Os 13 Australian Privacy Principles (APPs) são a pedra angular do enquadramento de proteção da privacidade do país ao abrigo do Privacy Act 1988. Se é uma organização australiana com um volume de negócios anual superior a 3 milhões de AUD, deve prestar muita atenção. Uma violação dos Australian Privacy Principles pode levar não só a ações regulatórias mas, desde a primavera de 2023, a sanções máximas ainda mais elevadas.
Neste artigo, exploraremos os 13 Privacy Principles, a sua finalidade, o recente Privacy Act Review Report, a conformidade e as sanções.
Como faria qualquer regulamento abrangente de proteção de dados, o Australian Privacy Act rege a recolha, utilização e divulgação de dados pessoais.
Os 13 Privacy Principles dentro do Privacy Act promovem transparência, equidade e respeito pela privacidade das pessoas, ao mesmo tempo que conferem às organizações flexibilidade para adaptarem as suas práticas de tratamento de informação às necessidades dos seus modelos de negócio e das pessoas que servem. São também tecnologicamente neutros, o que significa que se podem adaptar a tecnologias em mudança. É preciso ser a Austrália para criar um regulamento de segurança simpático!
Em resumo, os APPs abrangem estas áreas de proteção de dados:
Vamos analisar cada um dos 13 princípios abaixo.
O objetivo central dos Australian Privacy Principles é encontrar um equilíbrio harmonioso entre a salvaguarda da informação pessoal e a flexibilidade das organizações para adaptarem as suas práticas de tratamento de dados às necessidades do negócio. Ao alcançar este equilíbrio, os APPs visam abordar dois aspetos fundamentais:
Capacitar as pessoas: Os APPs conferem às pessoas controlo sobre os dados pessoais que são partilhados e tratados pelas organizações. Esta capacitação promove a transparência e permite às pessoas tomar decisões informadas sobre como os seus dados são utilizados.
Reforçar a responsabilização: Os princípios estabelecem obrigações claras para que as organizações sejam responsáveis pelas suas atividades de tratamento de dados. Ao estabelecer padrões para a recolha, utilização e divulgação de dados, os APPs garantem que as empresas tratam a informação pessoal de forma responsável e ética. Isto fomenta a confiança entre as organizações e os seus clientes.
Os APPs foram concebidos para serem baseados em princípios em vez de excessivamente prescritivos, permitindo às organizações adaptarem as suas práticas de tratamento de informação pessoal aos seus modelos de negócio específicos. Esta flexibilidade garante que as regulamentações de privacidade de dados podem efetivamente acompanhar tecnologias em mudança e ambientes de negócio em evolução, sendo também mais fáceis de cumprir.
Os APPs aplicam-se tanto a organizações do setor governamental como privado na Austrália. Para ser abrangida pelos APPs, uma organização tem um volume de negócios anual de 3 milhões de AUD ou superior.
Adicionalmente, algumas outras organizações, como prestadores privados de serviços de saúde, organismos de informação de crédito e indivíduos que tratam informação relativa ao número de identificação fiscal, estão também sujeitos aos APPs.
Mas existem também certas exceções aos APPs. Por exemplo, partidos políticos, instituições de solidariedade registadas e certos registos de colaboradores de organizações podem estar isentos de algumas disposições dos APPs.
Então, o que são exatamente estas regras mágicas que mantêm os dados pessoais da Austrália em segurança? Vejamos brevemente cada um dos 13 APPs:
As organizações têm de ter uma política de privacidade clara e acessível que explique como gerem a informação pessoal, incluindo as suas práticas de tratamento de dados e como as pessoas podem aceder à sua informação.
Sempre que possível, as organizações devem dar às pessoas a opção de interagir anonimamente ou usando um pseudónimo.
Para informação não sensível, a recolha é permitida se for razoavelmente necessária para as funções da organização. Informação sensível só pode ser recolhida se a pessoa der explicitamente o seu consentimento.
Se a informação não for recolhida ao abrigo do APP 3, deve ser destruída ou desidentificada prontamente, se razoável. Caso contrário, pode ser conservada e gerida ao abrigo de outros APPs.
As organizações têm de informar a pessoa sobre a identidade da organização e a finalidade da recolha de dados. Isto deve ser feito antes ou no momento da recolha, ou logo que possível depois, se não for viável no momento.
A informação pessoal só deve ser utilizada ou divulgada para as finalidades para as quais foi recolhida, salvo se aplicável uma exceção ou se a pessoa consentir noutra utilização ou divulgação.
As organizações são obrigadas a obter o consentimento da pessoa antes de utilizar a sua informação pessoal para fins de marketing direto.
Antes de divulgar informação pessoal a um destinatário estrangeiro, as organizações têm de garantir que o destinatário cumpre padrões de privacidade semelhantes ou obter o consentimento da pessoa.
As organizações não devem adotar identificadores governamentais (como números de identificação fiscal) como os seus próprios sistemas de identificação.
As organizações têm de tomar medidas razoáveis para garantir que a informação pessoal que recolhem é exata, atualizada e protegida em segurança contra acessos não autorizados, utilização indevida ou perda.
As pessoas têm o direito de aceder à informação pessoal que uma organização detém sobre si, sujeitas a certas exceções.
Se a informação pessoal de uma pessoa for inexata, incompleta ou desatualizada, as organizações têm de tomar medidas razoáveis para a corrigir mediante pedido.
A informação pessoal não deve ser mantida por mais tempo do que o necessário para a finalidade para a qual foi recolhida, salvo se a lei exigir conservação ou a pessoa consentir num armazenamento prolongado.
O Privacy Act Review Report, publicado pelo Attorney-General em fevereiro de 2023, apresenta 116 propostas destinadas a revitalizar o Privacy Act 1988. A era digital é a responsável por esta reforma.
Entre estas propostas, várias são de destacar:
O Privacy Act Review Report propõe também reforçar a aplicação da lei introduzindo novas sanções civis e alargando os poderes do OAIC. Notavelmente, as sanções máximas para interferências graves ou repetidas com a privacidade foram aumentadas, podendo as sanções atingir até 50 milhões de AUD ou mais. Este é um passo destinado a aumentar a responsabilização e garantir que as organizações levam a sério a proteção da privacidade.
Se determinou que a sua organização cai no âmbito dos APP, considere estes passos para garantir a conformidade:
Ao seguir estes passos e ao rever regularmente as suas práticas de privacidade, pode reforçar a conformidade da sua organização com os APPs e construir confiança com os seus clientes. Se isso lhe parecer esmagador para enfrentar sozinho, considere tirar partido das funcionalidades do software de prevenção da perda de dados. O que nos leva a...
Ter um parceiro experiente pode ajudar a dar-lhe tranquilidade. Usar uma solução de DLP robusta tornará a proteção contra a perda de dados mais fácil, mais eficaz e menos morosa. A Safetica tem ferramentas para encriptação de dados, controlos de acesso e monitorização do movimento de dados para evitar acessos não autorizados a informação sensível. Mais especificamente:
Com as soluções de DLP da Safetica, as organizações podem reforçar a sua segurança de dados, mitigar riscos de privacidade, manter a conformidade com os APPs e salvaguardar a privacidade da informação pessoal das pessoas.