El Fiscal General de Australia publicó recientemente el resultado de su tan esperada revisión de la Ley de Privacidad de 1988. Este es un paso significativo hacia la reforma de la ley de privacidad del país para mantener el ritmo del panorama digital en constante evolución.
El Informe de Revisión de la Ley de Privacidad, publicado el jueves, contiene 116 recomendaciones basadas en los comentarios y aportes de las partes interesadas durante los últimos dos años. El informe cubre 30 temas y recomendaciones clave relacionados con la regulación de la privacidad, incluida la protección de la información personal, la transparencia y la responsabilidad, y la aplicación de las leyes de privacidad.
Las recomendaciones del informe apuntan a fortalecer los derechos de privacidad de las personas y fortalecer el marco regulatorio sobre cómo las organizaciones manejan la información personal. Esto es especialmente importante dadas las recientes violaciones de datos de alto perfil y la mayor conciencia pública sobre los riesgos potenciales asociados con la recopilación y el uso de datos personales.
Se espera que el informe tenga un impacto significativo en las prácticas de privacidad de las empresas y organizaciones en Australia. Ha sido bien recibido por los defensores de la privacidad que lo ven como un paso positivo hacia una mayor protección de los derechos de privacidad de las personas. El informe ahora está siendo considerado por el gobierno y queda por ver qué recomendaciones se implementarán y cómo se implementarán.
Scott Hesford, Director – Ingeniería de Soluciones APAC, BeyondTrust
“Las organizaciones de hoy que entienden que realmente son los custodios de los datos personales de sus clientes e implementan fuertes controles de seguridad cibernética, tienen muchas más probabilidades de proteger la reputación de la marca, la lealtad del cliente y, por lo tanto, la rentabilidad. A la luz de la revisión de privacidad del gobierno, es importante tener en cuenta que la implementación de un marco de seguridad en cualquier empresa puede ayudar a centrarse en la evaluación de los datos que posee la empresa y también resaltar los actores de amenazas que enfrenta.
“En Australia, es posible que no necesitemos escribir un conjunto completamente nuevo de requisitos de seguridad cibernética legalmente vinculantes para organizaciones con información de identificación personal (PII), pero debemos asegurarnos de almacenar esos datos bajo las regulaciones apropiadas en línea con estrategias reconocidas. como el bien definido conjunto de directrices ASD Essential Eight. Esto incluye obligar a las organizaciones a administrar la limitación de los privilegios de administrador, limitar el acceso a datos confidenciales y controlar cuánto tiempo cualquier persona dentro de la organización puede acceder a las cuentas privilegiadas.
“De hecho, el marco The Essential Eight incluye una serie de puntos que los equipos de seguridad deben considerar como punto de partida. Además de restringir los privilegios de administrador, la aplicación de parches de software, el uso de capacidades de autenticación de múltiples factores tanto para los custodios de PII como para sus clientes, y los controles de aplicaciones (o quién puede ejecutar qué y dónde) están incluidos y pueden proporcionar fuertes medidas de seguridad para respaldar: los requisitos de privacidad de los clientes de la organización de acuerdo con la evolución de la legislación. Es posible que las organizaciones también deban mirar más allá de enfoques como la confianza cero para proteger verdaderamente los datos de sus clientes.
Glyn Geoghegan, director de seguridad y cumplimiento, Devicie
“No debería sorprender tanto que la Ley de privacidad existente esté un poco desactualizada y obsoleta.
“La información personal que voluntariamente, sin querer y sin saberlo exponemos a esos datos de minería ha crecido aparentemente de manera exponencial. Con los abusos de datos personales publicados recientemente (Cambridge Analytica), la pérdida de datos a los malos (Optus, Medibank) y el abuso general de nuestro uso de la información (mirándolo a usted, las redes sociales), ahora somos mucho más. conscientes de las implicaciones de compartir esa información.
“La Ley establece sólidos principios de seguridad que el Fiscal General reconoce correctamente el deseo de desarrollar. Sin embargo, mirar alrededor del mundo los estándares de oro del consentimiento informado y los derechos sobre nuestra información personal muestra que Australia ahora lidera el mundo corporativo en el reconocimiento formal de los derechos y responsabilidades individuales sobre esos datos.
“El unión Europea General Reglamento de Protección de Datos (el RGPD:) establece derechos claros para corregir, eliminar, controlar o transferir los datos de una persona, y que las organizaciones deben divulgar de manera precisa y justa lo que pretenden hacer con los datos. La Ley de Privacidad del Consumidor de California (CCPA) (y legislación similar en muchos estados de EE. UU.) permite a las personas optar por no comercializar sus datos.
“El informe del gobierno australiano reconoce que establecer estos derechos para los interesados dirige a las organizaciones a sus responsabilidades y las consecuencias si no los respetan.
“La Ley vuelve a mostrar sus orígenes en la era de los faxes y las llamadas telefónicas, en la incertidumbre sobre qué información se debe proteger y en la definición clara de las líneas de protección. El informe intenta abordar este problema aclarando qué datos se pueden utilizar actualmente.razonablemente utilizado para identificar a un individuo”., al tiempo que permite que la definición evolucione a medida que evolucionan la tecnología y el uso. ¿Podemos predecir cómo el aprendizaje automático y la IA se verán afectados por el consumo de cantidades masivas de datos de entrenamiento? ¿Se puede identificar razonablemente al músico por las progresiones de acordes que se muestran en el sencillo de ML? ¿Un artista desde sus pinceladas hasta el arte derivado?
“El nombre, la ciudad y el número de teléfono parecen obvios, pero un nombre de usuario, una dirección de correo electrónico que consta de primero.apellido@empresa, una dirección IP, ¿serían estas cosas que nuestro grupo en la década de 1980 podría haber imaginado como el siguiente paso en el acto? ? para ajustes. ¿Seguiré teniendo un número de móvil en otros 5, 10 o 25 años?
“El tercer pilar de la revisión se centra en cómo lidiar mejor con las fallas inevitables en torno a la protección de datos. Las páginas se enfocan en medidas punitivas que permiten a los tribunales y reguladores obtener la atención de los procesadores de datos (y están parcialmente arregladas por enmiendas aprobadas en diciembre de 2023). La experiencia del Reino Unido y la UE mostró que las multas más grandes proporcionaron un incentivo para que las organizaciones prestaran atención (había poca motivación cuando la multa era menor que el costo de la remediación).
“La verdadera fortaleza de la revisión parece estar en las partes de orientación y educación; ayudar a la persona a comprender qué datos son importantes y por qué, y posiblemente pensar dos veces antes de entregarlos y tener la oportunidad de cambiar de opinión.
“Además, las piezas de orientación y educación se centran en las organizaciones por qué y cómo deben regular, proteger y, lo que es más importante, respetar los datos de las personas (recordándoles sutilmente las consecuencias financieras y de otro tipo que pueden enfrentar si fallan).
Michael Bovalino, gerente de país de ANZ, LogRhythm
“La reforma de la Ley de Privacidad es una actualización bienvenida dado el alcance de la digitalización comercial que Australia ha logrado en los últimos años. Mientras tanto, las recientes infracciones de Optus y Medibank han mostrado a los ciudadanos cómo las regulaciones de protección de datos pueden afectarlos cuando tanta información personal se mantiene en confianza con las organizaciones con las que realizan transacciones comerciales.
“La reforma debería proporcionar una definición más clara de ‘Información personal’ y aplicar salvaguardas de seguridad a la información anonimizada, particularmente si es reidentificable”. Al mismo tiempo, dado que las pequeñas empresas tienen un 350 % más de probabilidades de ser blanco de ataques de ingeniería social, tiene sentido que la legislación no solo cubra a las pequeñas empresas, sino que también brinde apoyo a esas empresas para garantizar que tengan el tiempo y el presupuesto para adquirir para: la infraestructura adecuada y la capacitación necesaria para cumplir con las reformas.
“Además, si bien la reforma sugiere que los derechos individuales podrían basarse en el RGPD de la UE, esto otorga a los australianos el ‘derecho al olvido’, así como una mayor transparencia y control sobre cómo se procesan sus datos. En esta era en la que una simple búsqueda revela quién eres y hace que sea más fácil ver quién eres, es bueno tener esa opción disponible. Al mismo tiempo, las personas también deben tener cuidado a quién dan su consentimiento.
“Al final del día, las empresas deben buscar activamente cumplir con las diversas regulaciones de seguridad cibernética y protección de datos que se aplican a sus industrias. Después de todo, una investigación reciente de LogRhythm encontró que el 67 por ciento de las empresas perdieron un trato debido a la falta de confianza de sus prospectos en su seguridad en un momento en que la OAIC también busca un mandato mayor en relación con las investigaciones, consultas públicas y fallos. El cumplimiento le dará a una empresa una ventaja estratégica, especialmente cuando no es un requisito legal, ya que demuestra el compromiso de la empresa con la mitigación de riesgos. Esto, junto con las nuevas sanciones civiles introducidas, significa que ahora habrá una aplicación más estricta.
“En general, estas reformas continúan abordando cómo las empresas deben proteger los datos personales. Garantizarán que Australia siga siendo un lugar atractivo y de bajo riesgo para hacer negocios”.
Sigue nuestras historias en LinkedIn Gorjeo:Facebook e Instagram.