Requisitos de Evaluación de Impacto en la Privacidad de Mesa - Política Municipal

Introducción

En Mesa, Arizona, los departamentos de la ciudad y los contratistas que implementan nuevas tecnologías que recopilan, almacenan o procesan información personal deben determinar si se requiere una Evaluación de Impacto en la Privacidad (EIP) y seguir las prácticas de seguridad de la información y de registros de la Ciudad de Mesa para reducir el riesgo de privacidad. El Departamento de Tecnología de la Información supervisa las revisiones de privacidad para sistemas municipales y puede asesorar sobre alcance, minimización de datos y controles de proveedores ^[1].

¿Qué es una Evaluación de Impacto en la Privacidad?

Una EIP es una revisión estructurada que identifica los flujos de datos personales, las bases legales para el procesamiento, los límites de retención, los controles de seguridad y los riesgos de privacidad introducidos por un proyecto tecnológico. Una EIP documenta decisiones sobre minimización de datos, controles de acceso y acuerdos de intercambio de datos y ayuda a la ciudad a cumplir obligaciones de transparencia y de registros.

¿Cuándo se requiere una EIP?

• Proyectos nuevos que recopilan o centralizan datos personales del público.
• Proyectos que integran múltiples sistemas o permiten el intercambio de datos entre departamentos.
• Despliegue de servicios en la nube de terceros o analítica que procesa información personal.

Sanciones y Aplicación

La documentación de la Ciudad de Mesa no publica una ordenanza municipal específica con multas monetarias vinculadas exclusivamente a la falta de realizar una EIP; cuando se aplican sanciones detalladas por el manejo de datos o incumplimientos de registros, se informan en políticas de la ciudad o en referencias del código municipal en lugar de en un calendario de multas único para EIP. Para la aplicación y la autoridad política, el Departamento de Tecnología de la Información y el Fiscal de la Ciudad implementan acciones de seguridad de TI y cumplimiento de registros; los detalles se facilitan en las páginas oficiales de Mesa ^[1][2].

• Cantidad de multas: no especificado en la página citada.
• Escalada (primera/reincidente/continuada): no especificado en la página citada.
• Sanciones no monetarias: órdenes administrativas para cesar el procesamiento, planes de acción correctiva, restricciones de acceso y remisión al Fiscal de la Ciudad para aplicación civil.
• Enforcing: Departamento de Tecnología de la Información de la Ciudad de Mesa y el Fiscal de la Ciudad; quejas o preguntas de cumplimiento utilizan el contacto oficial de TI y las vías del City Clerk/Registros.
• Vías de inspección y queja: envíe inquietudes a través del contacto del Departamento de TI o los procedimientos oficiales de solicitud/queja de registros.
• Recursos de apelación/revisión y límites de tiempo: no especificado en la página citada; las solicitudes de revisión normalmente siguen los procedimientos de revisión administrativa bajo la política de la ciudad o apelación al City Manager/Fiscal de la Ciudad según las reglas de la ciudad.
• Defensas/discreción: pasos documentados de cumplimiento de buena fe, exenciones aprobadas o permisos formales pueden ser considerados por la oficina que aplica cuando la política de la ciudad permite discreción.

Solicitudes y Formularios

La Ciudad de Mesa no publica un formulario EIP estandarizado en sus páginas de TI o del código municipal; los equipos de proyecto deben contactar al Departamento de Tecnología de la Información para obtener cualquier plantilla interna o instrucciones de envío ^[1]. Si no se proporciona un formulario, siga la orientación de selección y retención de TI.

Cómo realizar una EIP

Siga un proceso documentado que identifique a los interesados, mapee los datos, evalúe los riesgos y defina mitigaciones. Coordine con el Departamento de Tecnología de la Información y la Gestión de Registros desde el inicio.

Preguntas Frecuentes

¿Quién debe completar una EIP para un nuevo proyecto tecnológico?

Cualquier departamento de Mesa o contratista que introduzca sistemas que recopilen, procesen o compartan información personal debe evaluar la necesidad de una EIP; consulte al Departamento de Tecnología de la Información para confirmar la aplicabilidad ^[1].

¿Cuánto tiempo tarda una EIP?

El tiempo varía según el alcance; las evaluaciones simples pueden tardar días mientras que las EIP completas pueden tardar varias semanas según la complejidad de los datos y la participación del proveedor.

¿Hay multas publicadas por no realizar una EIP?

No hay multas específicas para EIP publicadas en las páginas citadas de Mesa; las sanciones monetarias por registros o manejo de datos no están especificadas en las páginas citadas ^[2].

Cómo se hace (pasos)

1. Inicie una selección de privacidad: documente el propósito, los elementos de datos y las partes interesadas.
2. Mapee los flujos de datos: identifique dónde se recopilan, almacenan y comparten los datos personales.
3. Evalúe riesgos y controles: revise cifrado, controles de acceso y calendarios de retención.
4. Involucre al Departamento de TI y a Gestión de Registros para revisión y aprobaciones necesarias ^[1].
5. Documente decisiones, pasos de mitigación y acciones de monitoreo; conserve registros según las reglas de retención de la ciudad.

Puntos clave

• Evalúe temprano: comience la selección de la EIP en la concepción del proyecto.
• Coordine con TI de Mesa y Gestión de Registros para aprobaciones.
• Documente todas las decisiones y conserve registros según la política de la ciudad.

Ayuda y Soporte / Recursos

• Departamento de Tecnología de la Información de la Ciudad de Mesa
• Código Municipal de Mesa (Municode)
• City Clerk - Registros Públicos

1. [1] City of Mesa Information Technology Department - official page
2. [2] Mesa Municipal Code - Municode publisher