Derecho de Datos del Consumidor de Australia, requisitos y sanciones
El Derecho de Datos del Consumidor o CDR, por sus siglas, es una ley integral de protección de datos orientada a otorgar a los ciudadanos australianos más control sobre los datos personales y la información que comparten con entidades comerciales y terceros. Aprobado en julio de 2020, el CDR fue diseñado como “una reforma de la economía que se desarrollará sector por sector” en tres fases independientes. La fase 1 estuvo orientada en gran medida al sector bancario australiano, mientras que las fases 2 y 3 se dirigen al sector de la energía y las telecomunicaciones. Lo previsto es que la normativa del CDR se aplique a todas las Instituciones de Depósito Autorizadas (ADI) que operen en el país.
¿Cuáles son los requisitos de las entidades comerciales en el marco del CDR?
Las entidades comerciales deben cumplir con varios parámetros según las condiciones y términos del CDR. Es notorio que el CDR es un servicio de inclusión voluntaria, lo que significa que los ciudadanos australianos mantienen el derecho a elegir si conceden o no el consentimiento a los proveedores de servicios en relación con la recogida de su información o datos personales. Por tanto, los proveedores de servicios deben cumplir con los siguientes requisitos al obtener el consentimiento de los ciudadanos australianos:
- Expresar exactamente qué información se compartirá y cómo será utilizada.
- Detallar quién tendrá acceso a los datos personales del consumidor.
- Exponer durante cuánto tiempo tendrá dicho proveedor de servicios acceso a los datos personales del consumidor.
- Explicar a los consumidores el proceso que pueden seguir para gestionar y retirar su consentimiento.
Existen dos tipos de proveedores de servicios según las disposiciones del CDR. El primer tipo está conformado por los Destinatarios de Datos Acreditados, quienes son los “receptores” de datos personales e información en virtud del CDR. Estos proveedores de servicios reciben los datos personales de los consumidores australianos después de haber recibido su consentimiento. Las organizaciones y entidades comerciales de Australia deben solicitar que se les reconozca como Destinatarios de Datos Acreditados, así como demostrar que son capaces de cumplir con los estrictos requisitos relativos a la recepción de datos personales.
Por otra parte, los Portadores de Datos son el segundo tipo de proveedores de servicios en el marco del CDR. Como su nombre lo indica, los Portadores de Datos son proveedores de servicios que tienen en su poder los datos personales de los consumidores una vez que han sido procesados por un Destinatario de Datos Acreditado. Un ejemplo de esta relación ocurre cuando una empresa recopila los datos personales de un consumidor australiano en el papel de Destinatario de Datos Acreditado, mientras que un banco recoge y almacena estos datos en el papel de Portador de Datos.
El CDR obliga a los Portadores de Datos a compartir los datos de un consumidor con un Destinatario de Datos Acreditado, si dicho consumidor se lo indica. Por otra parte, algunos proveedores de servicios han recibido el mandato de poner los datos de sus clientes a disposición de Destinatarios de Datos Acreditados que lo soliciten. Esta facilidad fue establecida por el CDR para ayudar a extender el alcance de la ley a todas las industrias y sectores dentro de Australia. Para cumplir con lo normado por el CDR, los Destinatarios de Datos Acreditados y Portadores de Datos deben cumplir una lista de requisitos distinta.
En virtud del CDR los Destinatarios de Datos Acreditados están legalmente obligados a llevar a cabo lo siguiente:
- Definir e implementar una gobernanza de seguridad – En virtud del CDR los Destinatarios de Datos Acreditados están obligados a establecer una política formal de seguridad de la información, así como proporcionar a los consumidores documentación relativa a sus procesos de seguridad y gestión de la información.
- Definir los límites del entorno de datos – Los proveedores de servicios están obligados a definir y documentar los límites específicos de su entorno de datos.
- Tener y mantener una capacidad de seguridad de la información – Los proveedores de servicios deben desarrollar y mantener un nivel de capacidad de seguridad de la información que cumpla con los controles de seguridad de la información descritos en las normas del CDR.
- Implementar un Programa de Evaluación de Controles Formales – Los proveedores de servicios son responsables de implementar un programa de evaluación de controles formales que mida la efectividad de sus capacidades de seguridad de la información.
- Gestionar y notificar los incidentes de seguridad– Los proveedores de servicios están obligados a gestionar y notificar los incidentes de seguridad de la información, incluidos los planes específicos de respuesta de seguridad de los datos.
Por su parte los Portadores de Datos deben cumplir los siguientes requisitos en virtud del CDR:
- Transferir rápidamente los datos personales de los consumidores australianos en un formato legible por máquina tras recibir una solicitud a través del sistema seguro del CDR.
- Divulgar información general sobre los productos que ofrecen, tipos de interés, gastos y comisiones aplicables, entre otras particularidades de sus empresas.
- Desarrollar y mantener una política de derecho de datos de los consumidores que contenga información específica sobre el proceso interno de disputa de los proveedores de servicios. En esta se incluirá lo referido a dónde, cuándo y cómo un consumidor puede presentar una queja, cuándo puede esperar una respuesta o reconocimiento de su queja, qué información necesita proporcionar un consumidor en una queja, el proceso específico que los Portadores de Datos utilizan para gestionar las quejas relativas al CDR, cuánto tiempo durarán las etapas de dicho proceso, las opciones de indemnización, así como las opciones de evaluación externa e interna.
- Crear y mantener registros de los datos del CDR, incluidas las autorizaciones de los consumidores para revelar dichos datos, las retiradas de dichas autorizaciones, las notificaciones de las retiradas de dichos consentimientos, la divulgación de todos los datos concernientes a la respuesta a la solicitud de datos de un consumidor, los casos específicos en los que los datos de los consumidores no se han revelado debido a una exención de la obligación de los proveedores de servicios y los datos de las reclamaciones relativas al CDR.
- Generar y presentar informes a la Comisión Australiana de Competencia y Consumo (ACCC) y a la Oficina del Comisionado de Información Australiano (OAIC). Dichos informes deben presentarse dos veces al año, ser redactados y presentados de acuerdo con las directrices de formato indicadas por el CDR e incluir información específica que detalle lo siguiente: un resumen de todas las reclamaciones relativas al CDR que el proveedor de servicios recibió durante el año, el número de solicitudes de datos generales sobre productos recibidas, el número de solicitudes de datos de los consumidores realizadas por los propios consumidores, el número de solicitudes de datos de los consumidores realizadas por los Destinatarios de Datos Acreditados en nombre de los consumidores durante un período de informe anual, así como el número de solicitudes de datos de los consumidores que el proveedor de servicios rechazó durante dicho período.
¿Cuáles son las sanciones por incumplimiento en el marco del CDR?
La Comisión Australiana de Competencia y Consumo y la Oficina del Comisionado de Información Australiano supervisan y aplican lo normado por el CDR. A diferencia de muchas otras leyes de protección de privacidad en el mundo, que castigan a las organizaciones y entidades comerciales que no cumplen con la normativa mediante multas administrativas o posibles penas de cárcel, el CDR contiene una variedad de mecanismos de control. Estos mecanismos incluyen:
- resoluciones administrativas
- avisos de infracción
- compromisos judiciales
- suspensión o revocación de acreditaciones
- determinaciones y declaraciones de poder
- procedimientos judiciales (Estos incluyen sanciones civiles, mandatos judiciales y órdenes judiciales que inhabilitan a determinados individuos para ser directores de empresas.)
El CDR constituye un gran paso en la protección de los derechos de los datos personales de los ciudadanos australianos. Mientras que muchos países que han aprobado leyes de privacidad de datos en los últimos años han modelado dichas normativas inspirándose en la infraestructura y el lenguaje del Reglamento General de Protección de Datos de la UE (GDPR), el CDR de Australia se ha propuesto crear su propio marco legal para abordar las violaciones de privacidad dentro del país. De este modo, los ciudadanos australianos pueden estar seguros de que sus datos están protegidos en todo momento cuando realizan transacciones comerciales.
