Structura reformei 2024–2026

Reforma este implementată în două tranșe, și numai prima a intrat pe deplin în vigoare. Înțelegerea secvențierii este importantă pentru a ști ce este în vigoare din punct de vedere juridic față de ce urmează.

Tranșa 1 — În vigoare din 2024–2025

Privacy and Other Legislation Amendment Act 2024, sancționată în noiembrie 2024, a adus câteva modificări care se aplică deja:

• Delict statutar pentru încălcări grave ale confidențialității — persoanele fizice pot da în judecată direct pentru încălcări grave ale confidențialității, fără a fi nevoie să demonstreze o încălcare a Privacy Act în sine
• Noi penalități civile — OAIC poate solicita penalități pentru orice interferență cu confidențialitatea, nu numai pentru încălcări grave sau repetate
• Cerințe de transparență pentru luarea automată a deciziilor — entitățile trebuie să divulge când decizii semnificative privind persoanele fizice sunt luate folosind sisteme automate
• Doxing criminalizat — publicarea intenționată a datelor cu caracter personal pentru a provoca prejudicii este acum o infracțiune penală
• Children's Online Privacy Code — OAIC este obligat să dezvolte un cod obligatoriu pentru serviciile la care este probabil să aibă acces copiii, codul fiind planificat pentru 2026

Tranșa 2 — Sub consultare activă pentru 2026–2027

A doua tranșă acoperă modificările mai structurale și este elaborată prin acordul guvernului în 2025 și 2026. Elementele așteptate includ:

• Eliminarea sau restrângerea semnificativă a scutirii pentru întreprinderi mici care în prezent exonerează entitățile cu o cifră de afaceri anuală sub AUD 3 milioane
• Un test mai clar de echitabil și rezonabil care se aplică fiecărei prelucrări de informații cu caracter personal, independent de consimțământ
• Reglementarea explicită a publicității direcționate, cu consimțământ opt-in probabil pentru categorii sensibile
• Un nou drept la ștergere, apropiind legislația australiană de GDPR
• Controale mai stricte asupra transferurilor transfrontaliere de date

Ce contează ca informații cu caracter personal în temeiul legislației australiene

Privacy Act australiană definește informațiile cu caracter personal în sens larg. Acoperă orice informații despre o persoană identificată sau identificabilă în mod rezonabil, iar OAIC interpretează identificabilă în mod rezonabil pentru a include identificatorii online, ID-urile dispozitivelor, adresele IP combinate cu alte date și identificatorii publicitari. În practică, cookie-urile, urmărirea prin pixel, amprenta dispozitivelor și grafurile de identitate utilizate pentru publicitate cross-site prelucrează toate informații cu caracter personal în temeiul legislației australiene și se încadrează pe deplin în domeniul de aplicare al conformității cu Australian Privacy Principles (APP).

Cum funcționează consimțământul pentru cookie-uri în temeiul legislației australiene în 2026

Legislația australiană nu impune în prezent un banner opt-in complet în stilul GDPR pentru toate cookie-urile. Dar, de asemenea, nu este o situație fără restricții, iar mai multe evoluții recente au înăsprit standardele.

APP 3 — Colectarea necesită notificare

Australian Privacy Principle 3 impune ca informațiile cu caracter personal să fie colectate doar prin mijloace legale și echitabile, cu notificare privind scopurile. Pentru cookie-urile care colectează informații cu caracter personal, aceasta înseamnă că o notificare vizibilă și informativă trebuie prezentată înainte sau la momentul colectării. Urmărirea ascunsă nu satisface APP 3.

APP 6 — Utilizarea și divulgarea necesită o corespondență a scopului

Informațiile cu caracter personal pot fi utilizate doar în scopul pentru care au fost colectate, pentru un scop secundar rezonabil legat sau cu consimțământul persoanei fizice. Partajarea datelor derivate din cookie-uri cu o platformă de publicitate digitală pentru publicitate comportamentală cu context încrucișat cade de obicei în afara scopului primar, ceea ce o împinge spre consimțământ.

Ghidul OAIC privind urmărirea

Ghidul OAIC din 2024 privind tehnologiile de urmărire este lipsit de ambiguitate: entitățile ar trebui să furnizeze un mecanism clar pentru ca persoanele fizice să se retragă din urmărire, iar pentru orice caz de utilizare care implică informații sensibile sau profilare pentru decizii semnificative, OAIC se așteaptă la consimțământ opt-in. Aceasta plasează publicitatea direcționată, retargetingul programatic, redarea sesiunilor și analiza comportamentală ferm pe teritoriul opt-in în practică, chiar dacă statutul nu a făcut-o obligatorie în fiecare caz.

Configurarea practică a CMP pentru 2026

Majoritatea editorilor care operează în Australia rulează acum un CMP care prezintă un banner cu trei stări: Acceptați, Respingeți și Personalizați. Pentru traficul din UE sau UK, opt-in-ul este strict. Pentru traficul australian, opt-in-ul este valoarea implicită recomandată pentru publicitatea direcționată și redarea sesiunilor, în timp ce analiza poate funcționa adesea sub un model de notificare și alegere atâta timp cât anonimizarea IP și minimizarea datelor sunt în vigoare.

Delictul statutar — Ce permite de fapt

Noul delict statutar este cea mai semnificativă schimbare pentru agenții de publicitate digitală în termeni practici. Anterior, numai OAIC putea aplica drepturile de confidențialitate, iar mijloacele de remediere individuale erau limitate. Delictul statutar schimbă acest lucru.

Ce este o încălcare gravă a confidențialității?

Delictul acoperă comportamentul intenționat sau imprudent care cauzează o încălcare gravă a confidențialității, fie prin intruziune în intimitate, fie prin utilizarea greșită a informațiilor private. Instanțele vor cântări gravitatea față de interesul public și alte considerente.

De ce ar trebui să le pese agenților de publicitate

Urmărirea agresivă, în special redarea sesiunilor care captează apăsările de taste și comportamentul cursorului pe paginile sensibile, amprenta care ocolește renunțarea unui utilizator sau legătura neautorizată a comportamentului anonim cu o identitate numită — toate acestea sunt acum baze factuale plauzibile pentru o cerere de delict. Așteptați-vă ca firmele reclamante să înceapă să testeze limitele în 2026. Australia nu are cultura acțiunilor colective din Statele Unite, dar acțiunile reprezentative sunt posibile și unele firme se poziționează în mod clar pentru acestea.

Children's Online Privacy Code

Children's Online Privacy Code este singura bucată cea mai specifică de reglementare nouă pentru editorii ai căror site-uri sunt susceptibile să fie accesate de copii.

Cine este în domeniul de aplicare

Codul se aplică serviciilor de rețele sociale, serviciilor electronice relevante susceptibile să fie accesate de copii și anumitor servicii de internet desemnate. În practică, aceasta depășește cu mult site-urile pur pentru copii — orice platformă de audiență generală la care un număr semnificativ de minori accesează este probabil să fie captată, iar OAIC se așteaptă să adopte o interpretare incluzivă.

Obligații principale așteptate în Cod

• Setări implicite de confidențialitate ridicată pentru utilizatorii cu vârsta sub 18 ani
• Restricții privind publicitatea direcționată pentru minori
• Interdicții privind modelele întunecate care împing copiii spre setări de confidențialitate mai slabe
• Explicații adecvate vârstei privind prelucrarea datelor
• Evaluări ale interesului superior al copilului înainte de implementarea funcționalităților care prelucrează informațiile lor cu caracter personal

Ce să pregătiți acum

Editorii al căror public include un număr semnificativ de vizitatori cu vârsta sub 18 ani ar trebui să înceapă să auditeze stiva lor de urmărire, configurația publicitară și setările implicite înainte ca Codul să fie finalizat. Adaptarea ulterioară este de obicei mai costisitoare și mai perturbatoare decât proiectarea conformității în stivă de la bun început.

Postura de aplicare în 2026

OAIC a primit resurse semnificativ îmbunătățite alături de reforme. Activitatea de audit a crescut, iar Comisarul a semnalat o abordare de aplicare mai publică.

Penalități în vigoare

Penalitatea civilă maximă pentru interferența gravă sau repetată cu confidențialitatea este cea mai mare dintre AUD 50 milioane, de trei ori beneficiul obținut din conduită sau 30% din cifra de afaceri ajustată a entității în perioada de încălcare. Reforma a introdus, de asemenea, un al doilea nivel de penalitate pentru orice interferență cu confidențialitatea care nu atinge pragul de gravitate, oferind OAIC instrumente de aplicare mai calibrate.

Încălcări de date notificabile

Australia are un sistem obligatoriu de notificare a încălcărilor de date din 2018, iar OAIC a fost vizibil agresiv în aplicare în urma principalelor incidente de încălcare a datelor australiene din 2022 și 2023. Orice incident legat de cookie-uri sau urmărire care duce la divulgare neautorizată este probabil în domeniu.

Transferuri transfrontaliere și trafic global

Australian Privacy Principle 8 impune entităților să ia măsuri rezonabile pentru a se asigura că destinatarii din străinătate gestionează informațiile cu caracter personal în mod consecvent cu APP-urile. Pentru un editor care utilizează tehnologie publicitară globală, aceasta înseamnă fie o jurisdicție cu legi substanțial similare, un angajament contractual obligatoriu din partea destinatarului din străinătate, fie consimțământul informat al persoanei.

Transferuri către Statele Unite

SUA nu este în prezent recunoscută ca având legi substanțial similare. Transferurile către furnizorii de tehnologie publicitară din SUA necesită prin urmare fie angajamente contractuale obligatorii, fie consimțământ explicit. Editorii care se bazează pe certificările Data Privacy Framework — care acoperă transferurile UE-SUA — ar trebui să rețină că aceste certificări nu satisfac automat cerința australiană APP 8.

Lista de verificare a auditului pentru traficul australian în 2026

• CMP prezintă opțiuni clare de Acceptare, Respingere și Personalizare cu proeminență vizuală egală pe traficul australian
• Publicitatea direcționată, retargetingul și redarea sesiunilor necesită consimțământ opt-in; analiza funcționează sub notificare plus minimizare de date
• Politica de confidențialitate identifică clar cookie-urile, urmărirea prin pixel și identificatorii publicitari, cu o declarație de scop aliniată la APP 3 și APP 6
• Mecanismele de transfer transfrontalier sunt documentate pentru fiecare operator non-australian (lista furnizorilor, protecții contractuale sau consimțământ)
• Luarea automată a deciziilor este divulgată acolo unde decizii semnificative sunt luate folosind astfel de sisteme
• Evaluarea pregătirii pentru Children's Online Privacy Code este completă, cu valori implicite ridicate de confidențialitate disponibile pentru utilizatorii minori detectați
• Revizuirea riscului de doxing este completă pentru orice funcționalitate care ar putea publica informații cu caracter personal transmise de utilizator
• Planul de răspuns la încălcarea datelor este aliniat la fereastra de notificare de 30 de zile și la formatul de raportare actual al OAIC

Perspectivele pentru 2026

Australia se află în mijlocul unei schimbări structurale de la un regim de confidențialitate mai ușor la unul care arată din ce în ce mai similar cu cadrele europene și californiene — cu propriile sale caracteristici australiene. Prima tranșă este deja aplicabilă și remodelează deja litigiile. A doua tranșă, inclusiv restrângerea scutirii pentru întreprinderile mici și reglementarea explicită a publicității direcționate, va intra probabil în vigoare în 2026 sau 2027. Editorii și agenții de publicitate care au investit într-o stivă de consimțământ la nivel GDPR au deja cea mai mare parte a mecanismelor de care au nevoie pentru a se conforma. Cei care s-au bazat pe postura istorică mai ușoară a Australiei intră în noul regim cu lacune cunoscute. Mișcarea corectă este să închidă aceste lacune acum — înainte ca delictul statutar, Codul Copiilor sau un audit OAIC să forțeze problema pe o cronologie pe care nimeni nu o controlează.