Requisitos para proveedores que manejan datos de residentes en Oklahoma City - Preguntas frecuentes

Oklahoma City, Oklahoma exige que los proveedores que manejan datos de residentes bajo contratos municipales sigan los términos de contratación, anexos de seguridad de datos y obligaciones de registros públicos. Esta guía explica qué oficinas de la ciudad establecen las reglas, dónde aparecen los requisitos en los documentos de contratación y los pasos prácticos que los proveedores deben tomar al procesar o almacenar información de identificación personal (PII) de residentes. Lea estas disposiciones al inicio de la licitación y negociación contractual para incluir salvaguardias requeridas, procesos de notificación de incidentes y cooperación con auditorías de la ciudad.

Ámbito y normas aplicables

Los requisitos suelen aparecer en tres lugares oficiales: los requisitos de compras/procurement de la Ciudad, las reglas de registros públicos de la Ciudad y los términos del contrato, y el código municipal u ordenanzas que implementan la autoridad contractual. Los proveedores deben revisar los materiales de la División de Compras para ver el lenguaje específico de contratación Recursos para proveedores - División de Compras^[1], la orientación del Secretario Municipal sobre registros públicos para obligaciones de divulgación Registros públicos - City Clerk^[2], y el código municipal consolidado para autoridad y definiciones Código de Ordenanzas de Oklahoma City^[3].

Controles obligatorios que deben esperar los proveedores

• Minimización de datos y limitación de propósito: recopilar solo los datos necesarios para cumplir el contrato.
• Controles de acceso y registros para el personal que maneja datos de residentes.
• Cláusulas de confidencialidad contractuales y un anexo de seguridad de datos donde la Ciudad prescribe medidas técnicas.
• Requisitos de seguro e indemnización que pueden incluirse en los documentos de contratación.
• Plazos requeridos de notificación de violaciones a la Ciudad y a las personas afectadas, cuando corresponda.

Multas y ejecución

Las sanciones y la ejecución por el manejo inadecuado de datos de residentes suelen surgir de los recursos contractuales, la ley de registros públicos y, cuando proceda, ordenanzas específicas. Las cantidades monetarias exactas y las sanciones penales no están consolidadas en un solo texto municipal; cuando existan montos o sanciones específicas aparecerán en el contrato aplicable, la ordenanza o la ley estatal. Para incumplimientos contractuales, la Ciudad puede aplicar recursos contractuales como retener pagos, rescisión por incumplimiento y daños; los detalles se rigen por el lenguaje del contrato y la División de Compras. Para violaciones de registros públicos o divulgación inapropiada, el Secretario Municipal y el Fiscal Municipal pueden ordenar medidas correctivas y buscar recursos estatutarios cuando estén disponibles. Consulte las fuentes de la División de Compras y del Secretario Municipal para el lenguaje que controla^[1][2].

• Cantidad de las multas: no especificado en las páginas citadas; los revisores deben verificar el contrato o la ordenanza específica para los montos en dólares.
• Escalamiento: el tratamiento de la primera, repetida y continua infracción lo determinan los términos del contrato u ordenanza y no está especificado en las páginas citadas.
• Sanciones no monetarias: retención de pagos, suspensión o terminación del contrato, medidas cautelares y acciones judiciales son recursos típicos; los procedimientos exactos dependen del contrato y la acción del Fiscal Municipal.
• Enforcement: la División de Compras supervisa el cumplimiento del contrato; el Secretario Municipal aplica obligaciones de registros públicos; el Fiscal Municipal maneja la aplicación legal y litigios. Para contactos y vías de denuncia oficiales vea las páginas departamentales^[1][2].
• Apelaciones/revisión: se aplican las cláusulas de disputa contractual y los procedimientos de protestas o apelaciones establecidos; los plazos específicos para protestas o apelaciones se establecen en los documentos de contratación o en las ordenanzas y no están especificados en las páginas citadas.
• Defensas y discreción: medidas de seguridad razonables documentadas, cumplimiento de un plan de seguridad aprobado, o la posesión de permisos/aprobaciones contractuales requeridas pueden ser consideradas; las defensas exactas se establecen en los términos del contrato.

Solicitudes y formularios

La Ciudad mantiene el registro de proveedores y formularios de contratación a través de la División de Compras; los anexos específicos de seguridad o los anexos contractuales se adjuntan por licitación. La página de recursos para proveedores de la División de Compras lista el registro de proveedores y los documentos de licitación, mientras que los contratos específicos incluyen los anexos requeridos^[1]. Si no se publica un formulario separado de seguridad de datos en una licitación, el contrato indicará los controles requeridos o hará referencia a un estándar de la Ciudad; si existe un formulario o anexo con nombre, aparecerá en los documentos de la licitación.

Pasos prácticos de cumplimiento

• Antes de licitar: revise los anexos de la licitación y cualquier anexo de seguridad de datos listado en la División de Compras^[1].
• Documente medidas técnicas y organizativas (controles de acceso, cifrado, registros).
• Asegure que los subcontratistas cumplan las mismas protecciones e incluya cláusulas de transmisión en subcontratos.
• Establezca un plan de respuesta a violaciones con plazos de notificación a la Ciudad y a los residentes afectados según requiera el contrato.

Preguntas frecuentes

¿Necesitan los proveedores una certificación separada de seguridad de datos para trabajar con Oklahoma City?

No siempre; las licitaciones específicas pueden requerir un anexo de seguridad de datos firmado o prueba de controles. Revise los anexos de la licitación en la página de la División de Compras para cualquier certificación o anexo requerido.^[1]

¿Quién aplica la divulgación de registros públicos para datos de residentes en poder de proveedores?

El Secretario Municipal administra las solicitudes de registros públicos y coordina divulgaciones con el Fiscal Municipal; los proveedores deben seguir las instrucciones contractuales y contactar al Secretario Municipal para orientación.^[2]

¿Qué ocurre después de una violación que involucra datos de residentes?

Siga el procedimiento de notificación de violaciones del contrato, notifique al contacto de la Ciudad indicado en el contrato y coopere con cualquier investigación de la Ciudad; los pasos de remediación específicos se establecen en el contrato o en la ordenanza aplicable.^[1]

¿Dónde encuentro la ordenanza que controla o la definición de "información personal"?

Las definiciones y la autoridad de la ordenanza se encuentran en el Código de Ordenanzas de la Ciudad; los proveedores deben consultar el código municipal y los documentos de la licitación para confirmar las definiciones aplicadas por la Ciudad.^[3]

Cómo hacerlo

1. Regístrese como proveedor a través de los recursos de la División de Compras y supervise las licitaciones activas.^[1]
2. Revise los anexos de la licitación, identifique cualquier anexo de seguridad de datos y prepare los anexos o respuestas requeridas.
3. Implemente y documente los controles exigidos en un cuaderno de cumplimiento o anexo para presentar con su propuesta.
4. Si ocurre una violación, siga los pasos de notificación del contrato de inmediato y coopere con el Secretario Municipal y el Fiscal Municipal según se indique.

Ayuda y recursos

• División de Compras - Recursos para proveedores
• City Clerk - Registros públicos
• Código de Ordenanzas de Oklahoma City (Municode)

1. [1] City of Oklahoma City Purchasing Division - Vendor resources
2. [2] City of Oklahoma City City Clerk - Public Records
3. [3] Oklahoma City Code of Ordinances - Municode