Reglas de manejo de datos para contratistas de la ciudad de Mesa

Mesa, Arizona exige que los contratistas que manejan datos de la ciudad cumplan con obligaciones de seguridad, privacidad y mantenimiento de registros establecidas en contratos municipales y documentos de adquisiciones. Esta guía resume dónde aparecen esas obligaciones en los términos estándar de la Ciudad de Mesa, qué deben hacer los contratistas para proteger datos personales y municipales, cómo se aplican las sanciones y pasos prácticos para cumplir antes de firmar o renovar un contrato.

Ámbito y a quién se aplica

Los requisitos suelen aplicarse a cualquier proveedor, consultor o subcontratista que reciba, almacene, procese o transmita datos de la ciudad, ya sea alojado en sistemas del contratista o en nombre de la ciudad. Los requisitos pueden incluirse en las solicitudes de contratación, los términos y condiciones estándar de la ciudad o anexos de seguridad específicos del contrato.

Obligaciones clave del contratista

• Implementar medidas técnicas y organizativas apropiadas para proteger los datos de la ciudad contra accesos no autorizados.
• Mantener registros de accesos a datos, actividades de procesamiento y subcontratos que involucren datos de la ciudad.
• Informar incidentes de seguridad o brechas al Ayuntamiento de Mesa dentro de los plazos contractuales requeridos.
• Cumplir con los requisitos de seguro, indemnización o fianzas establecidos en los documentos de adquisición.
• Asegurar que los subcontratistas cumplan las mismas protecciones de datos exigidas al contratista principal.

Sanciones y aplicación

La aplicación de las obligaciones de manejo de datos se realiza mediante recursos contractuales, suspensión o inhabilitación en adquisiciones y, cuando proceda, acciones legales. El Código Municipal de la Ciudad de Mesa y los documentos de adquisición establecen el marco contractual para recursos y aplicación. Para las ordenanzas municipales y reglas de adquisición aplicables, consulte las páginas indicadas más abajo City of Mesa Code of Ordinances^[1].

• Multas monetarias o daños liquidados: no especificado en la página citada ^[1].
• Sanciones no monetarias: pueden incluir terminación del contrato, suspensión, inhabilitación para futuras contrataciones o requisitos de remediación; los recursos específicos dependen del lenguaje contractual y no están especificados en la página citada ^[1].
• Escalamiento: el tratamiento de la primera, repetida o continua infracción está gobernado por los términos del contrato o procedimientos administrativos y no está especificado en la página citada ^[1].
• Órgano aplicador y vía de denuncias: Servicios de Adquisiciones y las oficinas del City Manager supervisan el cumplimiento de contrataciones; Tecnología de la Información puede encargarse de la respuesta técnica a incidentes según el contrato. Use los contactos de adquisiciones listados en Recursos de ayuda.
• Recursos y apelaciones: las cláusulas de resolución de disputas del contrato, los procedimientos de protesta administrativa para adquisiciones y acciones judiciales son vías habituales; los plazos para protestas o apelaciones se establecen en las reglas de adquisiciones o en el contrato específico y no están especificados en la página citada ^[1].

Infracciones comunes

• No reportar un incidente de seguridad dentro de los plazos requeridos.
• Controles de acceso inadecuados o dispositivos perdidos/robados que contienen datos de la ciudad.
• Subcontratación no autorizada o compartición de datos con terceros sin la aprobación de la ciudad.

Solicitudes y formularios

Los contratistas normalmente deben completar el registro de proveedores y presentar los formularios de adquisición requeridos durante la solicitud o adjudicación. Los nombres, números, tarifas y métodos de envío específicos dependen de la solicitud o contrato. El Código Municipal y las páginas de Servicios de Adquisiciones ofrecen procedimientos de adquisición y orientación sobre registro de proveedores, pero no listan un formulario único y universal de protección de datos ^[1].

Cómo cumplir

1. Revise la solicitud y los términos del contrato de la ciudad antes de presentar oferta.
2. Documente dónde y cómo se almacenarán los datos, quién tendrá acceso y los subcontratistas involucrados.
3. Implemente controles técnicos: cifrado, autenticación fuerte, registros y copias de seguridad.
4. Establezca un plan de respuesta a incidentes que cumpla o supere los plazos contractuales de notificación.
5. Mantenga registros de cumplimiento y prepárese para auditorías o inspecciones.

Preguntas frecuentes

¿Qué contratos incluyen requisitos de manejo de datos?

Cualquier contrato de la Ciudad de Mesa donde el contratista acceda, almacene o procese datos de la ciudad normalmente incluye requisitos de manejo de datos; consulte los documentos de la solicitud y los términos estándar para detalles.

¿Quién aplica las cláusulas de manejo de datos?

Servicios de Adquisiciones y el departamento contratante aplican las obligaciones contractuales; la respuesta técnica a incidentes puede involucrar a Tecnología de la Información.

¿Qué hago si sospecho una brecha de datos?

Siga los procedimientos de notificación del contrato y notifique de inmediato a los contactos de la ciudad indicados en el contrato; preserve la evidencia y siga el plan de respuesta a incidentes.

Puntos clave

• Lea las cláusulas de datos del contrato desde el principio.
• Documente controles y acuerdos con subcontratistas por escrito.
• Responda rápidamente a incidentes y siga las instrucciones del contrato.

Ayuda y Recursos

• City of Mesa Code of Ordinances
• City of Mesa Procurement Services
• City of Mesa Information Technology

1. [1] City of Mesa Code of Ordinances - Municipal code and contract provisions.