National Disability Data Asset (Archivio nazionale dei dati sulla disabilità) e Australian National Data Integration Infrastructure (Piattaforma nazionale australiana per l'integrazione dei dati)
Il Ministero per i servizi sociali sta lavorando con l'Istituto australiano di statistica (Australian Bureau of Statistics - ABS) e l'Istituto australiano per la salute e i servizi sociali (Australian Institute of Health and Welfare - AIHW) per creare l'Archivio nazionale dei dati sulla disabilità. Chiamiamo queste tre agenzie governative australiane Commonwealth Partners (Partner del Commonwealth).
Anche gli Stati e i Territori, così come la comunità delle persone disabili, sono coinvolti nello sviluppo dell'Archivio dei dati sulla disabilità. Il National Disability Data Asset Council (il Consiglio nazionale dell’archivio dei dati sulla disabilità) supervisiona gli usi dell’archivio, grazie alla condivisione del processo decisionale tra il governo e la comunità delle persone disabili. L’archivio dei dati sulla disabilità raggruppa informazioni de-identificate provenienti da diverse agenzie governative riguardanti tutti gli australiani per comprendere meglio gli esiti per le persone con disabilità.
Il sistema che supporta l'archivio dei dati sulla disabilità è l'Australian National Data Integration Infrastructure (Piattaforma nazionale australiana per l'integrazione dei dati). Questa piattaforma ci consente di collegare e analizzare i dati dell'archivio dei dati sulla disabilità. L'Australian National Data Integration Infrastructure Board (il Consiglio per la piattaforma nazionale australiana per l'integrazione dei dati) monitora la realizzazione e il modo in cui il sistema viene utilizzato.
Maggiori informazioni sono disponibili sul sito web dell'Archivio nazionale dei dati sulla disabilità, tra cui informazioni sulla privacy per l'Archivio nazionale dei dati sulla disabilità.
Questo documento è stato redatto dai partner del Commonwealth in risposta alle raccomandazioni della valutazione dell’impatto sulla privacy (Privacy Impact Assessment, PIA) del 2023.
Una PIA prevede la revisione di un progetto e del suo potenziale impatto sulla privacy. Essa offre raccomandazioni su come gestire, ridurre o rimuovere i rischi e gli impatti sulla privacy.
Gli esperti di privacy di Maddocks hanno eseguito una PIA per l’archivio dei dati sulla disabilità e la relativa piattaforma di supporto.
Tra marzo e luglio 2023, i partner del Commonwealth e Maddocks si sono consultati con le parti interessate in merito alla PIA. Maddocks ha redatto una relazione di consultazione dettagliata sul riscontro.
Le sintesi della PIA e le relazioni consultive sono disponibili sul sito web dell'Archivio nazionale dei dati sulla disabilità alla pagina dedicata alla privacy.
I partner del Commonwealth prevedono di aggiornare la PIA nel 2025.
La PIA del 2023:
Maddocks raccomanda di sviluppare una serie di principi guida per l’aggiunta di nuovi dati all’archivio dei dati sulla disabilità da parte del governo. Dovremmo pubblicare questi principi sul sito web dell’Archivio nazionale dei dati sulla disabilità con una descrizione dei dati aggiunti.
I partner del Commonwealth sono in accordo.
Svilupperemo una serie di principi, che guideranno in futuro le decisioni sull’aggiunta di set di dati all’archivio dei dati sulla disabilità. Un set di dati è una raccolta di informazioni, registrazioni e fatti.
Per l’aggiunta di nuovi set di dati, i principi prenderanno in considerazione:
Svilupperemo i principi con i governi statali e territoriali, la comunità delle persone con disabilità e i ricercatori. Consegneremo al Consiglio questa serie di principi per l’approvazione e li pubblicheremo sul sito web con una descrizione dei dati aggiunti.
Il termine previsto è entro dicembre 2024.
Un avviso di raccolta è una dichiarazione che un’organizzazione fornisce alle persone quando richiede informazioni personali. Tale avviso descrive il motivo della raccolta delle informazioni e come verranno utilizzate. Maddocks raccomanda ai fornitori di dati di utilizzare termini standard negli avvisi di raccolta, ad esempio, nei moduli e sui siti web. I fornitori di dati sono agenzie governative che forniscono dati da includere nell’archivio dei dati sulla disabilità.
Il Consiglio dovrebbe sostenere questi termini standard e il Comitato li dovrebbe approvare.
Nel corso del tempo, i fornitori di dati dovrebbero aggiornare i loro avvisi di raccolta con i nuovi termini standard. Ciò potrebbe ad esempio essere incluso negli accordi di condivisione dei dati o i fornitori andrebbero incoraggiati a farlo. Si tratterebbe del modo migliore per informare le persone sulle modalità di utilizzo delle loro informazioni.
I partner del Commonwealth sono in accordo.
Chiederemo ai fornitori di dati governativi australiani, statali e territoriali di aggiornare i loro avvisi di raccolta con i termini standard.
Creeremo un avviso di raccolta standard utilizzabile dai fornitori di dati. Questo si baserà su termini provenienti da:
Ci consulteremo con i gruppi di governance e i fornitori di dati pertinenti.
Chiederemo al Comitato di approvare i termini standard, con il sostegno del Consiglio.
Il termine previsto è entro luglio 2024.
Maddocks raccomanda che il Consiglio disponga di processi regolari per rivedere il modo in cui viene gestito il rischio di re-identificazione dei dati. Ad esempio, si potrebbe effettuare una revisione annuale.
Il Consiglio potrebbe anche decidere su situazioni che possono richiedere una revisione, ad esempio, in caso di violazione dei dati o raccomandazioni governative sulle minacce alla sicurezza informatica. Ciò per assicurarci di poter continuare a utilizzare le migliori pratiche per la de-identificazione dei dati e la gestione dei rischi di re-identificazione. In questo modo si terrà in considerazione l’evoluzione futura della tecnologia e dei rischi.
I partner del Commonwealth sono in accordo.
Chiederemo al Comitato di impegnarsi in un processo di revisione della re-identificazione. Questa revisione ci permetterà di verificare che stiamo ancora utilizzando i metodi migliori per gestire i rischi di re-identificazione. La revisione potrebbe includere il controllo di:
Sosterremo l’esecuzione del processo di revisione almeno una volta all’anno e ogni qualvolta vengano identificati rischi significativi nuovi o modificati.
Documenteremo qualsiasi:
Questa revisione sarà segnalata ai gruppi di governance competenti, tra cui il Comitato e il Consiglio.
Completeremo la prima revisione entro luglio 2025.
Maddocks raccomanda che qualsiasi politica di de-identificazione (ora chiamata strategia di de-identificazione) sia chiara per quanto riguarda:
La strategia dovrebbe includere anche le regole applicabili ai progetti che utilizzano i dati. Dovremmo valutare se abbiamo bisogno di processi aggiuntivi, come quelli utilizzati in altri archivi di dati. Ad esempio, un processo per verificare che i risultati delle analisi dei dati siano correttamente de-identificati prima che escano dalla piattaforma di supporto.
I partner del Commonwealth sono in accordo.
Applicheremo questa raccomandazione:
Il termine previsto è entro giugno 2024.
Maddocks raccomanda che il piano di risposta alle violazioni dei dati, ora chiamato "Data Breach and Incident Response Framework" (Quadro di risposta alle violazioni dei dati e agli incidenti) sia in grado di rispondere alle violazioni dei dati per tutte le agenzie governative che lavorano all'archivio dei dati sulla disabilità. Il Quadro dovrebbe spiegare chiaramente ciò che ogni gruppo di governance e organizzazione rilevante deve fare, incluso quando l’ABS memorizza i dati.
Il Quadro dovrebbe inoltre specificare chi è responsabile della stesura delle comunicazioni relative alla violazione per:
I partner del Commonwealth sono in accordo.
Stiamo mettendo in atto solidi processi di sicurezza per l’archivio dei dati sulla disabilità e la relativa piattaforma di supporto. Tutti i sistemi dovranno prima essere considerati sicuri per l’archiviazione e l’uso dei dati.
Prenderemo in considerazione questa raccomandazione durante lo sviluppo del Quadro. Il Quadro offrirà un approccio per rispondere alle violazioni dei dati e descriverà con chiarezza ciò che deve fare ogni gruppo di governance e organizzazione coinvolta nella violazione dei dati. Il Quadro descriverà chi deve supervisionare la violazione, riferire in merito e informare le persone.
Tutte le responsabilità saranno in linea con:
Tutte le organizzazioni devono essere accreditate per fornire servizi relativi ai dati ai sensi della legge sulla disponibilità e trasparenza dei dati. Le organizzazioni accreditate devono disporre di proprie politiche e processi per gestire il rischio di violazioni dei dati.
L’Ufficio del Commissario nazionale per i dati potrebbe effettuare verifiche indipendenti presso un’organizzazione accreditata. Ad esempio, potrebbe verificare se le attività di un’organizzazione sono in linea con lo schema della legge sulla disponibilità e trasparenza dei dati.
Completeremo il Quadro entro giugno 2024.
Maddocks raccomanda al Comitato di verificare che tutti gli utenti si attengano ai nostri accordi di condivisione dei dati. Questo quadro dovrebbe includere l’archivio dei dati sulla disabilità e la piattaforma di supporto. Ad esempio, le persone che utilizzano l’archivio dei dati sulla disabilità e i sistemi approvati potrebbero dover fornire ogni anno una relazione al:
Questi due garanti sono ufficiali dell’ABS e sono responsabili della gestione dell’archivio dei dati sulla disabilità e della piattaforma di supporto in modo sicuro, legale ed etico. Essi approveranno anche chi può accedere e utilizzare i sistemi.
Le relazioni potrebbero includere controlli relativi a:
I partner del Commonwealth sono in accordo.
Svilupperemo un quadro di conformità per l’archivio dei dati sulla disabilità e la piattaforma di supporto. Questo quadro aiuterà a valutare e segnalare se le persone e le organizzazioni si attengono agli accordi e agli obblighi di sicurezza. Ciò include l'Head Agreement (accordo principale), i Bilateral Schedules (Programmi bilaterali) e il Multilateral Data Sharing Agreement (Accordo multilaterale di condivisione dei dati).
Il quadro si baserà inoltre su:
Il termine previsto è entro ottobre 2024.