Evaluaciones de Impacto de Privacidad para Sistemas Municipales - Staten Island

En Staten Island, Nueva York, las agencias municipales que desarrollan o implementan sistemas de información que manejan datos personales deben evaluar los riesgos de privacidad antes del lanzamiento y durante cambios importantes. Esta guía explica cómo se utilizan las Evaluaciones de Impacto de Privacidad (PIA) en las agencias de la ciudad de Nueva York, quién hace cumplir la política de PIA, los pasos típicos de cumplimiento y cómo los residentes y el personal de Staten Island pueden informar preocupaciones sobre privacidad o solicitar revisiones. Se centra en acciones prácticas que deben tomar las agencias, formularios disponibles, plazos de revisión y cómo apelar o corregir una evaluación.

Qué es una Evaluación de Impacto de Privacidad (PIA)

Una PIA documenta cómo un sistema propuesto de la ciudad recopila, almacena, comparte y protege la información personal, y evalúa los riesgos para la privacidad y las libertades civiles. Las agencias utilizan las PIA para identificar medidas de mitigación, pasos de minimización de datos, límites de retención y controles de acceso. Las agencias deben mantener las PIA como parte de los registros de contratación y proyectos y actualizarlas cuando los sistemas cambien. Consulte la orientación y las plantillas oficiales para la presentación por parte de la agencia DoITT PIA guidance^[1].

Cuándo se requiere una PIA

• Sistemas nuevos o sustancialmente modificados que procesan datos personales identificables.
• Sistemas que integran múltiples conjuntos de datos o permiten nuevo intercambio de datos entre agencias.
• Proyectos que usan biometría, reconocimiento facial, seguimiento geolocalizado o herramientas de decisión automatizada.
• Revisiones periódicas para sistemas de larga duración o tras cambios importantes en políticas o tecnología.

Sanciones y aplicación

La política de PIA para sistemas municipales la gestiona y aplica a nivel de la ciudad el Department of Information Technology & Telecommunications (DoITT) y, cuando corresponda, los asesores generales de las agencias y el Law Department. La guía oficial identifica roles y pasos de presentación pero no enumera multas monetarias en la página de orientación DoITT PIA guidance^[1] ni en los recursos del Law Department NYC Law Department privacy resources^[2].

• Importes de multas: no especificado en la página citada.
• Escalado (primera/reincidente/continuada): no especificado en la página citada.
• Sanciones no monetarias: órdenes de detener el procesamiento, suspensión del sistema, remediación obligatoria y derivación al asesor legal de la agencia o al Law Department para acciones legales.
• Aplicador: DoITT para la política de PIA a nivel de ciudad; agencias individuales para el cumplimiento operativo; Law Department para la revisión legal y la aplicación.
• Vías de inspección y queja: oficinas de privacidad o cumplimiento de TI de la agencia y NYC 311 para quejas públicas.
• Apelaciones/revisiones: solicitudes de revisión a nivel de agencia y revisión por el Law Department; los plazos específicos para apelar no están especificados en la página citada.
• Defensas/discrecionalidad: necesidad comercial documentada, autoridad legal existente, variación aprobada o planes de mitigación (cuando estén disponibles en la política).

Solicitudes y formularios

La ciudad publica una plantilla de PIA e instrucciones de presentación en la página de orientación de DoITT. Esa plantilla es el formulario principal que las agencias deben usar para la documentación y revisión; las tasas y los plazos formales de presentación no se especifican en la página de orientación DoITT PIA guidance^[1]. Las agencias normalmente presentan las PIA a DoITT y conservan copias en los registros de contratación/proyecto.

Cómo cumplen las agencias

• Iniciar una PIA durante la planificación del proyecto y antes de adjudicar contratos.
• Documentar los flujos de datos, las categorías de datos personales, la retención, los controles de acceso y los procesadores externos.
• Incluir medidas de mitigación para los riesgos identificados y un plan para monitorear la eficacia.
• Mantener datos de contacto del oficial de privacidad de la agencia y las escalaciones a DoITT o al Law Department.

Preguntas frecuentes

¿Quién debe preparar una PIA?

Cualquier agencia municipal que lance o modifique materialmente un sistema que maneje datos personales identificables debería preparar una PIA según la orientación de DoITT.

¿Puede el público solicitar una PIA?

El acceso público varía; las agencias pueden divulgar resúmenes de PIA o versiones redactadas sujetas a revisión del departamento legal y protecciones de privacidad.

¿Existen sanciones por no realizar una PIA?

Las sanciones monetarias específicas no están especificadas en las páginas oficiales de orientación; la aplicación suele implicar remediación por parte de la agencia y revisión legal.

Cómo hacer

1. Determine el alcance: identifique si el proyecto procesa datos personales que requieren una PIA.
2. Complete la plantilla: rellene la plantilla de PIA de la ciudad, documentando flujos de datos, propósitos, base legal y retención.
3. Presente la PIA: envíe la PIA al oficial de privacidad de su agencia y siga los procedimientos de la agencia para la revisión por DoITT si es necesario.
4. Implemente y revise: aplique las mitigaciones, publique los resúmenes requeridos y programe revisiones periódicas.

Conclusiones clave

• Inicie las PIA al principio de la planificación para evitar retrabajos costosos.
• Use la plantilla oficial de DoITT y conserve los registros con los expedientes de contratación.

Ayuda y recursos

• DoITT - Privacy Impact Assessment guidance
• NYC Law Department - recursos sobre privacidad
• NYC 311 - presentar una queja o solicitar información

1. [1] DoITT privacy impact assessment guidance (official city page)
2. [2] NYC Law Department privacy resources (official city page)