Safetica > Resources > Australian Privacy Principles: alcance, finalidad y cómo cumplirlos

Australian Privacy Principles: alcance, finalidad y cómo cumplirlos

ago 2, 2023

Los 13 Australian Privacy Principles (APP) son la piedra angular del marco de protección de la privacidad del país en virtud de la Privacy Act 1988. Si eres una organización australiana con una facturación anual superior a 3 millones de AUD, deberías prestarles especial atención. Una infracción de los Australian Privacy Principles puede acarrear no solo medidas regulatorias sino, desde la primavera de 2023, sanciones máximas aún más elevadas.

En este artículo analizaremos los 13 Privacy Principles, su finalidad, el reciente Privacy Act Review Report, el cumplimiento y las sanciones.

¿Qué son los Australian Privacy Principles?

Como cabría esperar de cualquier normativa integral de protección de datos, la Australian Privacy Act regula la recopilación, el uso y la divulgación de los datos personales.

Los 13 Privacy Principles incluidos en la Privacy Act fomentan la transparencia, la equidad y el respeto a la privacidad de las personas, al tiempo que ofrecen a las organizaciones la flexibilidad necesaria para adaptar sus prácticas de tratamiento de la información a las necesidades de su modelo de negocio y de las personas a las que atienden. Además, son tecnológicamente neutros, lo que significa que pueden adaptarse a la evolución tecnológica. ¡Solo a Australia se le ocurriría crear una normativa de seguridad tan amigable!

En resumen, los APP cubren estas áreas de la protección de datos:

  • Recopilación, uso y divulgación de información personal: los APP establecen estándares sobre cómo las organizaciones pueden recopilar, usar y compartir información personal. Garantizan que los datos personales se obtengan de forma justa y se utilicen con fines legítimos.
  • Gobernanza de organizaciones y agencias: los principios subrayan la importancia de la rendición de cuentas y de una gestión responsable de la información personal por parte de las organizaciones.
  • Integridad y corrección de la información personal: las personas tienen derecho a acceder a su información personal y a corregirla para garantizar su exactitud e integridad.
  • Derechos de acceso a la información personal: las personas tienen derecho a solicitar acceso a la información personal que las organizaciones poseen sobre ellas.

A continuación analizaremos cada uno de los 13 principios.

australia-privacy-act

La finalidad de los Australian Privacy Principles

El objetivo central de los Australian Privacy Principles es lograr un equilibrio armónico entre la salvaguarda de la información personal y la flexibilidad que necesitan las organizaciones para adaptar sus prácticas de tratamiento de datos a sus necesidades de negocio. Al alcanzar este equilibrio, los APP buscan abordar dos aspectos clave:

Empoderar a las personas: los APP otorgan a las personas el control sobre los datos personales que las organizaciones comparten y manejan. Este empoderamiento promueve la transparencia y permite a las personas tomar decisiones informadas sobre cómo se utilizan sus datos.

Exigir responsabilidad: los principios establecen obligaciones claras para que las organizaciones rindan cuentas de sus actividades de tratamiento de datos. Al fijar estándares para la recopilación, el uso y la divulgación de datos, los APP garantizan que las empresas manejen la información personal de forma responsable y ética. Esto refuerza la confianza entre las organizaciones y sus clientes.

Los APP están diseñados para basarse en principios en lugar de ser excesivamente prescriptivos, lo que permite a las organizaciones adaptar sus prácticas de tratamiento de información personal a sus modelos de negocio específicos. Esta flexibilidad asegura que la regulación de la privacidad de los datos pueda mantener el ritmo de las tecnologías cambiantes y de los entornos empresariales en evolución, al tiempo que resulta más fácil de cumplir.

Alcance: ¿a quién se aplican los Australian Privacy Principles?

Los APP se aplican tanto a organizaciones del sector público como del sector privado en Australia. Para estar sujeta a los APP, una organización debe tener una facturación anual de 3 millones de AUD o más.

Además, también están sujetas a los APP otras organizaciones, como los proveedores privados de servicios sanitarios, las agencias de información crediticia y las personas que manejan información sobre el número de identificación fiscal (tax file number).

Pero también existen ciertas excepciones a los APP. Por ejemplo, los partidos políticos, las organizaciones benéficas registradas y determinados registros de empleados de las organizaciones pueden quedar exentos de algunas disposiciones de los APP.

Una visión general de los 13 Australian Privacy Principles

Entonces, ¿en qué consisten exactamente esas reglas mágicas que mantienen seguros los datos personales en Australia? Veamos brevemente cada uno de los 13 APP:

APP 1: Apertura y transparencia

Las organizaciones deben contar con una política de privacidad clara y accesible que explique cómo gestionan la información personal, incluidas sus prácticas de tratamiento de datos y cómo pueden las personas acceder a su información.

APP 2: Anonimato y seudonimato

Siempre que sea posible, las organizaciones deben ofrecer a las personas la opción de interactuar de forma anónima o utilizando un seudónimo.

APP 3: Recopilación de información personal solicitada

En el caso de información no sensible, su recopilación está permitida si resulta razonablemente necesaria para las funciones de la organización. La información sensible solo puede recopilarse si la persona da su consentimiento expreso.

APP 4: Información personal no solicitada

Si la información no se ha recopilado al amparo del APP 3, debe destruirse o desidentificarse rápidamente cuando sea razonable hacerlo. En caso contrario, puede conservarse y gestionarse conforme a los demás APP.

APP 5: Notificación de la recopilación de datos

Las organizaciones deben informar a la persona sobre la identidad de la organización y la finalidad de la recopilación de datos. Esto debe hacerse antes o en el momento de la recopilación o, si no es posible entonces, tan pronto como resulte viable a continuación.

APP 6: Uso y divulgación

La información personal debe usarse o divulgarse únicamente para los fines para los que fue recopilada, salvo que se aplique una excepción o que la persona consienta otro uso o divulgación.

APP 7: Marketing directo

Las organizaciones están obligadas a obtener el consentimiento de la persona antes de utilizar su información personal con fines de marketing directo.

APP 8: Divulgación transfronteriza

Antes de divulgar información personal a un destinatario extranjero, las organizaciones deben asegurarse de que dicho destinatario cumpla estándares de privacidad similares u obtener el consentimiento de la persona.

APP 9: Identificadores gubernamentales

Las organizaciones no deben adoptar identificadores gubernamentales (como los números de identificación fiscal) como sus propios sistemas de identificación.

APP 10: Calidad y seguridad de los datos

Las organizaciones deben adoptar medidas razonables para garantizar que la información personal que recopilan es exacta, está actualizada y se protege de forma segura frente a accesos no autorizados, usos indebidos o pérdidas.

APP 11: Acceso a la información personal

Las personas tienen derecho a acceder a la información personal que una organización mantenga sobre ellas, con sujeción a determinadas excepciones.

APP 12: Corrección de la información personal

Si la información personal de una persona es inexacta, está incompleta o desactualizada, las organizaciones deben adoptar medidas razonables para corregirla cuando se solicite.

APP 13: Conservación de los datos

La información personal no debe conservarse durante más tiempo del necesario para la finalidad para la que se recopiló, salvo que la ley exija su conservación o que la persona consienta una conservación más prolongada.

 

El Privacy Act Review Report

El Privacy Act Review Report, publicado por el Attorney-General en febrero de 2023, presenta 116 propuestas para revitalizar la Privacy Act 1988. La era digital es la principal causa de esta renovación.

Entre estas propuestas destacan algunas especialmente relevantes:

  1. El delito civil (statutory tort) de privacidad. El informe sugiere introducir un delito civil legal (un derecho legal) que aborde las invasiones graves de la privacidad, incluso cuando no se produzca un daño efectivo. Las personas podrían reclamar una indemnización por angustia emocional, y la Office of the Australian Information Commissioner (OAIC) podría intervenir en los procedimientos.
  2. Plazos más estrictos para notificar brechas de datos. Las organizaciones tendrán que notificar las brechas de datos a la OAIC en un plazo de 72 horas desde que tengan conocimiento de ellas, e informar a las personas afectadas lo antes posible. Es un cambio significativo respecto al periodo actual de 30 días, y además exige a las organizaciones aportar información detallada sobre su respuesta a la brecha.
  3. Modificación de la definición de consentimiento. La propuesta aclara que el consentimiento debe ser voluntario, informado, actual, específico e inequívoco. La OAIC puede ofrecer orientaciones sobre cómo deben recabar el consentimiento los servicios online, lo que podría obligar a rediseños de UX.
  4. Regulación de la publicidad personalizada. El informe propone prohibir el uso de información sobre las personas, incluidos datos personales, desidentificados y no identificados (como el historial de navegación en internet), para publicidad personalizada, especialmente cuando afecte a menores. Las personas tendrían derecho a oponerse.
  5. Evaluaciones obligatorias de impacto de privacidad (PIA) para actividades con un alto riesgo para la privacidad. Las PIA evaluarán los posibles impactos en la privacidad y las formas de mitigarlos.

El Privacy Act Review Report también propone reforzar la aplicación de la norma introduciendo nuevas sanciones civiles y ampliando las competencias de la OAIC. En concreto, las sanciones máximas por interferencias graves o reiteradas con la privacidad se han incrementado, pudiendo alcanzar hasta 50 millones de AUD o más. Es un paso destinado a aumentar la rendición de cuentas y a garantizar que las organizaciones se tomen en serio la protección de la privacidad.

Australian Privacy Principles: cómo cumplirlos

Si has determinado que tu organización entra en el ámbito de aplicación de los APP, ten en cuenta los siguientes pasos para asegurar el cumplimiento:

  1. Desarrolla una política de privacidad clara que explique a tus clientes las prácticas de tratamiento de datos.
  2. Implanta medidas para detectar y mitigar las amenazas internas que puedan provocar brechas de datos o accesos no autorizados. Considera peligros como las campañas de phishing y los riesgos asociados a los empleados en remoto.
  3. Obtén un consentimiento informado y específico para la recopilación de datos, especialmente cuando se trate de información sensible.
  4. Gestiona adecuadamente la información personal no solicitada, ya sea destruyéndola o desidentificándola si es necesario.
  5. Implanta medidas de seguridad sólidas para proteger los datos frente a brechas y accesos no autorizados. Un software de prevención de pérdida de datos, como el de Safetica, es una de las formas de facilitarlo.
  6. Realiza evaluaciones de impacto de privacidad para las actividades de alto riesgo.
  7. Proporciona avisos de privacidad para informar a las personas sobre la recopilación de datos.
  8. Responde con rapidez ante las brechas de datos, notificándolas a las partes afectadas y a la OAIC.
  9. Forma a los empleados en prácticas de protección de datos y privacidad.
  10. Designa a un responsable de privacidad que supervise el cumplimiento y los asuntos relacionados con la protección de datos.

Siguiendo estos pasos y revisando con regularidad tus prácticas de privacidad, podrás reforzar el cumplimiento de los APP en tu organización y generar confianza con tus clientes. Si te parece abrumador asumirlo por tu cuenta, plantéate aprovechar las funciones del software de prevención de pérdida de datos. Lo que nos lleva a...

Cómo las soluciones DLP de Safetica pueden ayudar con el cumplimiento de los APP

Contar con un partner experimentado puede aportarte tranquilidad. Utilizar una solución DLP robusta hará que la prevención de pérdida de datos sea más fácil, eficaz y rápida. Safetica dispone de herramientas para el cifrado de datos, los controles de acceso y la monitorización del movimiento de los datos, con el fin de impedir el acceso no autorizado a información sensible. Más concretamente:

  • Las organizaciones pueden proteger eficazmente la información sensible mediante cifrado de datos y controles de acceso.
  • La monitorización de datos y las alertas en tiempo real ayudan a detectar posibles brechas de datos y a responder con rapidez ante los incidentes.
  • Las evaluaciones de impacto de privacidad pueden realizarse de forma eficiente con las capacidades de monitorización y análisis de datos de Safetica.
  • El soporte de Safetica para la formación de empleados ayuda a concienciar sobre las buenas prácticas de protección de datos y privacidad.
  • Las funciones de detección de amenazas internas ayudan a identificar y prevenir posibles riesgos internos.

Con las soluciones DLP de Safetica, las organizaciones pueden reforzar la seguridad de sus datos, mitigar los riesgos para la privacidad, mantener el cumplimiento de los APP y salvaguardar la privacidad de la información personal de las personas.

Similar posts