Immagine: digitale Agenzia per la trasformazione
Il governo federale ha pubblicato una bozza di esposizione per la legislazione che cerca di espandere l'applicazione del sistema federale di identità digitale australiano ai governi statali e territoriali e al settore privato.
L'inizio dei lavori sulla legislazione, denominata Trusted Digital Identity Bill 2021, segue che la Digital Transformation Agency (DTA) ha trascorso anni a sviluppare il Trusted Digital Identity Framework (TDIF) australiano, che alla fine ha portato a myGovID — sviluppato dall'Australian Taxation Office. e un servizio di identità equivalente di Australia Post che sarà attivo nel 2019.
Sebbene il governo federale disponga già del TDIF, è applicabile solo agli enti del governo federale: non può essere applicato a stati e territori o al settore privato, motivo per cui il governo federale ha iniziato a lavorare su questa legislazione.
Guardando la bozza di esposizione del disegno di legge [PDF], il governo federale sta cercando di sancire formalmente due schemi volontari per le entità che desiderano fornire o fare affidamento su servizi di identità digitale: un sistema di identità digitale gestito dal governo federale e un nuovo schema di accreditamento che sarà basato sul sistema TDIF esistente.
“Entrambi gli schemi comportano diversi vantaggi e livelli di regolamentazione che influenzeranno la scelta di un'entità di partecipare al sistema di identità digitale affidabile, di essere accreditato o di nessuno dei due”, ha affermato DTA.
Secondo il disegno di legge, il governo federale, i governi statali e territoriali, le società australiane e le società straniere registrate presso la Australian Securities and Investments Commission (ASIC) potrebbero richiedere di aderire ai due sistemi di identità digitale.
Oltre a formalizzare i due schemi, la legislazione sta cercando di implementare una nuova autorità di supervisione che sarà responsabile di decidere quale entità può essere iscritta.
Le considerazioni che questa nuova autorità dovrebbe soppesare durante tale processo sono se l'entità sarà in grado di conformarsi alle norme tecniche ad essa applicabili; se l'entità è una persona idonea e onorata; tale entità pone problemi di sicurezza nazionale; e se è opportuno approvare l'entità.
La bozza di esposizione non indica se questa entità sarebbe ospitata all'interno del governo o sarebbe un'entità indipendente.
Le entità che tentano di entrare in uno dei due schemi sarebbero valutate dall'autorità di supervisione, ma quelle entità che desiderano aderire allo schema di accreditamento TDIF sarebbero valutate con una soglia di requisiti più elevata. Questi includono avere un responsabile della privacy designato e un “campione della privacy”, un piano di sicurezza del sistema e la capacità di condurre valutazioni del rischio di frode dell'identità digitale. Lo schema di accreditamento TDIF richiederà inoltre alle entità di effettuare diversi test tecnici come parte dell'accreditamento, secondo la bozza di esposizione.
Nella bozza di esposizione del disegno di legge fanno parte anche nuove tutele della privacy separate da quelle del Privacy Act. Queste nuove protezioni, se approvate, vieterebbero alle entità la profilazione dei dati, l'utilizzo di identificatori singoli, la divulgazione di informazioni riservate se non viene fornito il consenso espresso e la divulgazione di informazioni biometriche a varie organizzazioni come le forze dell'ordine.
La bozza di esposizione stabilisce inoltre che un prestatore di servizi di identità accreditato deve, se richiesto da un individuo, disattivare l'identità digitale dell'individuo non appena possibile dopo aver ricevuto la richiesta.
Mentre la nuova legislazione, se approvata nel suo stato attuale, ha una propria serie di protezioni della privacy, la legge sulla privacy si applicherà ancora alle entità all'interno dei due schemi, afferma la bozza dell'esposizione. Ad esempio, se un'entità che fa parte dei sistemi di identità digitale subisce una violazione dei dati, sarebbe tenuta a informare le persone coinvolte in una violazione dei dati che potrebbe causare “gravi danni” ai sensi del regime di violazione dei dati notificabili (NDB) .
L'applicazione di queste regole sulla privacy sarebbe di competenza del Commissario per le informazioni, con il commissario in grado di penalizzare le società o gli enti governativi fino a 333.000 dollari australiani in caso di violazione delle garanzie sulla privacy del disegno di legge.
Nell'annunciare la bozza di esposizione del disegno di legge, il ministro responsabile per la trasformazione digitale Stuart Robert ha affermato che il governo federale si impegnerà con le parti interessate e co-progetta il disegno di legge con l'industria.
Il governo federale sta cercando contributi sulla bozza di esposizione fino al 27 ottobre.
Poiché la legislazione continua a essere sviluppata dal governo, il settore privato ha iniziato a sviluppare soluzioni di identità digitale per soddisfare la domanda dei clienti. All'inizio di questa settimana, Eftpos è diventato il primo operatore non governativo accreditato di uno scambio di identità digitale nell'ambito del TDIF attraverso la sua tecnologia connectID. Dallo scorso anno, Eftpos ha pilotato connectID con 20 marchi australiani “noti”, tra cui Australia Post e Yoti.
Mastercard sta anche lavorando separatamente con il DTA per vedere come il servizio di identità digitale del primo potrebbe consentire agli australiani di verificare digitalmente la loro età e identità. Nell'ambito della collaborazione, Mastercard sta esaminando una serie di progetti pilota guidati dal settore privato e l'impatto che il suo servizio di verifica digitale potrebbe avere sulle esperienze e aspettative online di rivenditori e consumatori.
Copertura correlata
Mastercard e DTA per definire il servizio di identificazione digitale per la verifica dell'etàEftpos invia la soluzione di identità digitale connectID in tempo reale
I certificati di vaccinazione digitali australiani per i viaggi pronti in due o tre settimane
Eftpos ha concesso l'accreditamento governativo come primo operatore di scambio ID privato
Australia per aprire il sistema di identificazione digitale al settore privato con consultazione sulla nuova legislazione
I ricercatori vogliono che il sistema di identificazione digitale australiano venga eliminato e riprogettato da zero
Argomenti correlati:
Australia CXO Digital Transformation Tech Industry Smart Cities Cloud