Chapter 22

Privacidad

En Australia, la legislación de privacidad afecta la forma en que las organizaciones manejan la información personal, llevan a cabo la vigilancia y participan en el marketing directo. Las leyes nacionales de privacidad y las leyes estatales de privacidad de la salud rigen la recopilación, uso, divulgación y transferencia de información personal y de salud.

La mayoría de las agencias del sector público estatal y territorial están reguladas por leyes de privacidad orientadas al estado (state-based), y en ocasiones se extienden a organizaciones del sector privado contratadas por esas agencias del sector público.

También existe una gama de leyes y códigos específicos que regulan información, industrias y actividades, incluyendo vigilancia, telecomunicaciones, marketing directo, sitios web, antecedentes penales, servicios financieros, registros gubernamentales, cibercrimen, robo de identidad, investigación social y de mercado y registros de empresas.

Este capítulo está diseñado para proporcionar una introducción a algunos de los principales regímenes.

22.1 Ley de Privacidad de 1988 (Privacy Act 1988 (Cth))

Principios de Privacidad en Australia 

Los Principios de Privacidad en Australia (APPs, por sus siglas en inglés, Australian Privacy Principles) aplican a las organizaciones del sector privado con una facturación anual de más de $3 millones de dólares australianos y sus empresas relacionadas, así como a algunos otras, incluidos proveedores de servicios de salud y organizaciones que comercian con información personal. Los APPs también aplican a las agencias del gobierno federal.

La Ley de Privacidad se extiende a las actividades de compañías extranjeras en Australia, y a las actividades de empresas extranjeras fuera de Australia, donde esas empresas realizan negocios en Australia, y recopilan o mantienen información personal en Australia. La Oficina del Comisionado de Información de Australia (OAIC, por sus siglas en inglés, Office of the Australian Information Commissioner) considera que la recopilación de información personal de un individuo ubicado en Australia es una colección "en Australia", incluso si la empresa que recopila la información se encuentra fuera de Australia en ese momento.

Es importante señalar que el alcance de la Ley de Privacidad difiere del modelo europeo en que la Ley de Privacidad no contempla los roles y las distinciones entre los “controladores de datos” y los “procesadores de datos”.

Los 13 APPs regulan la manera en que cualquier organización regulada puede recopilar, almacenar, usar y divulgar información personal. Se regula especialmente con respecto a la salud y otra información sensible, que incluye información personal sobre origen racial o étnico, creencias o afiliaciones religiosas, creencias políticas o filosóficas, pertenencia a un sindicato o asociación política o profesional, preferencias o prácticas sexuales, información genética y biométrica y antecedentes penales.

Algunas exenciones aplican, incluidos los registros de los empleados, los medios de comunicación y los partidos políticos.

Notificación de violación de datos

Entidades reguladas por los APPs también están sujetas al esquema de “infracciones de datos de notificación obligatoria”. Las entidades deben notificar de inmediato a la OAIC y a las personas afectadas cuando exista pérdida o acceso no autorizado o revelación de información personal, siendo probable que el incidente resulte en daños graves.

Informes de crédito

La Parte IIIA de la Ley de Privacidad y el Código de Privacidad (Informes de Crédito) (Privacy (Credit Reporting) Code) aplican al sistema de informes de crédito del consumidor de Australia, en virtud del cual los proveedores de crédito contribuyen y acceden a los historiales crediticios de consumidores de entidades de informes de crédito como Equifax Illion (anteriormente), Dun & Bradstreet y Experian. Los requisitos se relacionan principalmente con la información crediticia del consumidor, pero esto a veces se usa en relación con acuerdos de crédito comercial, por ejemplo donde están involucrados solo comerciantes o garantes.

Números de contribuyente fiscal

La Ley de Privacidad también se ocupa de la protección de los números de contribuyente fiscal, principalmente a través de la Regla de Privacidad (Números de Contribuyente Fiscal) (Privacy (Tax File Number) Rule) vinculante emitida por el Comisionado de Privacidad. Esta regla también complementa algunas disposiciones relacionadas en la legislación tributaria.

The Australian Privacy Principles (APPs) apply to private sector organisations with an annual turnover of more than A$3 million and their related companies, as well as some others including health service providers and organisations that trade in personal information. The APPs also apply to Federal government agencies.

The Act extends to the activities of foreign companies in Australia, and to the activities of foreign companies outside Australia, where those companies carry on business in Australia, and collect or hold personal information in Australia. The Office of the Australian Information Commissioner (OAIC) considers the collection of personal information from an individual located in Australia to be a collection ‘in Australia’, even if the company collecting the information is outside Australia at the time.

It is important to note that the approach of the Privacy Act differs from the European model in that the Privacy Act does not contemplate the roles of, and distinctions between, ‘data controllers’ and ‘data processors’.

The 13 APPs regulate the manner in which any regulated organisation can collect, store, use and disclose personal information.  Special provision is made with respect to health and other sensitive information, which includes personal information about racial or ethnic origin, religious beliefs or affiliations, political or philosophical beliefs, membership of a political, professional or trade union or association, sexual preferences or practices, genetic and biometric information and criminal record.

Some exemptions apply, including for employee records, media and political parties.

22.2 Spam

La Ley sobre el Spam de 2003 (Spam Act 2003 (Cth)) regula el envío de “mensajes electrónicos comerciales” por parte de cualquier persona (incluido personas) en, dentro o desde Australia. En la mayoría de los casos, los mensajes electrónicos comerciales no deben enviarse sin consentimiento, y deben incluir información de contacto válida y una manera de dar de baja la suscripción. La recolección y el uso de algunas listas de direcciones de correo electrónico recolectadas automáticamente también están prohibidas.

22.3 Telemercadeo y el Registro “No Llamar” (Do Not Call Register)

El Registro “No Llamar” se estableció en el 2006. Los tipos de números que pueden incluirse en el Registro incluyen números de teléfono residencial, móvil personal y fax. Los negocios deben “limpiar” sus listas de mercadeo teniendo a la vista el Registro para así evitar llamar o enviar faxes a esos números.

Una norma industrial obligatoria relacionada regula las llamadas de telemarketing y de investigación de mercado en general, incluidos los horarios prohibidos para llamadas, la información que se proporcionará durante las llamadas, los requisitos de terminación de las llamadas y el uso de la identificación de la línea de llamada.

22.4 Registros de salud

No obstante el hecho de que la Ley de Privacidad regula la manera en que se maneja toda la información personal (incluida la información de salud), existen leyes adicionales de registros de salud en tres jurisdicciones estatales / territoriales: Nueva Gales del Sur, Victoria y el Territorio de la Capital Australiana.

Estos regímenes de privacidad de la salud tienen muchas similitudes con los APPs, pero van más allá en algunas áreas, incluidas las personas fallecidas, los procedimientos de acceso a la información, los períodos de retención y los requisitos adicionales para los proveedores de servicios de salud.

El sistema electrónico de registros de salud australiano también incluye requisitos de privacidad específicos.

Los reguladores también han publicado una serie de pautas de privacidad relacionadas con la salud, incluso en relación con la investigación médica y la información genética.

22.5 Vigilancia

Leyes de dispositivos de vigilancia

Todos los estados y territorios tienen alguna forma de legislación sobre dispositivos de vigilancia. Estas leyes generalmente prohíben ciertos usos de los dispositivos de vigilancia y la información obtenida utilizando dispositivos de vigilancia, con algunas excepciones en relación a cumplimiento de la ley (law enforcement). Dependiendo de la jurisdicción, estas leyes pueden regular dispositivos de vigilancia óptica (por ejemplo, cámaras), dispositivos de escucha (por ejemplo, micrófonos), dispositivos de seguimiento de ubicación (por ejemplo, GPS) y dispositivos de vigilancia de datos.

La Comisión de Reforma Legislativa de Australia (Australian Law Reform Commission) ha recomendado la introducción de leyes nacionales de dispositivos de vigilancia para reemplazar las leyes estatales y territoriales existentes, incluso en relación con la vigilancia en el lugar de trabajo.

Vigilancia en el trabajo

Existe legislación específica sobre privacidad en el lugar de trabajo en Nueva Gales del Sur y el Territorio de la Capital Australiana. Esas leyes regulan la vigilancia por cámara abierta y secreta (overt and covert), vigilancia por computadora y de seguimiento, que incluyen:

  • requisitos para proporcionar a los empleados un aviso con 14 días de anticipación (a menos que se acuerde lo contrario) de la intención de comenzar la vigilancia;
  • provisión de vigilancia secreta por orden de un magistrado donde la conducta ilícita de los empleados es razonablemente sospechosa; y
  • prohibición de vigilancia en vestuarios, baños y aseos (el Estado de Victoria también tiene requisitos similares a este).

Interceptación de telecomunicaciones y dispositivos de escucha

Con respecto a las comunicaciones telefónicas, la Ley federal de Telecomunicaciones (Comienzo y Acceso) de 1979 (Telecommunications (Inception and Access) Act 1979 (Cth)) prohíbe escuchar o grabar comunicaciones que pasen por un sistema de telecomunicaciones sin el consentimiento o conocimiento de las partes de la comunicación.

La legislación sobre dispositivos de escucha y vigilancia en cada estado generalmente prohíbe el uso de un dispositivo de escucha para escuchar o grabar conversaciones privadas en las que el usuario no es parte sin el consentimiento de todas las partes.

 

22.6 Condenas pasadas

Todas las jurisdicciones australianas, excepto el Estado de Victoria, tienen leyes sobre “condenas pasadas” que limitan el uso y la divulgación de información sobre antiguas condenas criminales menores.

22.7 Derechos de Daño sobre privacidad

En consonancia con una tendencia generalizada en los países de derecho común, incluidos el Reino Unido y Nueva Zelanda, pareciera haber cierto movimiento en los tribunales australianos hacia el reconocimiento de nuevos derechos para indemnización de daños y perjuicios por invasiones a la privacidad en general, independiente de los recursos legales para el tratamiento inadecuado de información personal.

El gobierno federal está considerando legislar en esta área, después de haber publicado un informe de reforma legislativa el 2014 proponiendo un nuevo derecho a demandar por invasiones graves de privacidad, o un nuevo derecho de daños por acoso junto con una extensión del abuso de confianza para cubrir angustia emocional. El 2016 un informe de reforma de la ley en Nueva Gales del Sur también ha recomendado introducir un derecho a demandar por invasiones graves de privacidad.

22.8 Protección del consumidor

La Ley Australiana de Protección al Consumidor prohíbe ciertas tergiversaciones y conductas engañosas y falsas en el comercio en Australia. Esto puede ser relevante para el contenido de las políticas y declaraciones de privacidad, que a veces comprometen en exceso a las empresas al prometer cumplir con estándares de privacidad que exceden los requisitos legales y que son difíciles de mantener.

22.9 Cumplimiento de la Ley (enforcement)

La OAIC investiga quejas de individuos sobre interferencias con la privacidad que son contrarias a la Ley de Privacidad. La OAIC también tiene el poder de iniciar investigaciones de motu proprio sobre posibles infracciones de privacidad que no se relacionan con un demandante en particular.

Después de su investigación, la OAIC tiene la facultad de tomar una decisión ordenando una compensación y una acción reparadora, entre otras cosas, que se puede hacer cumplir en el Tribunal Federal o el Tribunal Federal de Magistrados (Federal Magistrates Court).

Ciertos incumplimientos de la Ley de Privacidad, la Ley sobre el Spam o la Ley sobre el Registro “No Llamar” pueden resultar en multas de hasta $1,8 millones de dólares australianos. Las autoridades regulatorias también pueden acordar compromisos ejecutables con entidades que incumplan estas Leyes.

En algunas jurisdicciones, contravenir las leyes de privacidad puede resultar en la imposición de multas o prisión. Por ejemplo, una infracción de la Ley de Dispositivos de Vigilancia de 1999 en el Estado de Victoria (Surveillance Devices Act 1999 (Vic)) puede resultar en pena de prisión por hasta dos años o la imposición de multas considerables.

Este capítulo está actualizado al 1 de marzo de 2019.

Last updated: 01/03/2019

Key contacts

Kaman Tsoi
Special Counsel
+61 3 9288 1336
Melbourne