El artículo del socio de Clyde & Co, Alec Christie, resalta una distinción fundamental entre la definición de «información personal» bajo la Ley de Privacidad («sobre un individuo») y su definición en la futura legislación de identificación digital.
Esta extiende la aplicación de las protecciones de la Ley de Privacidad con respecto al uso y divulgación de información personal a «atributos». Estos se definen como cualquier información «asociada con un individuo» que de otra manera no estaría cubierta por la definición de información personal de la Ley de Privacidad. Esto incluye el nombre, dirección, fecha de nacimiento, número de teléfono y correo electrónico de un individuo.
También incluye información derivada de otro atributo de ese individuo, como su edad derivada de su fecha de nacimiento, o la confirmación de que la persona tiene más de cierta edad, según el memorando explicativo de la Ley de Identificación Digital.
Además, los proveedores de identificación digital no pueden recopilar ciertos atributos de los individuos, como origen racial o étnico, opiniones políticas, creencias, afiliaciones u orientación sexual o prácticas, incluso con el consentimiento de los individuos. Tampoco pueden utilizar información personal para el perfilado de datos del uso de internet de los individuos o para fines de marketing.
Si una organización como un departamento o autoridad de un estado o territorio no está cubierta por la Ley de Privacidad, tendría que aceptar seguir los Principios de Privacidad Australiana en la ley para obtener la acreditación como proveedor de identificación digital.
Alec Christie, un socio de privacidad y digital de la firma de abogados Clyde & Co, acoge con satisfacción muchas de las disposiciones de privacidad de identificación digital, como la inclusión de entidades que no están cubiertas por la Ley de Privacidad y la ampliación de la información cubierta.
También acoge con satisfacción la exclusión de información como religión, afiliaciones políticas y sexualidad. Pero está preocupado por lo bien que se aplicarán en la práctica. «Seamos honestos: no hemos tenido un historial fantástico en este país de cumplimiento del 100% o de participación reguladora agresiva ‘hazlo o si no'», dice.
El Comisionado de Información será responsable de enjuiciar las violaciones de privacidad, pero un nuevo organismo formado por la Comisión Australiana de Competencia y Consumo será responsable de la regulación general de la identificación digital. Esto incluirá la formulación de reglas de privacidad.
Un individuo que desee una identificación digital de myGovID puede elegir qué tan sólida será la identificación, con una identificación ‘fuerte’ que requiere una selfie de la cara del individuo. Esta información biométrica utilizada para verificar la identidad de un individuo debería ser destruida después de que la verificación o autenticación esté completa, excepto si el individuo da su consentimiento expreso para la retención de su información biométrica.
Aun así, Christie dice que recopilar esta y otra información biométrica, como las huellas dactilares, conlleva riesgos, aunque pequeños. Los riesgos también son altos para las organizaciones y personas responsables de una violación de privacidad, tras las enmiendas de 2022 a la Ley de Privacidad. Una organización se enfrenta a una multa de $50 millones, tres veces el beneficio obtenido de la violación o el 30% de los ingresos de la organización durante el período de violación.
La legislación de identificación digital permite al ministro responsable permitir la divulgación de información biométrica cuando el individuo lo consiente. Digital Rights Watch, un grupo de académicos, abogados de derechos humanos y especialistas en tecnología de la información, está preocupado de que este requisito no sea lo suficientemente riguroso.
Digital Rights Watch señala que si bien una Ley de Identificación Digital permitirá la divulgación de información de los individuos a las fuerzas del orden de acuerdo con la Ley de Privacidad, se opone firmemente a «cualquier reutilización de datos o infraestructura de identificación digital para fines de vigilancia».
Los individuos deberían poder utilizar voluntariamente una identificación digital sin preocupaciones de que hacerlo pueda utilizarse posteriormente para permitir la vigilancia masiva. Tales preocupaciones socavan la confianza pública en estos sistemas. Prohibir el uso de datos de identificación digital con fines de aplicación de la ley es la forma más efectiva de prevenir esto.
La Oficina del Comisionado de Información de Australia apoya el marco de privacidad de la identificación digital. «Al aplicarse a todas las entidades acreditadas, las salvaguardias adicionales de privacidad y los requisitos de notificación de violación de datos promueven un nivel consistente de protección de la privacidad», dice la OAIC en su presentación a la investigación del Senado sobre el proyecto de ley.
El gobierno está en medio de introducir las mayores reformas a la Ley de Privacidad de 35 años en una generación. Si bien el gobierno ha respaldado muchas de las conclusiones de la revisión de la Ley de Privacidad del año pasado, aún no ha legislado el cambio.
Esto crea un problema, argumenta la Coalición en su informe disidente del comité legislativo de economía del Senado. Argumenta que el proyecto de ley de identificación digital solo debería ser aprobado una vez que se introduzcan las reformas de la Ley de Privacidad en el Parlamento para asegurar que la privacidad, las protecciones de datos y los requisitos de cumplimiento sean consistentes y coordinados en diversas legislaciones relacionadas.
«Para que un sistema de acreditación de identificación digital sea viable, debe ser consistente con la legislación existente, especialmente con respecto a las protecciones de privacidad y los requisitos de retención.» especifica el experto Alec.
Autor: Clyde&Co
