.
A Austrália está mudando suas leis de privacidade, para que as empresas de telecomunicações possam trabalhar melhor com instituições de serviços financeiros e agências governamentais para mitigar o impacto de uma violação de dados nos clientes. As alterações propostas à Lei de Regulamentos de Telecomunicações de 2021 do país permitirão o compartilhamento temporário de alguns dados pessoais para facilitar esses esforços.
O governo federal disse que as alterações protegeriam melhor os australianos após a violação de dados da Optus no mês passado, que comprometeu vários dados de clientes, incluindo detalhes de documentos de identificação, como carteira de motorista e números de passaporte.
As mudanças regulatórias propostas permitiriam que as empresas de telecomunicações no país compartilhassem temporariamente certos dados de identificação do governo, como Medicare e números de passaporte, com provedores de serviços financeiros. Isso visa facilitar o monitoramento e as proteções aprimoradas para os clientes afetados por uma violação de dados, disse o escritório do tesoureiro australiano Jim Chalmers em comunicado na quinta-feira.
Ele acrescentou que as alterações permitiriam uma melhor coordenação entre as empresas de telecomunicações, instituições financeiras e agências governamentais federais e estaduais para detectar e mitigar os riscos de incidentes de segurança cibernética.
“Os regulamentos propostos foram cuidadosamente projetados com fortes salvaguardas de privacidade e segurança para garantir que apenas informações limitadas possam ser disponibilizadas para determinados fins”, disse Chalmers.
As alterações se aplicarão a todas as instituições financeiras regulamentadas pela Australian Prudential Regulation Authority (APRA), excluindo filiais de bancos estrangeiros, com as informações de identificação pessoal apenas para “prevenir ou responder” a incidentes de segurança cibernética, fraude, atividades fraudulentas ou casos de roubo de identidade.
De acordo com as alterações propostas, o Ministro das Comunicações também terá poderes para especificar entidades de serviços adicionais, quando necessário, que estejam relacionadas ou que apoiem uma organização regulamentada pela APRA.
As entidades que desejam receber os dados precisam apresentar compromissos por escrito à Comissão Australiana de Concorrência e Consumidores (ACCC) de que cumprirão suas obrigações, descritas na Lei de Privacidade de 1998, e atestar à APRA que atendem a todos os padrões relevantes de segurança de dados. Devem também confirmar, por escrito, que os dados que procuram são “necessários e proporcionais”.
Além disso, os destinatários aprovados das informações do identificador devem atender aos requisitos e protocolos de segurança da informação para qualquer transferência e armazenamento de dados. As informações também devem ser destruídas quando não forem mais necessárias.
O grupo de trabalho de segurança cibernética do Conselho de Reguladores Financeiros examinará e relatará ainda as opções para aprimorar a capacidade das instituições de serviços financeiros de identificar clientes e credenciais sob risco de comprometimento.
Chalmers disse: “As mudanças propostas permitirão maior detecção de fraudes no setor de serviços financeiros mais amplo por meio de mecanismos existentes do setor para relatar transações fraudulentas, como trocas de informações sobre fraudes.
“As instituições financeiras podem desempenhar um papel importante ao direcionar seus esforços para proteger os clientes com maior risco de atividades fraudulentas e golpes após a recente violação da Optus. Essas novas medidas ajudarão a proteger os clientes contra golpes e na detecção de fraudes em todo o sistema ,” ele disse.
Após a violação de dados da Optus, ele observou que o governo estava trabalhando com bancos e reguladores financeiros para “facilitar o compartilhamento seguro de dados” entre a telco de propriedade da Singtel e as instituições financeiras regulamentadas.
Comentando as mudanças regulatórias planejadas, a APRA disse que trabalharia com a ACCC e órgãos governamentais relevantes para coordenar as etapas necessárias e gerenciar o “processo controlado” de compartilhamento de dados entre a Optus e as entidades reguladas pela APRA. Reiterou que os dados compartilhados seriam usados apenas para fins de monitoramento e proteção dos clientes afetados pela violação de dados.
Entre a base de clientes da Optus de 9,8 milhões, 1,2 milhão tinha pelo menos um número de uma forma atual e válida de informações de identificação pessoal que foi comprometida na violação. Os dados comprometidos dos 7,7 milhões de clientes restantes não continham números de identificação válidos ou atuais, mas incluíam outros dados pessoais, como endereços de e-mail, datas de nascimento e números de telefone.
A empresa de telecomunicações australiana disse na segunda-feira que nomeou a Deloitte para realizar uma “análise externa independente” da violação, que abrangeria uma avaliação de seus sistemas, controles e processos de segurança.
O Office of the Australian Information Commissioner (OAIC) revelou na semana passada que estava buscando informações da Optus para garantir que a telco cumprisse os requisitos descritos no esquema Notifiable Data Baches (NDB).
Aplicável a organizações cobertas pela Lei de Privacidade de 1988, o esquema NDB exige que os indivíduos afetados e o OAIC sejam notificados “o mais rápido possível” se a organização sofrer uma violação de dados que possa resultar em sérios danos a indivíduos cujas informações pessoais sejam comprometidas .
A comissária australiana de informações e comissária de privacidade, Angelene Falk, disse que a revisão atual da Lei de Privacidade forneceria uma dissuasão mais forte de violações envolvendo informações pessoais. “A estrutura regulatória precisa mudar o dial para colocar mais responsabilidade nas organizações que são os guardiões dos dados dos australianos, para prevenir e remediar danos a indivíduos causados pelo manuseio de suas informações pessoais”, disse Falk.
COBERTURA RELACIONADA
.
