Evaluacion de Impacto de Privacidad de South Boston - Ley municipal

South Boston, Massachusetts proyectos que recopilan o procesan datos personales deben seguir los requisitos de la ciudad para evaluar riesgos de privacidad antes de su implementación. Esta guía explica cuándo se espera una Evaluación de Impacto de Privacidad (EIP) para tecnología municipal o financiada por la ciudad, quién hace cumplir el requisito, cómo preparar una EIP y pasos prácticos para cumplir cuando planifique nuevos sensores, análisis o software que maneje datos de residentes en South Boston.

Cuando se requiere una EIP

Normalmente se requiere una EIP para sistemas nuevos o modificados materialmente que manejan datos personales, identificadores biométricos, vigilancia por video o intercambio de datos a gran escala que involucre departamentos de la Ciudad de Boston o proyectos financiados por la ciudad. Los departamentos que implementan dicha tecnología deben evaluar los riesgos de privacidad, documentar los flujos de datos, retención, controles de acceso y medidas de mitigación antes de la adquisición o el lanzamiento; los disparadores y plantillas específicas son publicados por las oficinas de supervisión de la ciudad.^[1] Para políticas de TI y orientación de gobernanza de datos consulte las páginas de Innovación y Tecnología de la ciudad.^[2]

Alcance y elementos centrales de una EIP

• Describir el sistema, el proveedor y el patrocinador del proyecto.
• Listar las categorías de datos personales recopilados y la base legal para el procesamiento.
• Mapear los flujos de datos, ubicaciones de almacenamiento, calendarios de retención y procedimientos de eliminación.
• Evaluar riesgos de privacidad y mitigaciones propuestas (minimización, cifrado, controles de acceso).
• Identificar medidas de transparencia: avisos, señalización, informes públicos y registros de intercambio.

Sanciones y cumplimiento

La aplicación de los requisitos de EIP y las reglas relacionadas con la vigilancia o el uso de datos se gestiona mediante mecanismos de supervisión de la Ciudad de Boston y los departamentos que implementan la tecnología. Las páginas públicas de la ciudad describen la ordenanza y el proceso de supervisión pero no incluyen tablas detalladas de multas en la misma página; los montos de las multas y sanciones administrativas no están especificados en la página citada.^[1]

• Multas monetarias: no especificadas en la página citada.
• Escalada: procedimientos para primera, repetida y continuada infracción no especificados en la página citada.
• Sanciones no monetarias: órdenes de cese de uso, retirada de sistemas, informes públicos y revisión civil o judicial están identificadas como vías de aplicación cuando proceda.
• Organismo aplicador: oficinas de supervisión de la ciudad, departamentos que despliegan (por ejemplo, Policía u otros departamentos municipales), y los procesos de revisión del City Council; los puntos de contacto para quejas y supervisión son publicados por la ciudad.^[1]
• Vías de apelación/revisión: apelaciones o revisión judicial son posibles pero los plazos administrativos específicos no están especificados en la página citada.

Solicitudes y formularios

La ciudad publica plantillas de EIP y procedimientos de aviso público cuando corresponde; los departamentos suelen presentar EIP a las oficinas de supervisión designadas antes de la contratación. Si no se requiere un formulario oficial para una tecnología concreta, las páginas citadas dirigen a los departamentos a la orientación y al proceso de supervisión de la ciudad en lugar de una solicitud con tarifa.^[2]

Pasos de acción para equipos de proyecto en South Boston

• Comience la redacción de la EIP durante el diseño y antes de la contratación.
• Utilice la plantilla u orientación de la ciudad y registre las decisiones de mitigación.
• Contacte a la oficina de supervisión de la ciudad o al responsable del departamento para una revisión previa a la presentación.
• Presupueste controles de privacidad, señalización y obligaciones de aviso público.

Preguntas frecuentes

Quien decide si mi proyecto en South Boston necesita una EIP?

El departamento desplegador de la Ciudad de Boston, en consulta con las oficinas de supervisión de la ciudad, decide; los proyectos que afectan datos personales o tecnología de vigilancia suelen requerir una EIP.^[1]

Hay tasas para presentar una EIP?

Las tasas no se describen en las páginas de orientación de la ciudad; muchas EIP municipales se presentan sin una tarifa de presentación separada salvo que las reglas de contratación indiquen lo contrario.

Cuanto tarda la revisión?

El tiempo de revisión varía según el departamento y la complejidad del proyecto; las páginas citadas no ofrecen plazos fijos de revisión y recomiendan la presentación temprana.^[2]

Como hacerlo

1. Documente el proyecto: alcance, tipos de datos, objetivos y proveedores.
2. Mapee los flujos de datos y la retención; enumere los controles de acceso.
3. Identifique riesgos y proponga mitigaciones (minimización, cifrado, anonimización).
4. Complete la plantilla de EIP de la ciudad y envíela a la oficina de supervisión designada para su revisión.
5. Publique los avisos requeridos e implemente planes de supervisión y auditoría antes del lanzamiento.

Puntos clave

• Inicie las EIP temprano para alinear la contratación y la revisión de privacidad.
• La supervisión de la ciudad se centra en transparencia, mitigación y registros para proyectos de datos y vigilancia.

Ayuda y soporte / Recursos

• City of Boston - Innovation and Technology
• City of Boston - Surveillance Technology and Oversight
• City of Boston - City Clerk (ordinances and records)

1. [1] City of Boston - Surveillance Technology and Oversight
2. [2] City of Boston - Innovation and Technology