A estrutura da reforma 2024-2026

A reforma está sendo despregada en dous tramos, e só o primeiro aterrou completamente. Comprender a secuenciación é importante para saber o que está legalmente en vigor fronte ao que está por vir.

Tramo 1 — En vigor desde 2024-2025

O Privacy and Other Legislation Amendment Act 2024, aprobado en novembro de 2024, entregou varios cambios que xa se aplican:

• Tort estatutario por invasións graves da privacidade — os individuos poden demandar directamente por invasións graves da privacidade, sen necesidade de demostrar unha violación da propia Privacy Act
• Novas penalizacións civís — o OAIC pode solicitar penalizacións por calquera interferencia coa privacidade, non só por violacións graves ou repetidas
• Requisitos de transparencia para a toma de decisións automatizada — as entidades deben revelar cando se toman decisións significativas sobre individuos usando sistemas automatizados
• Doxxing criminalizado — a publicación intencionada de datos persoais para causar dano é agora un delito penal
• Children's Online Privacy Code — o OAIC está obrigado a desenvolver un código vinculante para servizos aos que probablemente accedan os nenos, cun código previsto para 2026

Tramo 2 — Baixo consulta activa para 2026-2027

O segundo tramo cobre os cambios máis estruturais e está a traballar a través do acordo gobernamental en 2025 e 2026. Os elementos esperados inclúen:

• Eliminación ou estreitamento significativo da exención para pequenas empresas que actualmente exclúe as entidades con facturación anual inferior a 3 millóns de AUD
• Unha proba máis clara de xusto e razoable que se aplica a cada manexo de información persoal, independentemente do consentimento
• Regulación explícita da publicidade dirixida, con consentimento opt-in probable para categorías sensibles
• Un novo dereito de supresión, achegando a lei australiana ao GDPR
• Controis máis estrictos sobre as transferencias transfronteirizas de datos

Que se considera información persoal baixo a lei australiana

A Privacy Act australiana define a información persoal de forma ampla. Cobre calquera información sobre un individuo identificado ou razoablemente identificable, e o OAIC interpreta razoablemente identificable para incluír identificadores en liña, IDs de dispositivo, enderezos IP combinados con outros datos e identificadores de publicidade. Na práctica, as cookies, o seguimento por píxel, a toma de impresión dixital de dispositivos e os grafos de identidade utilizados para a publicidade entre sitios, todos procesan información persoal baixo a lei australiana e están plenamente no ámbito do cumprimento das Australian Privacy Principles (APP).

Como funciona o consentimento de cookies baixo a lei australiana en 2026

A lei australiana non require actualmente un banner opt-in ao estilo GDPR completo para todas as cookies. Pero tampouco é un libre para todos, e varios desenvolvementos recentes elevaron o listón.

APP 3 — A recompilación require aviso

O Australian Privacy Principle 3 require que a información persoal se recompile só por medios legais e xustos, con aviso das finalidades. Para as cookies que recompilan información persoal, isto significa que un aviso visible e informativo debe presentarse antes ou no momento da recompilación. O seguimento oculto non satisfai o APP 3.

APP 6 — O uso e a divulgación require correspondencia de finalidade

A información persoal só pode usarse para o fin para o que foi recompilada, para un fin secundario razoablemente relacionado ou co consentimento do individuo. Compartir datos derivados de cookies cunha plataforma de publicidade dixital para publicidade comportamental de contexto cruzado normalmente cae fóra da finalidade principal, o que a empuxa cara ao consentimento.

Orientacións do OAIC sobre o seguimento

As orientacións do OAIC de 2024 sobre tecnoloxías de seguimento son inequívocas: as entidades deben proporcionar un mecanismo claro para que os individuos opten por non ser seguidos, e para calquera caso de uso que implique información sensible ou perfil para decisións significativas, o OAIC espera o consentimento opt-in. Iso coloca a publicidade dirixida, o retargeting programático, a repetición de sesión e a analítica de comportamento firmemente no territorio opt-in na práctica, aínda que o estatuto aínda non o fixera obrigatorio en todos os casos.

A configuración práctica do CMP para 2026

A maioría dos editores que operan en Australia executan agora un CMP que presenta un banner de tres estados: Aceptar, Rexeitar e Personalizar. Para o tráfico da UE ou do Reino Unido, o opt-in é estrito. Para o tráfico australiano, o opt-in é o valor predeterminado recomendado para publicidade dirixida e repetición de sesión, mentres que a analítica pode frecuentemente funcionar baixo un modelo de aviso e elección sempre que a anonimización de IP e a minimización de datos estean en vigor.

O tort estatutario — o que realmente permite

O novo tort estatutario é o cambio máis significativo para os anunciantes dixitais en termos prácticos. Anteriormente, só o OAIC podía facer valer os dereitos de privacidade, e os remedios individuais eran limitados. O tort estatutario cambia isto.

Que é unha invasión grave da privacidade?

O tort cobre o comportamento intencionado ou imprudente que causa unha invasión grave da privacidade, xa sexa mediante intrusión na privacidade ou mediante o uso indebido de información privada. Os tribunais sopesarán a gravidade fronte ao interese público e outras consideracións.

Por que os anunciantes deberían preocuparse

O seguimento agresivo, especialmente a repetición de sesión que captura pulsacións de teclas e comportamento do cursor en páxinas sensibles, as impresións dixitais que eluden a exclusión voluntaria dun usuario, ou a vinculación non autorizada de comportamento anónimo a unha identidade nomeada — todos estes son agora bases fácticas plausibles para unha reclamación por tort. Espera que as firmas de demandantes comecen a probar os límites en 2026. Australia non ten a cultura de demanda colectiva dos Estados Unidos, pero as accións representativas son posibles e algunhas firmas están claramente posicionándose para elas.

Children's Online Privacy Code

O Children's Online Privacy Code é a peza máis específica de nova regulación para os editores cuxos sitios probablemente sexan accesibles polos nenos.

Quen está no ámbito

O Código aplícase aos servizos de redes sociais, servizos electrónicos relevantes aos que probablemente accedan os nenos e determinados servizos de internet designados. Na práctica, isto vai moito máis alá dos sitios puramente para nenos — calquera plataforma de audiencia xeral á que acceda un número significativo de menores probablemente estará incluída, e espérase que o OAIC adopte unha lectura inclusiva.

Obrigacións fundamentais esperadas no Código

• Configuracións de privacidade elevadas por defecto para usuarios menores de 18 anos
• Restricións na publicidade dirixida a menores
• Prohibicións de patróns escuros que empuxan aos nenos cara a configuracións de privacidade máis débiles
• Explicacións adaptadas á idade do tratamento de datos
• Avaliacións do interese superior do neno antes de despregar funcionalidades que procesen a súa información persoal

Que preparar agora

Os editores cuxo público inclúe un número significativo de visitantes menores de 18 anos deberían comezar a auditar a súa pila de seguimento, configuración de publicidade e configuracións predeterminadas antes de que o Código se finalice. A adaptación retrospectiva é tipicamente máis cara e máis perturbadora que o deseño do cumprimento na pila desde o principio.

Postura de execución en 2026

O OAIC recibiu recursos significativamente mellores xunto coas reformas. A actividade de auditoría aumentou e o Comisario indicou un enfoque de execución máis público.

Penalizacións en vigor

A penalización civil máxima por interferencia grave ou repetida coa privacidade é a maior de: 50 millóns de AUD, tres veces o beneficio obtido da conduta, ou o 30 por cento do volume de negocio axustado da entidade durante o período de infracción. A reforma tamén introduciu un segundo nivel de penalización por calquera interferencia coa privacidade que non acade o limiar de gravidade, proporcionando ao OAIC ferramentas de execución máis calibradas.

Violacións de datos notificables

Australia dispón dun réxime obrigatorio de notificación de violacións de datos desde 2018, e o OAIC foi visibelmente agresivo na execución tras os principais incidentes de violación de datos australianos de 2022 e 2023. Calquera incidente relacionado con cookies ou seguimento que leve a divulgación non autorizada é probable que estea no ámbito.

Transferencias transfronteirizas e tráfico global

O Australian Privacy Principle 8 require que as entidades tomen medidas razoables para garantir que os destinatarios estranxeiros manexen a información persoal de forma coherente coas APP. Para un editor que usa tecnoloxía publicitaria global, isto significa ou ben unha xurisdición con leis substancialmente similares, un compromiso contractual vinculante do destinatario no estranxeiro, ou consentimento informado do individuo.

Transferencias aos Estados Unidos

Os Estados Unidos non son recoñecidos actualmente como tendo leis substancialmente similares. As transferencias a provedores de tecnoloxía publicitaria dos Estados Unidos requiren, polo tanto, compromisos contractuais vinculantes ou consentimento explícito. Os editores que dependen das certificacións de Data Privacy Framework — que cobren as transferencias UE-Estados Unidos — deben ter en conta que esas certificacións non satisfán automaticamente o requisito australiano do APP 8.

Lista de verificación de auditoría para o tráfico australiano en 2026

• O CMP presenta opcións claras de Aceptar, Rexeitar e Personalizar cunha prominencia visual igual no tráfico australiano
• A publicidade dirixida, o retargeting e a repetición de sesión requiren consentimento opt-in; a analítica funciona baixo aviso máis minimización de datos
• A política de privacidade identifica claramente as cookies, o seguimento por píxel e os identificadores de publicidade, cunha declaración de finalidade aliñada co APP 3 e o APP 6
• Os mecanismos de transferencia transfronteiriza están documentados para cada procesador non australiano (lista de provedores, proteccións contractuais ou consentimento)
• A toma de decisións automatizada revélase onde se toman decisións significativas usando tales sistemas
• A avaliación de preparación do Children's Online Privacy Code está completa, con configuracións predeterminadas de alta privacidade dispoñibles para usuarios menores detectados
• A revisión de risco de doxxing está completa para calquera funcionalidade que poida publicar información persoal enviada polo usuario
• O plan de resposta a violacións de datos está aliñado coa xanela de notificación de 30 días e o formato de informe actual do OAIC

As perspectivas para 2026

Australia está no medio dun cambio estrutural dun réxime de privacidade máis lixeiro a un que se parece cada vez máis aos marcos europeos e californiano — coas súas propias características australianas. O primeiro tramo xa é executorio e xa está reformulando os litixios. O segundo tramo, incluíndo o estreitamento da exención para pequenas empresas e a regulación explícita da publicidade dirixida, probablemente entrará en vigor en 2026 ou 2027. Os editores e anunciantes que investiron nunha pila de consentimento de nivel GDPR xa teñen a maior parte da maquinaria que necesitan para cumprir. Os que confiaron na postura históricamente máis lixeira de Australia están a entrar no novo réxime con lagoas coñecidas. O movemento correcto é pechar esas lagoas agora — antes de que o tort estatutario, o Código para nenos ou unha auditoría do OAIC force a pregunta nun calendario que ninguén controla.