Guía de evaluación de impacto de privacidad de Long Beach

Long Beach, California, los proyectos municipales que recopilan, almacenan o comparten información personal deben seguir un proceso documentado de Evaluación de Impacto de Privacidad (PIA) para identificar riesgos y controles. Esta guía explica funciones, pasos típicos, conservación de registros y cómo reportar o apelar decisiones para programas municipales en Long Beach. Use los recursos de TI y de registros públicos de la ciudad para confirmar procedimientos locales y para solicitar registros o contactar al oficial de privacidad o al responsable de seguridad de TI.

Cuándo se requiere una PIA

Las PIA son recomendables cuando un proyecto introduce nuevos sistemas, intercambio de datos con terceros, tecnologías biométricas, vigilancia por video a gran escala o usa datos personales sensibles. Los umbrales y desencadenantes específicos no están especificados en las páginas citadas de la ciudad; los gestores de proyecto deben consultar los departamentos responsables.

Proceso básico de PIA

• Inicio: identificar alcance del proyecto, tipos de datos, partes interesadas y bases legales para el tratamiento.
• Mapeo de datos: listar elementos de datos, flujos, periodos de retención y destinatarios.
• Evaluación de riesgos: evaluar riesgos de privacidad y probabilidad, y documentar controles mitigantes.
• Registro de decisión: producir un informe PIA con recomendaciones, riesgo residual y aprobaciones firmadas.
• Revisión: remitir a Seguridad de TI, Asesoría Jurídica y gestores del programa para comentarios y aprobación.
• Seguimiento: establecer revisiones periódicas, actualizar la PIA por cambios materiales y conservar registros según los plazos de la ciudad.

Sanciones y cumplimiento

La aplicación por incumplimiento de privacidad y manejo de datos en proyectos municipales se realiza a través de la supervisión departamental, remedios contractuales y procesos legales en lugar de un único calendario de multas publicado en las páginas citadas. Las multas monetarias específicas por incumplimiento de PIA no están especificadas en las páginas citadas; la acción correctiva normalmente implica órdenes de corrección, sanciones contractuales o remisión a autoridades reguladoras según corresponda.

• Importes de multas: no especificado en la página citada.
• Escalado: procedimientos para primera, repetida y continuada no especificados en la página citada.
• Sanciones no monetarias: órdenes correctivas, suspensión del uso del sistema, remedios por incumplimiento de contrato y acciones legales según departamento y términos contractuales.
• Responsable e inspecciones: Seguridad de TI departamental, el gestor de contrato o la Asesoría Jurídica pueden liderar la aplicación; se pueden usar las páginas de contacto o registros públicos de la ciudad para reportar inquietudes.
• Apelaciones y revisiones: las vías de apelación dependen del departamento e incluyen revisión administrativa o apelaciones municipales; los plazos para apelar no están especificados en las páginas citadas.
• Defensas/discreción: excusas razonables documentadas, variaciones aprobadas y planes de mitigación firmados pueden considerarse cuando lo permitan las políticas departamentales.

Solicitudes y formularios

La ciudad no publica un formulario PIA estándar en las páginas citadas; los departamentos pueden requerir plantillas internas o cuestionarios de privacidad relacionados con contratación. Para solicitudes de registros o quejas formales, use las páginas oficiales de registros públicos y contacto de la Ciudad de Long Beach.

Funciones y responsabilidades

• Patrocinador del proyecto: asegura la iniciación de la PIA y la asignación de recursos.
• Gestor de proyecto: completa el mapeo de datos y la documentación de la PIA.
• Responsable de Seguridad/Privacidad de TI: revisa controles técnicos y aprueba estrategias de mitigación.
• Asesoría Jurídica: asesora sobre cumplimiento legal y cláusulas contractuales.
• Registros/City Clerk: gestiona solicitudes de registros públicos relacionadas con PIA o documentación del proyecto.

Pasos de acción para equipos de proyecto

• Paso 1: En concepto del proyecto, notificar a Seguridad de TI y solicitar la plantilla departamental si existe.
• Paso 2: Completar el mapeo de datos y un registro de riesgos; obtener revisión técnica.
• Paso 3: Enviar el informe PIA al departamento aprobador y conservar el registro firmado.
• Paso 4: Si la contratación implica proveedores, incluir obligaciones de privacidad y derechos de auditoría en los contratos.

Preguntas frecuentes

¿Qué es una Evaluación de Impacto de Privacidad?

Una PIA es una evaluación documentada de los riesgos de privacidad de un proyecto, sistema o programa y los controles para mitigarlos.

¿Quién debe iniciar una PIA?

Los patrocinadores o gestores de proyecto para proyectos de la ciudad que recolectan o procesan datos personales deben iniciar una PIA; confirme los requisitos con Seguridad de TI o el responsable del departamento.

¿Dónde presento una PIA o denuncio una preocupación de privacidad?

Preséntela al departamento del proyecto, a Seguridad de TI o utilice las páginas oficiales de la Ciudad de Long Beach para registros públicos o contacto.

Cómo

1. Identifique si el proyecto procesará datos personales y documente el propósito legal.
2. Mapee los elementos de datos, ubicaciones de almacenamiento, transferencias y periodos de retención.
3. Evalúe los riesgos de privacidad y proponga controles técnicos, contractuales y administrativos.
4. Remita el borrador de la PIA a Seguridad de TI y a Asesoría Jurídica para revisión y aprobación.
5. Conserve la PIA final con los registros del proyecto y programe revisiones periódicas ante cambios.

Ayuda y recursos

• City of Long Beach - Public Records
• City of Long Beach - Information Technology
• Long Beach Development Services (Planning & Building)
• City Clerk - Records & Elections

1. [1] City of Long Beach - Public Records
2. [2] City of Long Beach - Information Technology