A estrutura da reforma 2024–2026

A reforma está sendo implementada em duas tranches, e apenas a primeira entrou totalmente em vigor. Compreender o sequenciamento é importante para saber o que está juridicamente em vigor versus o que está por vir.

Tranche 1 — Em vigor a partir de 2024–2025

A Privacy and Other Legislation Amendment Act 2024, sancionada em novembro de 2024, trouxe várias mudanças que já se aplicam:

• Delito estatutário por invasões graves de privacidade — indivíduos podem processar diretamente por invasões graves de privacidade, sem precisar demonstrar uma violação da própria Privacy Act
• Novas penalidades civis — o OAIC pode buscar penalidades por qualquer interferência com a privacidade, não apenas por violações graves ou repetidas
• Requisitos de transparência para tomada de decisão automatizada — entidades devem divulgar quando decisões significativas sobre indivíduos são tomadas usando sistemas automatizados
• Doxing criminalizado — a publicação intencional de dados pessoais para causar dano agora é uma ofensa criminal
• Children's Online Privacy Code — o OAIC é obrigado a desenvolver um código vinculante para serviços provavelmente acessados por crianças, com o código previsto para 2026

Tranche 2 — Sob consulta ativa para 2026–2027

A segunda tranche abrange as mudanças mais estruturais e está sendo elaborada com o acordo do governo em 2025 e 2026. Os elementos esperados incluem:

• Remoção ou estreitamento significativo da isenção para pequenas empresas que atualmente isenta entidades com faturamento anual abaixo de AUD 3 milhões
• Um teste de justo e razoável mais claro que se aplica a cada tratamento de informações pessoais, independentemente do consentimento
• Regulamentação explícita de publicidade direcionada, com consentimento opt-in provavelmente para categorias sensíveis
• Um novo direito de apagamento, aproximando a lei australiana do GDPR
• Controles mais rígidos sobre transferências de dados transfronteiriças

O que conta como informação pessoal sob a lei australiana

A Privacy Act australiana define informação pessoal amplamente. Abrange qualquer informação sobre um indivíduo identificado ou razoavelmente identificável, e o OAIC interpreta razoavelmente identificável para incluir identificadores online, IDs de dispositivos, endereços IP combinados com outros dados e identificadores de publicidade. Na prática, cookies, rastreamento por pixel, fingerprinting de dispositivos e grafos de identidade usados para publicidade cross-site processam informações pessoais sob a lei australiana e estão totalmente no escopo da conformidade com as Australian Privacy Principles (APP).

Como o consentimento de cookies funciona sob a lei australiana em 2026

A lei australiana atualmente não exige um banner opt-in completo no estilo GDPR para todos os cookies. Mas também não é um campo livre, e vários desenvolvimentos recentes apertaram o padrão.

APP 3 — A coleta requer aviso

O Australian Privacy Principle 3 exige que as informações pessoais sejam coletadas apenas por meios legais e justos, com aviso dos propósitos. Para cookies que coletam informações pessoais, isso significa que um aviso visível e informativo deve ser apresentado antes ou no momento da coleta. O rastreamento oculto não satisfaz o APP 3.

APP 6 — O uso e a divulgação requerem correspondência de propósito

As informações pessoais só podem ser usadas para o propósito para o qual foram coletadas, para um propósito secundário razoavelmente relacionado ou com o consentimento do indivíduo. O compartilhamento de dados derivados de cookies com uma plataforma de publicidade digital para publicidade comportamental de contexto cruzado tipicamente cai fora do propósito primário, o que a empurra para o consentimento.

Orientação do OAIC sobre rastreamento

A orientação do OAIC de 2024 sobre tecnologias de rastreamento é inequívoca: as entidades devem fornecer um mecanismo claro para que os indivíduos optem por não ser rastreados, e para qualquer caso de uso que envolva informações sensíveis ou criação de perfil para decisões significativas, o OAIC espera consentimento opt-in. Isso coloca publicidade direcionada, retargeting programático, repetição de sessão e análise comportamental firmemente no território opt-in na prática, mesmo que o estatuto ainda não o tenha tornado obrigatório em todos os casos.

A configuração prática de CMP para 2026

A maioria dos editores que operam na Austrália agora executa um CMP que apresenta um banner de três estados: Aceitar, Rejeitar e Personalizar. Para tráfego da UE ou UK, o opt-in é rigoroso. Para tráfego australiano, o opt-in é o padrão recomendado para publicidade direcionada e repetição de sessão, enquanto a análise muitas vezes pode funcionar sob um modelo de aviso e escolha, desde que a anonimização de IP e a minimização de dados estejam em vigor.

O delito estatutário — O que ele realmente possibilita

O novo delito estatutário é a mudança mais significativa para os anunciantes digitais em termos práticos. Anteriormente, apenas o OAIC poderia fazer cumprir os direitos de privacidade, e as soluções individuais eram limitadas. O delito estatutário muda isso.

O que é uma invasão grave de privacidade?

O delito abrange conduta intencional ou imprudente que causa uma invasão grave de privacidade, seja por intrusão na solidão ou por uso indevido de informações privadas. Os tribunais irão pesar a gravidade em relação ao interesse público e outras considerações.

Por que os anunciantes devem se preocupar

Rastreamento agressivo, especialmente repetição de sessão que captura pressionamentos de teclas e comportamento do cursor em páginas sensíveis, fingerprinting que contorna o opt-out de um usuário ou vinculação não autorizada de comportamento anônimo a uma identidade nomeada — todos esses são agora bases fáticas plausíveis para uma alegação de delito. Espere que escritórios de autores comecem a testar os limites em 2026. A Austrália não tem a cultura de ações coletivas dos Estados Unidos, mas ações representativas são possíveis e alguns escritórios estão claramente se posicionando para elas.

O Children's Online Privacy Code

O Children's Online Privacy Code é a peça mais específica de nova regulamentação para editores cujos sites provavelmente serão acessados por crianças.

Quem está no escopo

O Código se aplica a serviços de mídia social, serviços eletrônicos relevantes provavelmente acessados por crianças e certos serviços de internet designados. Na prática, isso vai muito além de sites puramente infantis — qualquer plataforma de audiência geral que um número significativo de menores acesse provavelmente será capturada, e o OAIC deverá adotar uma leitura inclusiva.

Obrigações centrais esperadas no Código

• Configurações de alta privacidade padrão para usuários menores de 18 anos
• Restrições à publicidade direcionada para menores
• Proibições de padrões escuros que induzem crianças a configurações de privacidade mais fracas
• Explicações adequadas à idade sobre o tratamento de dados
• Avaliações dos melhores interesses da criança antes de implantar recursos que processam suas informações pessoais

O que preparar agora

Editores cuja audiência inclui números significativos de visitantes com menos de 18 anos devem começar a auditar sua pilha de rastreamento, configuração de publicidade e configurações padrão antes que o Código seja finalizado. A adaptação retroativa é tipicamente mais cara e mais perturbadora do que projetar a conformidade na pilha desde o início.

Postura de aplicação em 2026

O OAIC recebeu recursos significativamente aprimorados juntamente com as reformas. A atividade de auditoria aumentou, e o Comissário sinalizou uma abordagem de aplicação mais pública.

Penalidades em vigor

A penalidade civil máxima por interferência grave ou repetida na privacidade é a maior de AUD 50 milhões, três vezes o benefício obtido da conduta ou 30 por cento do faturamento ajustado da entidade durante o período de violação. A reforma também introduziu um segundo nível de penalidade por qualquer interferência com a privacidade que não atinja o limiar de gravidade, dando ao OAIC ferramentas de aplicação mais calibradas.

Violações de dados notificáveis

A Austrália tem um esquema obrigatório de notificação de violação de dados desde 2018, e o OAIC tem sido visivelmente agressivo na aplicação após os principais incidentes de violação de dados australianos de 2022 e 2023. Qualquer incidente relacionado a cookies ou rastreamento que leve à divulgação não autorizada provavelmente estará no escopo.

Transferências transfronteiriças e tráfego global

O Australian Privacy Principle 8 exige que as entidades tomem medidas razoáveis para garantir que os destinatários no exterior tratem as informações pessoais de forma consistente com as APPs. Para um editor que usa tecnologia de publicidade global, isso significa uma jurisdição com leis substancialmente semelhantes, um compromisso contratual vinculativo do destinatário no exterior ou consentimento informado do indivíduo.

Transferências para os Estados Unidos

Os EUA não são atualmente reconhecidos como tendo leis substancialmente semelhantes. As transferências para fornecedores de tecnologia de publicidade dos EUA, portanto, requerem compromissos contratuais vinculativos ou consentimento explícito. Os editores que dependem de certificações do Data Privacy Framework — que cobrem transferências UE-EUA — devem observar que essas certificações não satisfazem automaticamente o requisito APP 8 australiano.

Lista de verificação de auditoria para tráfego australiano em 2026

• O CMP apresenta opções claras de Aceitar, Rejeitar e Personalizar com igual proeminência visual no tráfego australiano
• Publicidade direcionada, retargeting e repetição de sessão requerem consentimento opt-in; a análise funciona sob aviso mais minimização de dados
• A política de privacidade identifica claramente cookies, rastreamento por pixel e identificadores de publicidade, com uma declaração de propósito alinhada ao APP 3 e APP 6
• Os mecanismos de transferência transfronteiriça estão documentados para cada processador não australiano (lista de fornecedores, proteções contratuais ou consentimento)
• A tomada de decisão automatizada é divulgada onde decisões significativas são tomadas usando tais sistemas
• A avaliação de prontidão do Children's Online Privacy Code está completa, com padrões de alta privacidade disponíveis para usuários menores detectados
• A revisão de risco de doxing está completa para qualquer funcionalidade que possa publicar informações pessoais enviadas por usuários
• O plano de resposta a violações de dados está alinhado à janela de notificação de 30 dias e ao formato de relatório atual do OAIC

As perspectivas para 2026

A Austrália está no meio de uma mudança estrutural de um regime de privacidade mais leve para um que parece cada vez mais semelhante às estruturas europeias e californianas — com suas próprias características australianas. A primeira tranche já é aplicável e já está remodelando os litígios. A segunda tranche, incluindo o estreitamento da isenção para pequenas empresas e a regulamentação explícita da publicidade direcionada, provavelmente entrará em vigor em 2026 ou 2027. Editores e anunciantes que investiram em uma pilha de consentimento de grau GDPR já têm a maior parte da maquinaria necessária para cumprir. Aqueles que dependiam da postura historicamente mais leve da Austrália estão entrando no novo regime com lacunas conhecidas. O movimento certo é fechar essas lacunas agora — antes que o delito estatutário, o Children's Code ou uma auditoria do OAIC force a questão em um cronograma que ninguém controla.