Activo Nacional de Datos sobre Discapacidad e Infraestructura Nacional de Integración de Datos de Australia
El Departamento de Servicios Sociales (Department of Social Services) está trabajando con la Oficina Australiana de Estadísticas (Australian Bureau of Statistics, ABS) y el Instituto Australiano de Salud y Bienestar (Australian Institute of Health and Welfare, AIHW) para crear el Activo Nacional de Datos sobre Discapacidad (National Disability Data Asset, NDDA). A estas tres agencias de Gobierno australianas, en conjunto, las llamamos los Socios de la Commonwealth (Commonwealth Partners).
Los estados, territorios y la comunidad de personas con discapacidad también participan en el desarrollo del activo de datos sobre discapacidad. El Consejo del Activo de Datos sobre Discapacidad (el Consejo) supervisa los usos del activo de datos sobre discapacidad. Esto implica la toma de decisiones compartida entre el gobierno y la comunidad de personas con discapacidad. El activo de datos sobre discapacidad reúne información desidentificada de diferentes agencias gubernamentales sobre todos los australianos para comprender mejor las consecuencias para las personas con discapacidad.
El sistema subyacente que respalda el activo de datos sobre discapacidad es la Infraestructura Nacional de Integración de Datos de Australia (Australian National Data Integration Infrastructure). Este sistema nos permite conectar y analizar los datos del activo de datos sobre discapacidad. El Directorio de la Infraestructura Nacional de Integración de Datos de Australia (el Directorio) supervisa el funcionamiento y uso de este sistema.
Encontrará más información en el sitio web del Activo Nacional de Datos sobre Discapacidad, incluso sobre la Privacidad del Activo Nacional de Datos sobre Discapacidad.
Este documento es una respuesta de los Socios de la Commonwealth a las recomendaciones de la Evaluación del Impacto en la Privacidad (Privacy Impact Assessment, PIA) de 2023.
Una PIA es una revisión de un proyecto y de cómo podría afectar a la privacidad. Una PIA sugiere formas de gestionar, reducir o eliminar los riesgos e impactos de la privacidad.
Los expertos en privacidad de Maddocks hicieron una PIA para el activo de datos sobre discapacidad y su sistema subyacente.
Los Socios de la Commonwealth y Maddocks realizaron una consulta con las partes interesadas para la PIA entre marzo y julio de 2023. Maddocks redactó un informe de consulta detallado sobre los comentarios.
Los resúmenes de la PIA y los informes de la consulta se encuentran en el sitio web del Activo Nacional de Datos sobre Discapacidad, en la Privacidad del Activo Nacional de Datos sobre Discapacidad.
Los Socios de la Commonwealth planean actualizar la PIA en 2025.
La PIA de 2023:
Maddocks recomienda que desarrollemos un conjunto de principios que guíen la forma en que el gobierno agrega datos nuevos al activo de datos sobre discapacidad. Deberíamos publicar estos principios en el sitio web del Activo Nacional de Datos sobre Discapacidad con una descripción de los datos que se están agregando.
Los Socios de la Commonwealth están de acuerdo.
Desarrollaremos un conjunto de principios. Los principios guiarán las decisiones sobre la incorporación de conjuntos de datos al activo de datos sobre discapacidad en el futuro. Un conjunto de datos es una recopilación de información, registros y hechos.
Al agregar nuevos conjuntos de datos, los principios considerarán:
Desarrollaremos los principios con los gobiernos estatales y territoriales, la comunidad de personas con discapacidad y los investigadores. Entregaremos al Consejo este conjunto de principios para que lo apruebe. Publicaremos estos principios en el sitio web con una descripción de los datos que se agregan.
Finalizaremos esto antes de diciembre de 2024.
Un aviso de recopilación es una declaración que una organización entrega a las personas cuando solicitan información personal. Explica por qué necesitan la información y cómo la usarán. Maddocks recomienda que los proveedores de datos utilicen palabras estándar en sus avisos de recopilación. Por ejemplo, en formularios y sitios web. Los proveedores de datos son agencias gubernamentales que proporcionan datos para incluirlos en el activo de datos sobre discapacidad.
El Consejo debe apoyar estas palabras estándar. El Directorio debe aprobarlas.
Con el tiempo, los proveedores de datos deberían tener que actualizar sus avisos de recopilación con las nuevas palabras estándar. Por ejemplo, esto podría incluirse en los acuerdos de intercambio de datos. O se les debería alentar a hacerlo. Esta sería una forma recomendada de informar a las personas sobre cómo se utiliza su información.
Los Socios de la Commonwealth están de acuerdo.
Pediremos a los proveedores de datos de gobierno –australiano, estatal y territorial – que actualicen sus avisos de recopilación con palabras estándar.
Crearemos un aviso de recopilación estándar que los proveedores de datos puedan usar. Nos basaremos en las palabras de:
Consultaremos con los grupos de gobierno y proveedores de datos pertinentes.
Pediremos al Directorio que apruebe las palabras estándar, con el apoyo del Consejo.
Finalizaremos esto antes de julio de 2024.
Maddocks recomienda que el Consejo realice procesos regulares para revisar cómo se gestiona el riesgo de que los datos se vuelvan a identificar. Por ejemplo, se podría llevar a cabo una revisión por año.
El Consejo también podría decidir sobre las situaciones que darían lugar a una revisión. Por ejemplo, si hay una violación de datos o un consejo gubernamental sobre amenazas a la ciberseguridad. Esto es para asegurarnos de que podemos seguir utilizando las prácticas recomendadas a la hora de desidentificar los datos y gestionar los riesgos de reidentificación. Esto consideraría a la tecnología y los riesgos a medida que cambien en el futuro.
Los Socios de la Commonwealth están de acuerdo.
Le pediremos al Directorio que se comprometa con un proceso de revisión de la reidentificación. Esta revisión verificaría que aún utilizamos los mejores métodos para gestionar los riesgos de reidentificación. La revisión podría incluir la verificación de:
Apoyaremos que el proceso de revisión se realice al menos una vez al año. Además de cuando se identifique un riesgo importante nuevo o modificado.
Documentaremos cualquier:
Esta revisión se informará a los grupos de gobierno pertinentes. Esto incluye al Directorio y al Consejo.
Finalizaremos la primera revisión antes de julio de 2025.
Maddocks recomienda que cualquier política de desidentificación (ahora denominada estrategia de desidentificación) sea clara en cuanto a lo siguiente:
La estrategia también debe incluir las normas que se aplican a los proyectos que utilizan los datos. Deberíamos considerar si necesitamos procesos adicionales, como los que se utilizan en otros activos de datos. Por ejemplo, un proceso para comprobar que los resultados del análisis de datos se han desidentificado correctamente antes de que abandonen el sistema subyacente.
Los Socios de la Commonwealth están de acuerdo.
Aplicaremos esta recomendación en:
Finalizaremos esto antes de junio de 2024.
Maddocks recomienda que el Plan de Respuesta a la Violación de Datos (ahora denominado Marco de Respuesta a la Violación de Datos e Incidentes) tenga un enfoque para hacer frente a las violaciones de datos en todos los organismos gubernamentales que trabajan en el activo de datos sobre discapacidad. El Marco debe explicar claramente lo que cada organización y grupo de gobierno pertinente deben hacer. Esto incluye cuando la ABS almacena los datos.
El Marco también debe especificar quién es el responsable de escribir los avisos sobre la violación en:
Los Socios de la Commonwealth están de acuerdo.
Estamos implementando procesos de seguridad sólidos para el activo de datos sobre discapacidad y su sistema subyacente. Todos los sistemas deberán estar aprobados como seguros para almacenar y usar datos.
Tendremos en cuenta esta recomendación cuando desarrollemos el Marco. El Marco tendrá un enfoque para gestionar las violaciones de datos. Esto explicará claramente lo que cada grupo de gobierno y organización involucrado en la violación de datos debe hacer. Abarcará quién debe supervisar la violación, denunciarla y notificar a las personas al respecto.
Todas las responsabilidades se ajustarán a:
Todas las organizaciones deben estar acreditadas para proporcionar servicios de datos en virtud de la Ley de Disponibilidad y Transparencia de Datos. Las organizaciones acreditadas deben tener sus propias políticas y procesos para gestionar el riesgo de violaciones de datos.
La Oficina del Comisionado Nacional de Datos podría realizar verificaciones independientes de una organización acreditada. Por ejemplo, pueden verificar si las actividades de una organización se ajustan al Esquema de la Ley de Disponibilidad y Transparencia de Datos.
Finalizaremos el Marco antes de junio de 2024.
Maddocks recomienda que el Directorio desarrolle un marco de cumplimiento para comprobar que todos cumplen nuestros acuerdos de intercambio de datos. Este marco debe cubrir el activo de datos sobre discapacidad y el sistema subyacente. Por ejemplo, las personas que utilizan el activo de datos sobre discapacidad y los sistemas aprobados podrían informar todos los años al:
Estos dos guardianes son funcionarios de la ABS. Son los responsables de administrar el activo de datos sobre discapacidad y su sistema subyacente de forma segura, legal y ética. También aprobarán quién puede acceder a los sistemas y usarlos.
Estos informes pueden incluir verificaciones sobre:
Los Socios de la Commonwealth están de acuerdo.
Desarrollaremos un marco de cumplimiento para el activo de datos sobre discapacidad y su sistema subyacente. Este marco ayudará a evaluar e informar si las personas y las organizaciones cumplen con los acuerdos y las obligaciones de seguridad. Esto incluye el Acuerdo Principal y los Cronogramas Bilaterales y el Acuerdo Multilateral de Intercambio de Datos.
El marco también se basará en:
Finalizaremos esto antes de octubre de 2024.