Preparación de las organizaciones australianas para la reforma de la Ley de Privacidad

Las organizaciones australianas están mostrando niveles variables de preparación en cuanto a la privacidad de datos, según la socia de Maddocks, Sonia Sharma, quien afirma que necesitan anticiparse a los cambios legislativos porque la conversación ya ha pasado del "Parlamento a la calle".

Preparación de las organizaciones australianas para la reforma de la Ley de Privacidad - Big Data | Imagen 1 Newsmatic

Sharma dijo que las organizaciones deberían actuar ahora para adoptar las mejores prácticas de privacidad fundamentales, de acuerdo con la guía de la Oficina del Comisionado de Información de Australia. La primera prioridad debería ser mapear los datos organizacionales y gestionar los riesgos significativos presentados por proveedores de terceros.

Índice de Contenido
  1. Reforma de la Ley de Privacidad para empoderar a individuos y reguladores
    1. Más derechos de datos para individuos
    2. Ampliación de los poderes regulatorios
  2. Organizaciones instadas a actuar antes de las reformas de la Ley de Privacidad
    1. Los reguladores perseguirán a los consejos de administración y ejecutivos
  3. El mapeo de datos organizacionales debe ser la máxima prioridad
    1. Organizaciones responsables de los proveedores de terceros

Reforma de la Ley de Privacidad para empoderar a individuos y reguladores

El informe de Respuesta a la Revisión de la Ley de Privacidad, publicado en 2023, hizo que el gobierno federal australiano estuviera de acuerdo con 38 de 116 propuestas, "de acuerdo en principio" con 68 y "tomar nota" de 10. Descrito como una respuesta tímida por algunos después de cuatro años de consulta, indicó tanto un amplio apoyo al cambio como un período adicional de consideración y consulta.

Algunos posibles cambios cuando el gobierno australiano legisle la reforma en 2024 incluyen la posible expansión del régimen a las empresas más pequeñas con un volumen de negocios de menos de AU $3 millones (US $1,9 millones). La firma de abogados Corrs Chambers Westgarth dijo que en el futuro las organizaciones podrían esperar lidiar con "individuos y reguladores empoderados".

Más derechos de datos para individuos

Preparación de las organizaciones australianas para la reforma de la Ley de Privacidad - Big Data | Imagen 2 Newsmatic

Las mejores herramientas de gobierno de datos de IBM para gestionar la información empresarialLas mejores herramientas de gobierno de datos de IBM para gestionar la información empresarial

En un asesoramiento al cliente, Corrs dijo que "es probable que los individuos tengan un conjunto de nuevos derechos con respecto a la recopilación y el manejo de su información personal, incluidos los derechos de explicación, corrección y eliminación, así como reclamaciones que puedan presentar cuando su información personal se maneje incorrectamente". La empresa explicó que esto incluiría "un derecho de acción directa por daños relacionados con la privacidad, así como un delito estatutario por invasiones graves de la privacidad".

Corrs señaló la posible imposición de más obligaciones relacionadas con la recopilación de información personal. Estas incluyen propuestas para imponer un estándar positivo de equidad y razonabilidad en todas las recopilaciones de información personal y el requisito de llevar a cabo Evaluaciones de Impacto de Privacidad para actividades de alto riesgo como el reconocimiento facial, ambos "acordados en principio" por el gobierno australiano.

Los individuos también tendrán pronto el derecho de solicitar información significativa sobre cómo se toman las decisiones automatizadas importantes sobre ellos, mientras que las políticas de privacidad deberán especificar qué información se utiliza para la toma de decisiones automatizadas. Esto podría significar que el aumento de la toma de decisiones basadas en la inteligencia artificial se acompañe de obligaciones legales más estrictas.

Ampliación de los poderes regulatorios

La OAIC verá fortalecidos sus poderes para regular el mal comportamiento de los datos como parte de las reformas de la Ley de Privacidad. Esto incluye una propuesta acordada para implementar un esquema de infracciones escalonado, que introduciría disposiciones de infracción de bajo y medio nivel.

Corrs dijo que, en general, los cambios pronto augurarían un enfoque más prolífico y uniforme de aplicación implementado por una OAIC empoderada y una "superficie de ataque" regulatoria más amplia para las empresas que procesan información personal de australianos.

Organizaciones instadas a actuar antes de las reformas de la Ley de Privacidad

Las organizaciones australianas muestran "un rango muy amplio de madurez en ciberseguridad y privacidad", dijo Sharma de Maddocks. Mientras que algunas están "bien avanzadas" en prácticas de privacidad y seguridad de datos, otras aún no han implementado las medidas básicas necesarias para cumplir con las futuras reformas de la Ley de Privacidad.

Los desafíos clave de las estrategias de autoservicio de datosLos desafíos clave de las estrategias de autoservicio de datos

"He visto organizaciones que no tienen un plan de respuesta ante violaciones de datos, que no tienen una política de retención de documentos y que no están llevando a cabo Evaluaciones de Impacto de Privacidad", dijo Sharma. "Todo esto está estipulado o se espera que se aplique como parte de las reformas de la Ley de Privacidad".

Después de una serie de grandes violaciones de datos que afectaron a millones de australianos, incluyendo al asegurador Medibank, la empresa de servicios financieros Latitude Financial y el proveedor de telecomunicaciones Optus, Sharma dijo que las expectativas de la comunidad han cambiado y las organizaciones ya no pueden permitirse esperar a que la ley se ponga al día.

"Mientras esperamos que estas reformas se materialicen, la conversación ha pasado del Parlamento a la calle; tu abuela sabe acerca de la privacidad", dijo Sharma. "Cosas como tener un plan de respuesta ante violaciones de datos que se pruebe y se comparta para reducir los tiempos de respuesta deben hacerse ahora mismo".

Los reguladores perseguirán a los consejos de administración y ejecutivos

Los reguladores australianos han advertido directamente a los consejos de administración y ejecutivos australianos que podrían ser objeto de acciones legales si adoptan un enfoque imprudente en cuanto a la preparación de la ciberseguridad y la privacidad de los datos, lo cual resulta en una mayor vulneración de la privacidad de los datos de los australianos.

Joseph Longo, presidente de la Comisión de Seguridad e Inversiones de Australia, dijo en una Cumbre Cibernética del Australian Financial Review en 2023 que la resiliencia cibernética "debe ser una prioridad principal" ahora para todos los consejos de administración en Australia, y ASIC estará preparada si ocurriera un incidente.

"Si las cosas salen mal, ASIC buscará el caso adecuado en el que los directores y los consejos de las empresas no hayan tomado medidas razonables o realizado inversiones razonables proporcionales a los riesgos que plantea su negocio", dijo Longo al AFR. "Puedo asegurarles que, en el caso adecuado, ASIC iniciará acciones legales si tenemos motivos para creer que no se tomaron dichas medidas".

Vale la pena invertir en minería de datos

El mapeo de datos organizacionales debe ser la máxima prioridad

Los líderes de TI dentro de las organizaciones deben centrarse en crear un mapa claro de los datos que una organización posee como máxima prioridad. Sharma de Maddocks dijo que esto sería el primer paso necesario para prepararse para cualquier cambio práctico que resulte de las reformas de la Ley de Privacidad. Como ejemplo, Sharma destacó el posible cambio hacia un enfoque más voluntario y específico para el consentimiento individual, y la creación de períodos claros de retención para la destrucción de datos.

"Si no tienes un mapa claro de los datos que recopilas y posees ahora, ¿cómo te prepararás para esas recomendaciones?", dijo Sharma. "Si no sabes qué consentimiento estás obteniendo, en qué sistemas se almacenan esos consentimientos, qué datos estás almacenando en todos los entornos de TI, ya sea en las instalaciones o en la nube, y qué períodos estableces actualmente para eso, será difícil estar preparado para estas reformas".

Sharma dijo que, con problemas como la retención excesiva de datos siendo un gran problema para muchas organizaciones que sufren violaciones, esto significa que aún "hay mucho trabajo por hacer" para algunas.

Organizaciones responsables de los proveedores de terceros

Los proveedores de terceros representan un "riesgo significativo", con muchas violaciones que involucran a proveedores de terceros. Solo un ejemplo es el de Latitude Financial, la mayor violación en la historia de Australia, que permitió a actores de amenazas acceder a través de un proveedor de terceros.

Sin embargo, las organizaciones son responsables de estos datos. Sharma dijo que deben buscar un enfoque de seguridad o privacidad desde el diseño antes de contratar a un tercero, lo que incluiría realizar Evaluaciones de Impacto de Privacidad y llevar a cabo una revisión detallada de las prácticas de seguridad.

"Debes tener controles técnicos estrictos en cuanto a cómo entienden el procesamiento de datos, si está encriptado, dónde se almacena, qué terceros están utilizando, cómo se monitorean las violaciones; debes entender esto en detalle antes de contratar a un proveedor de terceros", dijo Sharma.

Fase de análisis: Entendiendo lo que el cliente quiere

Según Sharma, el requisito de realizar Evaluaciones de Impacto de Privacidad para proyectos importantes es probable que se incluya en las próximas modificaciones de la Ley de Privacidad.

"Eso es algo que recomendaría que las personas hicieran ahora mismo, y eso está en línea con la guía de la OAIC", dijo Sharma.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Big Data, allí encontraras muchos artículos similares a Preparación de las organizaciones australianas para la reforma de la Ley de Privacidad , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.