Logotipo del Gobierno de Australia y logotipo del Activo Nacional de Datos sobre Discapacidad (National Disability Asset, NDDA), que consiste en una serie de puntos conectados con lĂ­neas para representar los datos conectados.

Resumen de la Evaluación del Impacto en la Privacidad de 2023

Activo Nacional de Datos sobre Discapacidad e Infraestructura Nacional de Integración de Datos de Australia

El Departamento de Servicios Sociales (Department of Social Services) está trabajando con la Oficina Australiana de Estadísticas (Australian Bureau of Statistics, ABS) y el Instituto Australiano de Salud y Bienestar (Australian Institute of Health and Welfare, AIHW) para crear el Activo Nacional de Datos sobre Discapacidad (National Disability Data Asset, NDDA). A estas tres agencias de Gobierno australianas, en conjunto, las llamamos los Socios de la Commonwealth (Commonwealth Partners).

Los estados, territorios y la comunidad de personas con discapacidad también participan en el desarrollo del activo de datos sobre discapacidad. El Consejo del Activo de Datos sobre Discapacidad (el Consejo) supervisa los usos del activo de datos sobre discapacidad. Esto implica la toma de decisiones compartida entre el gobierno y la comunidad de personas con discapacidad. El activo de datos sobre discapacidad reúne información desidentificada de diferentes agencias gubernamentales sobre todos los australianos para comprender mejor las consecuencias para las personas con discapacidad.

El sistema subyacente que respalda el activo de datos sobre discapacidad es la Infraestructura Nacional de Integración de Datos de Australia (Australian National Data Integration Infrastructure). Este sistema nos permite conectar y analizar los datos del activo de datos sobre discapacidad. El Directorio de la Infraestructura Nacional de Integración de Datos de Australia (el Directorio) supervisa la forma en que las personas usan este sistema.

Encontrará más información en el sitio web del Activo Nacional de Datos sobre Discapacidad, incluso sobre la Privacidad del Activo Nacional de Datos sobre Discapacidad.

¿Qué es una Evaluación del Impacto en la Privacidad?

Una Evaluación del Impacto en la Privacidad (Privacy Impact Assessment, PIA) es una revisión de un proyecto y de cómo podría afectar a la privacidad. Una PIA sugiere formas de gestionar, reducir o eliminar los riesgos e impactos de la privacidad. Los expertos en privacidad de Maddocks hicieron una PIA para el activo de datos sobre discapacidad y su sistema subyacente.

Maddocks redactó un informe detallado de la PIA. Este documento es un resumen de ese informe. Incluye el proceso y un resumen de los hallazgos y recomendaciones.

Encontrará más información en el sitio web del Activo Nacional de Datos sobre Discapacidad en Privacidad del Activo Nacional de Datos sobre Discapacidad.

Los Socios de la Commonwealth planean actualizar la PIA en 2025.

El proceso de evaluación

La PIA de 2023:

Los Socios de la Commonwealth y Maddocks realizaron una consulta con las partes interesadas para la PIA entre marzo y julio de 2023. Más de 150 personas participaron de las sesiones. Deafblind Australia ayudó a organizar dos sesiones con personas con discapacidad. Inclusion Australia, con la ayuda de Down Syndrome Australia, organizó una sesión para personas con discapacidad intelectual.

Maddocks redactó un informe de consulta detallado sobre los comentarios. Hay un resumen del informe en la página web Privacidad del Activo Nacional de Datos sobre Discapacidad.

Resumen de los hallazgos

En las sesiones de consulta, las personas nos dijeron que apoyaban firmemente el desarrollo del activo de datos sobre discapacidad. Algunas personas señalaron los graves problemas para las personas si la información sobre su salud o discapacidad se comparte sin autorización.

La comunidad australiana espera que la información confidencial esté más protegida que cualquier otra información personal. La información confidencial puede incluir información sobre su salud, su origen racial o étnico y sus creencias religiosas. Puede encontrar más información y ejemplos en el artículo 6 de la Ley de Privacidad y en el sitio web de la Oficina del Comisionado de Información de Australia.

Maddocks señaló que los Socios de la Commonwealth se centran en la privacidad en el diseño del activo de datos sobre discapacidad. En particular, las disposiciones de gobierno serán sólidas y detalladas. Estas son las normas sobre cómo y quién toma las decisiones con respecto el proyecto. Las normas y los procesos han sido diseñados para gestionar los riesgos con respecto a los datos y la privacidad del proyecto. Esto incluye detectar riesgos en el futuro.

Los Socios de la Commonwealth implementarán procesos para proteger la información personal de las personas. Al vincular diferentes datos, esto incluye:

Desidentificaremos todos los datos del activo de datos sobre discapacidad para asegurarnos de que nadie pueda averiguar quiénes son las personas. Sin embargo, las partes interesadas señalaron en las sesiones de consulta que puede existir el riesgo de volver a identificar a las personas al vincular los datos. Este riesgo de volver a identificar a las personas puede aumentar a medida que se agreguen más datos al activo de datos de discapacidad.

Maddocks recomienda formas de abordar este riesgo y mejorar la manera en que protegemos la privacidad de las personas.

Recomendaciones

Las recomendaciones de la PIA se refieren a los siguientes temas:

  1. Principios para agregar conjuntos de datos al activo de datos sobre discapacidad en el futuro.
  2. Avisos de recopilación para proveedores de datos.
  3. Gestión del riesgo de volver a identificar los datos: revisión de los procesos.
  4. Gestión del riesgo de volver a identificar los datos: normas para lo que se comparte.
  5. Gestión de las violaciones de datos.
  6. Desarrollo de un marco de cumplimiento.

Hay más información en el Apéndice: recomendaciones detalladas.

Apéndice: Recomendaciones detalladas.

Existen 13 Principios de Privacidad de Australia (los Principios). Son las normas de la Ley de Privacidad sobre la administración de la información personal. Después de cada recomendación hay una lista de los Principios a los que se refiere. Puede encontrar más información sobre los Principios en la página web de los Principios de Privacidad de Australia de la Oficina del Comisionado de Información de Australia.

Recomendación 1: Principios para agregar conjuntos de datos al activo de datos sobre discapacidad en el futuro

Antecedentes

El Estatuto del Activo Nacional de Datos sobre Discapacidad (el Estatuto) contiene principios y reglas sólidos sobre cómo se puede usar el activo de datos sobre discapacidad. La comunidad de personas con discapacidad redactó el Estatuto. El Consejo y los ministros de discapacidad aprobarán el Estatuto.

Además, es importante contar con reglas claras para cuando agregamos conjuntos de datos al activo de datos sobre discapacidad. Un conjunto de datos es una recopilación de información, registros y hechos.

Enfoque propuesto

Maddocks recomienda que desarrollemos un conjunto de principios que guíen la forma en que el gobierno agrega datos nuevos al activo de datos sobre discapacidad. Deberíamos publicar estos principios en el sitio web del Activo Nacional de Datos sobre Discapacidad con una descripción de los datos que se están agregando.

Maddocks sugiere que los principios deberían tener en cuenta al menos:

Principios relacionados

Recomendación 2: Avisos de recopilación para proveedores de datos

Antecedentes

Agregaremos datos al activo de datos sobre discapacidad a través de diferentes formas legales. Esto dependerá de cómo el proveedor de datos recopiló los datos. Los proveedores de datos son agencias gubernamentales que proporcionan datos para incluirlos en el activo de datos sobre discapacidad. Algunos datos se pueden compartir legalmente en el activo de datos sobre discapacidad sin el consentimiento de la persona.

Un principio de privacidad importante es asegurarse de que las personas sepan cómo se utilizará y compartirá su información personal.

Enfoque propuesto

Un aviso de recopilación es una declaración que una organización entrega a las personas cuando solicitan información personal. Explica por qué necesitan la información y cómo la usarán. Maddocks recomienda que los proveedores de datos utilicen palabras estándar en sus avisos de recopilación. Por ejemplo, en formularios y sitios web.

El Consejo debe apoyar estas palabras estándar. El Directorio debería aprobar estas palabras estándar.

Con el tiempo, los proveedores de datos deberían tener que actualizar sus avisos de recopilación con las nuevas palabras estándar. Por ejemplo, esto podría incluirse en los acuerdos de intercambio de datos. O se les debería alentar a hacerlo. Esta sería una forma recomendada de informar a las personas sobre cómo se utiliza su información.

Principios relacionados

Recomendación 3: Gestión del riesgo de volver a identificar los datos: revisión de los procesos

Antecedentes

Uno de los principios del borrador del Estatuto es garantizar que los datos se mantengan privados y seguros. El activo de datos sobre discapacidad solo contendrá información desidentificada. Sin embargo, algunas personas señalan que existe el riesgo de que los datos se vuelvan a identificar. Y que el riesgo aumentará con el tiempo.

Enfoque propuesto

Maddocks recomienda que el Consejo realice procesos regulares para revisar cómo se gestiona el riesgo de que los datos se vuelvan a identificar. Por ejemplo, se podría llevar a cabo una revisión por año.

El Consejo también podría decidir sobre las situaciones que darían lugar a una revisión. Por ejemplo, si hay una violación de datos o un consejo gubernamental sobre amenazas a la ciberseguridad. Esto es para asegurarnos de que podemos seguir utilizando las prácticas recomendadas a la hora de desidentificar los datos y gestionar los riesgos de reidentificación. Esto consideraría a la tecnología y los riesgos a medida que cambien en el futuro.

Principios relacionados

Recomendación 4: Gestión del riesgo de volver a identificar los datos: normas para lo que se comparte

Antecedentes

Si se vuelve a identificar la información del activo de datos sobre discapacidad, existe la posibilidad de que las personas afectadas sufran un daño mayor. Esto se debe al tipo de información que contiene el activo de datos sobre discapacidad. Y que el activo de datos sobre discapacidad incluya información sobre personas vulnerables.

En el Marco de Gobierno de Datos, desarrollaremos una política sobre la desidentificación de datos. El Marco es un conjunto de normas para garantizar que las personas compartan, administren y usen los datos de manera segura, ética y legal.

Enfoque propuesto

Maddocks recomienda que cualquier política de desidentificación sea clara en cuanto a:

La política también debe incluir las normas que se aplican a los proyectos que utilizan los datos. Deberíamos considerar si necesitamos procesos adicionales, como los que se utilizan en otros activos de datos. Por ejemplo, un proceso para comprobar que los resultados del análisis de datos se han desidentificado correctamente antes de que abandonen el sistema subyacente.

Principios relacionados

Recomendación 5: Gestión de las violaciones de datos

Antecedentes

Las agencias gubernamentales trabajan juntas para administrar el activo de datos sobre discapacidad y su sistema subyacente. Esto significa que puede haber un mayor riesgo de que se produzca una violación de datos. También puede haber un mayor riesgo de que no puedan gestionar rápidamente estas violaciones.

Según el Marco de Gobierno de Datos, crearemos un Plan de Respuesta a la Violación de Datos. Esto incluirá un registro sobre cualquier incidente o violación de datos y privacidad. El plan incluiría una revisión anual.

Enfoque propuesto

Maddocks recomienda que el Plan de Respuesta a la Violación de Datos tenga un enfoque para hacer frente a las violaciones de datos en todas las agencias gubernamentales que trabajan en el activo de datos sobre discapacidad. El Plan debe explicar claramente lo que cada organización y grupo de gobierno pertinente deben hacer. Esto incluye cuando la ABS almacena los datos.

El Plan también debe especificar quién es responsable de escribir los avisos sobre la violación en relación con:

Principios relacionados

Recomendación 6: Desarrollo de un marco de cumplimiento

Antecedentes

Se implementarán una serie de normas y procesos para administrar el activo de datos sobre discapacidad. Esto incluye los acuerdos de intercambio de datos. Según el Marco de Gobierno de Datos, existe un plan para llevar a cabo auditorías y revisiones del sistema subyacente.

Enfoque propuesto

Maddocks recomienda que el Directorio desarrolle un marco de cumplimiento para comprobar que todos cumplen nuestros acuerdos de intercambio de datos. Este marco debe cubrir el activo de datos sobre discapacidad y el sistema subyacente. Por ejemplo, las personas que utilizan el activo de datos sobre discapacidad y los sistemas aprobados podrían informar todos los años al:

Estos dos guardianes son funcionarios de la ABS. Son los responsables de administrar el activo de datos sobre discapacidad y su sistema subyacente de forma segura, legal y ética. También aprobarán quién puede acceder a los sistemas y usarlos.

Los informes podrían incluir verificaciones sobre:

Principios relacionados

Obtenga más información

Los Socios de la Commonwealth han respondido a cada una de las seis recomendaciones de la Evaluación del Impacto en la Privacidad (PIA) de 2023. Puede leer la respuesta a la PIA de 2023 en el sitio web del Activo Nacional de Datos sobre Discapacidad, en la Privacidad del Activo Nacional de Datos sobre Discapacidad.