Tomó un tiempo, pero el Proyecto de Ley de Enmienda de Privacidad de 2016 finalmente se aprobó en la legislación el año pasado después de obtener la aprobación real para convertirse en ley, y sus condiciones se aplicarán a partir de hoy.
Con vigencia inmediata, la ley exige que todas las empresas australianas, las organizaciones sin fines de lucro y las agencias gubernamentales con un volumen de negocios anual de $ 3 millones o más, informen todas y cada una de las infracciones de datos que involucren datos personales de los clientes. Si no se informa una infracción, se pueden generar multas masivas de hasta $ 2 millones.
Las empresas tendrán hasta 30 días para informar el incumplimiento, no solo a la Oficina del Comisionado de Información de Australia (OAIC), sino a cualquier persona afectada si corren el riesgo de “daños graves”.
El comisionado de Información, Timothy Pilgrim, dijo en un comunicado que el esquema Notifiable Data Breaches (NDB) “[refuerza] la responsabilidad de la protección de la información personal” y “respalda una mayor confianza de los consumidores y la comunidad en la gestión de datos”.
Tosiendo
Si no se cumple con la ley, las compañías recibirán una multa de hasta $ 2.1 millones, pero también podría costarles a los individuos una multa de hasta $ 420,000.
Si bien estas multas pueden ser poco más que una abolladura en las cuentas de las grandes organizaciones, las pequeñas empresas podrían quedar paralizadas si necesitan gastar millones de dólares en multas.
La OAIC espera que el potencial para perder negocios pueda hacer que las empresas, especialmente las pequeñas empresas, cumplan con la ley. “Uno de los mayores riesgos que tienen es perder la confianza de sus clientes”, agregó Pilgrim.
Hablando
Aunque las empresas tienen 30 días para informar sobre cualquier violación de datos, el límite de tiempo podría extenderse si las autoridades investigaran el incidente y el conocimiento público podría impedir el proceso.
Sin embargo, si la compañía confía en que la violación se ha contenido y los clientes no corren ningún riesgo, podrían estar exentos de informar el incidente.
Y no solo las empresas australianas están obligadas a denunciar incumplimientos: cualquier compañía extranjera que opere en suelo australiano también está sujeta a la ley. La OAIC también puede trabajar con autoridades extranjeras para investigar fugas internacionales.
“Hace dos años, mi oficina realizó una investigación conjunta con la oficina del comisionado canadiense en la violación de Ashley Madison “, explicó Pilgrim. “Encontramos a Ashley Madison en incumplimiento bajo nuestras leyes”.
Si bien el esquema de NDB puede no ser la ley más estricta en comparación con otros países, se lo considera un avance positivo en la protección de la información personal de los australianos.
- Proteja a su empresa de los ataques cibernéticos: obtenga los mejores productos y soluciones de ciberseguridad para las empresas .
