación con outra información.

Información sensible

A Lei designa unha categoría de información sensible que inclúe información sobre saúde, orixe racial ou étnica, opinións políticas, pertenza a asociacións políticas, crenzas relixiosas, crenzas filosóficas, pertenza a asociacións profesionais ou comerciais, pertenza a sindicatos, orientación ou prácticas sexuais, historial penal, información biométrica e modelos biométricos. O procesamento de información sensible require consentimento explícito e activa obrigas reforzadas.

Por que isto importa para os cookies

Un cookie que almacena un identificador de rutina constitúe información persoal. Un cookie que alimenta un segmento de audiencia que toca a lista sensible — intereses de saúde, aliñamento político, afiliación relixiosa — é procesamento de información sensible e require o fluxo de consentimento reforzado en lugar do consentimento xeral de publicidade. Os editores que xestionan segmentos de audiencia que se superpoñen coa lista sensible deben auditar os seus fluxos de consentimento especificamente fronte a este límite.

Consentimento de cookies baixo a Privacy Act 1988 reformada

O proceso de reforma clarificou os requisitos de consentimento para o marketing directo e a publicidade dirixida de formas que achegan Australia a un modelo de opt-in ao estilo GDPR respecto ao réxime australiano histórico.

O estándar de consentimento actualizado

O consentimento baixo a Privacy Act 1988 reformada debe ser:

• Voluntario — dado sen coerción ou presión indebida
• Informado — o individuo entende que datos se recollen, por que e como se utilizarán e divulgarán
• Actual — o consentimento é suficientemente recente para ser significativo para o procesamento proposto
• Específico — vinculado a fins claramente identificados en lugar dun consentimento xenérico
• Inequívoco — expresado mediante un acto afirmativo claro en lugar de inferido da inactividade

O aspecto dun CMP conforme

Un CMP configurado para o tráfico australiano en 2026 debería presentar:

• Un banner visible antes de que se active calquera cookie ou rastreador non esencial
• Igual prominencia visual para Aceptar, Rexeitar e Personalizar — a OAIC sinalou maior atención aos deseños de banners de patrón escuro
• Controis granulares por finalidade: análise, publicidade, personalización, transferencia transfronteiriza e calquera procesamento de información sensible
• Un fluxo separado e claramente etiquetado para o procesamento de información sensible, protexido pola súa propia acción
• Un mecanismo persistente e facilmente accesible para retirar o consentimento
• Unha política de privacidade en inglés con divulgacións completas aliñadas coas APP, incluído o canal de reclamacións da OAIC

Rexistros de consentimento

A reforma aumentou o apetito da OAIC pola aplicación baseada en probas, e os rexistros de consentimento foron citados en varios asuntos recentes. Os rexistros de consentimento exportables e con marca temporal son a expectativa de referencia, e os rexistros de consentimento inadecuados foron sinalados en determinacións formais.

Divulgacións transfronteirizas baixo o réxime reformado

A Privacy Act 1988 adoptou historicamente un enfoque diferente ao do GDPR para os fluxos de datos transfronteirizos — o foco é na responsabilidade da organización divulgadora en lugar da autorización previa da xurisdición receptora. As reformas de 2025 refinaron este enfoque sen abandonalo.

A obriga de medidas razoables do APP 8

O Australian Privacy Principle 8 require que antes de divulgar información persoal a un destinatario no estranxeiro, a organización divulgadora tome medidas razoables para garantir que o destinatario non incumpra os APP. Isto normalmente implica un mecanismo contractual, unha revisión de due diligence das prácticas de privacidade do destinatario, ou a confianza nun réxime legal substancialmente similar no país de destino.

A rede de seguridade de responsabilidade

Se o destinatario no estranxeiro incumpre os APP en relación coa información divulgada, a organización divulgadora australiana é tratada como se tivese participado no incumprimento. Esta rede de seguridade de responsabilidade é o elemento práctico de aplicación para os fluxos transfronteirizos e é o que fai que o mecanismo contractual non sexa simplemente un exercicio de documentación.

O enfoque práctico para 2026

Para a maioría dos editores estranxeiros en 2026, o enfoque operativo é executar acordos de transferencia de datos conformes coas APP cos procesadores no estranxeiro, documentar a transferencia na política de privacidade e manter un rexistro de due diligence de provedores que demostre que se cumpriu a obriga de medidas razoables. Isto é significativamente máis sinxelo que o enfoque de autorización previa do GDPR pero non menos rigoroso no fondo.

Dereitos dos interesados e toma de decisións automatizada

A Lei reformada amplía os dereitos que os individuos poden exercer.

Os dereitos fundamentais

• Dereito de acceso á información persoal en poder da organización
• Dereito de corrección de información inexacta, desactualizada, incompleta, irrelevante ou enganosa
• Dereito a opoñerse ao marketing directo
• Dereito a saber a quen se divulgou a información persoal
• Dereito a unha explicación significativa das decisións automatizadas que producen efectos significativos
• Dereito a presentar reclamacións ante a OAIC

Prazos de resposta

A Lei establece prazos de resposta de período razoable, e as orientacións da OAIC interpretan razoable como que normalmente non supera os 30 días para as solicitudes de acceso. A preparación operativa para esta xanela — con ferramentas e manuais axustados aos procesos específicos de Australia — é un problema frecuente para os editores estranxeiros.

Children's Online Privacy Code

O Código, que entrou en vigor ao longo de 2024, aplícase aos servizos en liña aos que probablemente accedan menores e impón obrigas específicas que inclúen deseño adaptado á idade, perfilado e publicidade dirixida restrinxidos, configuracións de privacidade altas por defecto e requisitos de participación dos pais. Os editores cuxas audiencias inclúen un tráfico significativo de menores de 18 anos necesitan fluxos conscientes da idade, procesamento restrinxido para o segmento menor e valores predeterminados aliñados co Código — ningún dos cales está dispoñible de serie para a maioría dos editores estranxeiros.

Sancións e postura de aplicación en 2026

A actividade de aplicación da OAIC escalou significativamente ao longo de 2024 e 2025, e 2026 está nunha traxectoria similar.

Sancións máximas

Por interferencias graves ou repetidas coa privacidade, a sanción máxima é a maior de: AUD 50 millóns, tres veces o valor do beneficio obtido da conduta, ou o 30 por cento da facturación axustada da organización no período pertinente. Isto sitúa decisivamente as sancións australianas no rango do GDPR e elimina a caracterización de réxime suave que se aplicaba anteriormente.

O delito legal

O delito legal de 2025 de invasión grave da privacidade dá aos individuos unha causa de acción directa por danos, separada da aplicación regulatoria. As demandas colectivas son una vía emerxente, e varias presentáronse contra plataformas importantes a finais de 2025 e principios de 2026.

Temas de aplicación

Os asuntos recentes da OAIC agrúpanse en torno a problemas recorrentes: banners de consentimento de patrón escuro, notificación de violacións inadecuada, divulgacións transfronteirizas sen medidas razoables documentadas, procesamento de información sensible sen consentimento explícito e incumprimento de resposta ás solicitudes de acceso dentro do período razoable.

Lista de comprobación de auditoría para o tráfico australiano en 2026

• Banner do CMP con Aceptar, Rexeitar e Personalizar con igual prominencia visual
• As finalidades de consentimento son granulares e o procesamento de información sensible está separado detrás do consentimento explícito
• A política de privacidade está aliñada coas APP con divulgación completa de destinatarios no estranxeiro, finalidades, retención e canal de reclamacións da OAIC
• Os acordos de divulgación transfronteiriza do APP 8 están en vigor con todos os procesadores no estranxeiro, con due diligence de provedores documentada
• Os rexistros de consentimento son con marca temporal, exportables e conservados polo período de retención aplicable
• O fluxo de traballo de acceso do interesado pode responder dentro do período razoable de extremo a extremo
• As obrigas do Children's Online Privacy Code están abordadas onde a audiencia inclúe menores, incluído deseño adaptado á idade e perfilado restrinxido
• As explicacións de toma de decisións automatizadas están dispoñibles onde se toman decisións significativas utilizando tales sistemas
• O manual de notificación de violacións está axustado aos prazos reformados
• A lista de provedores foi revisada para a súa necesidade, eliminando os provedores non utilizados ou redundantes para reducir a superficie de divulgación

O panorama de 2026

O réxime de privacidade de Australia finalmente pasou dun longo proceso de reforma a unha postura de aplicación creíble. As sancións máximas están agora no rango do GDPR, a OAIC ten os poderes que necesita para aplicalas, o delito legal dá aos individuos unha causa de acción directa, e o Children's Online Privacy Code eleva o listón para calquera servizo que toque audiencias menores de 18 anos. Para os editores que xa xestionan unha pila de consentimento de grao GDPR, a brecha cara ao cumprimento da Privacy Act 1988 é operativa en lugar de arquitectónica: política de privacidade aliñada coas APP, documentación do APP 8, os valores predeterminados do Children's Online Privacy Code e a cadencia de resposta a solicitudes de acceso. A brecha pódese pechar en semanas se se prioriza. Os editores que trataron Australia como un mercado relativamente suave ata 2023 atopan 2026 significativamente máis caro, e a tendencia continuará. A boa noticia é que a brecha de cumprimento é pequena para calquera editor que fixera o traballo europeo; a mala noticia é que a maioría dos editores subestiman precisamente canto o réxime australiano reformado espera deles.