Evaluaciones de impacto de privacidad - Proyectos de la ciudad de Indianapolis

En Indianapolis, Indiana, los departamentos municipales evalúan los riesgos de privacidad de los proyectos que manejan datos personales para proteger a los residentes y cumplir con las políticas y obligaciones legales municipales. Las evaluaciones de impacto de privacidad (PIA) suelen ser preparadas por el responsable del proyecto con aportes técnicos de los equipos de tecnología de la información o de datos y revisión legal por parte del abogado municipal u Oficina del Asesor Jurídico. Para la política y la orientación de la ciudad, consulte la declaración de privacidad y la orientación administrativa.^[1] Muchas obligaciones procedimentales y legales derivan del código municipal y las normas administrativas y no de un único formulario publicado de PIA.^[2]

Qué cubre una evaluación de impacto de privacidad

Una PIA documenta el ciclo de vida de los datos para un proyecto municipal y evalúa la necesidad, minimización, la base legal, retención, controles de acceso, el intercambio y los riesgos de divulgación. Debe identificar salvaguardas técnicas, roles con acceso y si se aplican normas estatales o federales.

Quién es responsable

• Responsable del proyecto o gerente del programa — inicia y compila la PIA.
• TI del departamento o personal de la Oficina del Director de Información — proporcionan revisión técnica y recomendaciones de mitigación de riesgos.
• Oficina del Asesor Jurídico — proporciona revisión legal y asesoramiento sobre cumplimiento y divulgaciones.^[3]
• Oficiales de datos o privacidad cuando estén asignados — mantienen registros y supervisan la publicación y el seguimiento de la PIA.

Sanciones y ejecución

La ejecución por violaciones de privacidad o manejo de datos en sistemas municipales puede ser emprendida por el departamento que opera el sistema en coordinación con la Oficina del Asesor Jurídico; las multas monetarias específicas o los calendarios de sanciones administrativas para las PIA no están especificados en las páginas municipales citadas.^[2]

• Multas monetarias: no especificadas en la página citada.
• Escalada: correcciones iniciales; las violaciones repetidas o continuas pueden dar lugar a acciones administrativas o legales según lo maneje el abogado de la ciudad — los rangos específicos no están especificados en la página citada.
• Sanciones no monetarias: órdenes de cesar el procesamiento de datos, planes de acción correctiva, suspensión de contratos o remisión a tribunales.
• Autoridad ejecutora: el departamento que posee el proyecto y la Oficina del Asesor Jurídico; las quejas y las remisiones legales se manejan mediante los canales oficiales de la ciudad.^[3]
• Vías de inspección y queja: envíe las preocupaciones al departamento responsable y a la Oficina del Asesor Jurídico.
• Recursos/apelaciones: los mecanismos y plazos para la revisión administrativa no están especificados en las páginas municipales citadas y se manejan conforme a la práctica administrativa de la ciudad; consulte a la Oficina del Asesor Jurídico para plazos y procedimientos.^[2]

Solicitudes y formularios

No hay un formulario estándar de PIA publicado en las páginas citadas de la ciudad; los departamentos suelen usar plantillas internas o formularios de entrada de TI. Para formularios de entrada de proyectos específicos, comuníquese con el equipo de TI del departamento o la Oficina del Asesor Jurídico para orientación.^[1]

Pasos prácticos para gestionar las PIA

• Planifique la PIA en la concepción del proyecto para identificar necesidades de privacidad a tiempo.
• Documente las categorías de datos, fuentes, flujos de datos, programas de retención y acceso de terceros.
• Implemente salvaguardas técnicas: cifrado, controles de acceso y registro de eventos.
• Obtenga revisión legal de la Oficina del Asesor Jurídico antes del lanzamiento.^[3]

Preguntas frecuentes

¿Quién realiza una evaluación de impacto de privacidad para proyectos municipales?

El responsable del proyecto compila la PIA con aportes técnicos de TI del departamento y revisión legal de la Oficina del Asesor Jurídico.

¿Cómo solicito una PIA para un nuevo sistema de la ciudad?

Contacte la entrada de TI de su departamento o la Oficina del Asesor Jurídico para iniciar la revisión; los departamentos pueden exigir formularios internos de entrada.

¿Qué hago si encuentro una violación de privacidad?

Reporte el problema al departamento responsable y a la Oficina del Asesor Jurídico; siga los procedimientos departamentales para solicitudes de registros o inquietudes sobre datos.

Cómo hacer

1. Identifique un proyecto que recopile o procese datos personales y notifique al responsable de TI del departamento.
2. Reúna documentación: tipos de datos, flujos de datos, horas de retención y acceso de terceros.
3. Realice la evaluación de riesgos y enumere las salvaguardas técnicas y organizativas.
4. Solicite revisión legal a la Oficina del Asesor Jurídico y realice los cambios requeridos.
5. Registre las decisiones y publique cualquier resumen redactado o divulgaciones requeridas según la práctica del departamento.

Puntos clave

• Comience las PIA temprano para reducir riesgos de privacidad y retrabajos.
• Involucre a TI y a la Oficina del Asesor Jurídico para la revisión técnica y legal.
• Documente las decisiones y mantenga un registro de la PIA para auditorías y rendición de cuentas.

Ayuda y soporte / Recursos

• Portal de datos abiertos de la ciudad de Indianapolis
• Department of Metropolitan Development - City of Indianapolis
• Indy 311 - servicios y reportes de la ciudad

1. [1] City of Indianapolis privacy statement and guidance
2. [2] Indianapolis Code of Ordinances (municipal code)
3. [3] Office of Corporation Counsel - City of Indianapolis