1. Inicio
  2. privacy act
  3. FedSEP Evaluación Del Impacto En La Privacidad 22 De Junio De 2015

FedSEP Evaluación Del Impacto En La Privacidad 22 De Junio De 2015

En las siguientes leyes y reglamentaciones, se establecen requisitos específicos respecto de la confidencialidad, integridad y disponibilidad de los datos procesados, almacenados y transmitidos mediante el Portal EEO del sector federal (FedSEP):

  • Ley de Fraudes y Abusos Informáticos de 1984
  • Ley Federal de Administración de la Seguridad de la Información de 2002
  • Ley para la Reducción de Documentos de 1980
  • Título VII de la Ley de Derechos Civiles de 1964, y sus modificaciones
  • Ley de Igualdad Salarial de 1963, y sus modificaciones
  • Ley de Discriminación por Edad en el Empleo de 1967, y sus modificaciones
  • Secciones 501 y 505 de la Ley de Rehabilitación de 1973
  • Título I y Título V de la Ley sobre Estadounidenses con Discapacidades de 1990, y sus modificaciones
  • Ley de Derechos Civiles de 1991
  • Orden 240.005 de la EEOC, Programa de seguridad de la información de la EEOC
  • Apéndice A, Orden 240.005 de la EEOC, Responsabilidades de los empleados de la EEOC en materia de seguridad de la información
  • Orden 150.003 de la EEOC, Ley de Privacidad de 1974, y sus modificaciones
  • Leyes y reglamentaciones públicas aplicables a todas las agencias federales
  • Sección 552a, Título 5 del § Código de los Estados Unidos (USC), Ley de Libertad de la Información de 1996, modificada por la Ley Pública n.° 104-231, Ley 110, pág. 3048
  • Sección § 552a, Título 5 del Código de los Estados Unidos (USC), Ley de Privacidad de 1974, y sus modificaciones
  • Ley Pública 100-503, Ley de Cotejo Informático y Privacidad de 1988
  • Sección § 208 de la Ley de Gobierno Electrónico de 2002
  • Sección § 5 de la Ley de la Comisión Federal de Comercio
  • Capítulos 21, 29, 31 y 33, Título 44 del Código de los Estados Unidos (USC), Ley de Registros Federales
  • Subcapítulo B, Capítulo XII, Título 35 del Código de Reglamentaciones Federales
  • Circular A-130 de la Oficina de Administración y Presupuesto (OMB), Administración de recursos federales de información, 1996
  • Memorando M-10-23 de la OMB, Guía para el uso de sitios web de terceros por parte de la agencia
  • Memorando M-99-18 de la OMB, Políticas de privacidad sobre los sitios web federales
  • Memorando M-03-22 de la OMB, Guía de la OMB para la implementación de disposiciones en materia de privacidad
  • Memorando M-07-16 de la OMB, Protección y respuesta ante la filtración de PII
  • Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de 1996
  • Leyes estatales en materia de privacidad

Se deberá proteger el derecho a la privacidad de las personas en las actividades de información del gobierno federal que involucren el uso de información personal. En esta evaluación, se aborda el impacto en la privacidad del FedSEP.

Datos en el Sistema

1. Por lo general, se describe la información que se usará en el sistema en cada una de las siguientes categorías: usuarios de la agencia y empleados de la EEOC.

El Portal EEO del sector federal (FedSEP) facilita el envío de datos y documentos en materia de EEO por parte de las agencias federales a la Comisión para la Igualdad de Oportunidades en el Empleo (EEOC), de acuerdo con las directivas de administración (p. ej., MD-715), requisitos de informes del Congreso (p. ej., Formulario 462) y la aplicación de leyes antidiscriminación en el sector federal (p. ej., audiencias federales, apelaciones federales).

En el año fiscal 2013, la EEOC inició el FedSEP para permitir que todas las agencias federales proporcionen la recopilación y el envío de datos electrónicos del Informe del programa de EEO de la agencia federal (MD-715).

Durante el año fiscal 2014, la EEOC expandió el FedSEP para que incluya el envío y el análisis integrado para el Informe estadístico anual federal de datos de las denuncias por discriminación en materia de igualdad de oportunidades en el empleo (Formulario 462 de la EEOC).

En el año fiscal 2015, la EEOC continuó expandiendo el FedSEP a fin de permitir que las agencias carguen expedientes de denuncias y verifiquen el estado de sus denuncias en las etapas de audiencias y apelaciones del proceso de EEO.

El portal FedSEP se ha integrado usando componentes estándar y para empresas basados en Java (JEE), tales como JavaServer Faces (JSF), para generar dinámicamente la interfaz de usuario (UI) de la capa de presentación, y Enterprise JavaBeans (EJB) para conectar fuentes de datos, tales como bases de datos relacionados y el Sistema de administración de contenido corporativo (ECM).

2. ¿Cuáles son las fuentes de información en el sistema?

Las fuentes primarias de información son los usuarios de la agencia federal que cargan archivos de datos en materia de EEO (incluidos los formularios MD715 y 463) y la aplicación de leyes antidiscriminación en el sector federal. Los usuarios de las agencias federales también cargan todos los documentos de soporte adicionales que eventualmente se almacenan en el ECM.

2.1. ¿Qué archivos y bases de datos de la EEOC se usan?

La mayoría de los datos de EEO se almacenan dentro de la estructura Oracle DBMS independiente diseñada específicamente para la aplicación del FedSEP, que tiene un acceso administrativo sumamente restringido. Los documentos de soporte para ambos, los datos de EEO y los expedientes de denuncias, se almacenan en Alfresco, que es un Sistema de administración de contenido corporativo.

2.2. ¿Qué agencias federales proporcionan datos para ser usados en el sistema?

Existen más de 350 agencias federales que proporcionan datos demográficos y de denuncias de empleados.

2.3. ¿Qué agencias estatales y locales proporcionan datos para ser usados en el sistema?

Ninguna.

2.4. ¿De qué otras fuentes externas se recopilarán datos?

De ninguna.

2.5. ¿Qué información se recopilará de los usuarios de la agencia?

Los archivos de datos en materia de EEO, los archivos de datos del denunciante y documentos de soporte.

3. ¿Cómo se verificará la precisión de los datos que se recopilen de fuentes distintas de los registros de la EEOC y de los usuarios de la agencia?

Solo los usuarios de la agencia proporcionan datos en el FedSEP.

3.1. ¿Cómo se verificará la integridad de los datos?

Integradas en el FedSEP, hay reglas empresariales bien definidas que validan y verifican datos antes de procesarlos para conocer su nivel de compleción.

3.2. ¿Están los datos actualizados? ¿Cómo lo sabe?

Sí, los datos están actualizados. Los datos de EEO y de denuncias están actualizados porque las agencias deben completar ambos anualmente con información del año anterior. En cuanto a los documentos de audiencias y apelaciones, están actualizados porque se ingresan solo para casos abiertos, o casos que se prevé que estén abiertos; por ello, los documentos deben estar actualizados con el caso en cuestión.

4. Los elementos de los datos, ¿se describen en detalle y se documentan? En caso afirmativo, ¿cómo se llama el documento?

Sí:

  • Status and Dynamic Requirement Document.pdf
  • XML Valid Table Group Row Combination Requirements (Requisitos de combinación de grupos de filas en tabla válida para XML)
  • List of Agency Codes for MD-715 (Lista de códigos de agencias para MD-715)
  • XML Schema Definition Requirement Document (Documento de requisitos de definición de esquema XML)
  • Hearing Documentation Types.xls
  • Appeal Documentation Types.xlsx

5. ¿Quién tendrá acceso a los archivos de datos de EEO y los documentos de soporte que obran en el sistema (usuarios, gerentes, administradores del sistema, desarrolladores, otros)?

Los usuarios de agencias tienen acceso a sus datos de EEO y expediente de denuncia que los usuarios de la agencia cargan al sistema. Los empleados de la EEOC con credencial de inicio de sesión tienen acceso de "solo lectura" a datos de todas las agencias; no pueden realizar cambios a los datos enviados por los usuarios de las agencias.

6. ¿Cómo se determina el acceso a los datos por parte de un usuario? ¿Se documentan los criterios, los procedimientos, los controles y las responsabilidades respecto del acceso?

FedSEP tiene seguridad por nivel de funciones. Cada aplicación del FedSEP tiene funciones definidas que determinan el control de acceso de un usuario a las características de la aplicación. Un usuario puede tener una función para cada área de la aplicación (EEO Data [Datos de EEO], Complaint Data [Datos de denuncias] o Complaint files [Expedientes de denuncias]). Los usuarios del FedSEP que tienen una función de "EEO Director" (Director de EEO) o "User Account Administrator" (Administrador de cuenta de usuario) pueden aprobar o negar solicitudes de cuenta del FedSEP para su agencia. Algunos empleados de la EEOC con cuentas del FedSEP tienen una función de "System Administrator" (Administrador de sistema) y pueden acceder a datos de EEO de la agencia y a expedientes de denunciantes.

7. ¿Tendrán los usuarios acceso a todos los datos del sistema o tendrán un "acceso restringido"?

Los usuarios de la agencia tienen acceso a datos que pertenecen solamente a su agencia y, en algunos casos, acceso solamente a aquellos datos que se les asignan específicamente. Los usuarios de la EEOC tienen acceso de lectura a los datos en materia de EEO y de denuncias de la agencia enviados por cada usuario de la agencia a través del FedSEP.

8. ¿Qué controles se implementaron para evitar el uso indebido (p. ej., navegación) de los datos por parte de los usuarios con acceso?

Las funciones y el acceso del usuario de la agencia están asociados a una agencia; los directores de EEO de la agencia revisan el acceso para aprobar o negar el acceso a su propia agencia. Todos los usuarios de la agencia deben iniciar sesión con su identificación de usuario y contraseña. Las actualizaciones de los datos en materia de EEO y de denuncias de la agencia son registradas en el sistema por el usuario de la agencia que hace la modificación. Los usuarios de la EEOC tienen acceso de solo lectura a los archivos de datos de EEO y denuncias de todas las agencias.

9. ¿Comparten otros sistemas datos o tienen acceso a los datos de este sistema? En caso afirmativo, explicar. ¿Quién será responsable de proteger los derechos de privacidad de los contribuyentes y de los empleados afectados por la interfaz?

Sí, este sistema comparte datos con el Sistema integrado de misiones (IMS). Para obtener información adicional, consulte la evaluación del impacto en la privacidad (PIA) del IMS. Los usuarios de la agencia pueden visualizar datos limitados (números de registro de sumario de la apelación y denuncia de la EEOC, número de caso de la agencia, estado del caso, nombres del denunciante e información de contacto del juez administrativo de la EEOC) de casos de audiencias y apelaciones que hayan sido registrados en el IMS, y pueden añadir y modificar información sobre sus contactos y representantes legales específicos de la audiencia y apelación, obtenida del IMS y almacenada en este. También pueden iniciar y enviar casos no registrados a través del FedSEP y, si es necesario, eliminarlos antes de que se registre el sumario. FedSEP brinda una interfaz para acceder a datos de casos enviados por las agencias a los usuarios registrados asociados con esa agencia. Los usuarios aprobados de la agencia pueden administrar datos del contacto y representante legal y enviar documentos para un caso de audiencia o de apelación al cual tengan acceso. Además, pueden revisar documentos enviados por otros usuarios de la agencia para un caso al cual tengan acceso. En FedSEP no se almacenan datos relacionados con casos. Sin embargo, es posible acceder a los documentos relacionados con casos almacenados en Alfresco desde el FedSEP al igual que desde IMSNXG, y puede accederse a los datos del contacto y representante legal relacionado con el caso que estén almacenados en el IMS desde el FedSEP al igual que desde IMS Federal Hearings (Audiencias federales en el IMS) o IMS Federal Appeals (Apelaciones federales en el IMS). En el siguiente lanzamiento del FedSEP, planificado para el año fiscal 2016, los usuarios de la agencia también podrán revisar documentos enviados y publicados por los usuarios del IMS de la EEOC para la agencia.

10. ¿Compartirán otras agencias datos o tendrán acceso a los datos de este sistema (internacional, federal, estatal, local, otra)?

Ninguna agencia internacional, estatal ni local tiene acceso al FedSEP. Solo tienen acceso al FedSEP los usuarios registrados de la agencia federal que hayan sido aprobados por el director de EEO o por los gerentes de registro de su agencia. Las funciones de director de EEO o gerente de registro de cada agencia deben ser aprobadas por el administrador del sistema del FedSEP, una función disponible solo para usuarios del FedSEP en la EEOC.

11. ¿Cómo usará la agencia los datos? ¿Quién es responsable de asegurar el uso adecuado de los datos?

Las oficinas de la EEOC usan datos relacionados con audiencias y apelaciones (expedientes de denuncias) para investigar y realizar un seguimiento de un caso de discriminación en el empleo. El personal de la EEOC es responsable de asegurar el uso adecuado de los datos, que las políticas y las leyes de la EEOC establecen. La EEOC usa datos en materia de EEO para crear informes estadísticos. Los usuarios de la agencia utilizarán los datos de EEO para asegurar que los informes de MD-715 y del Formulario 462 se envíen debidamente a la EEOC. Utilizan datos de denuncias para garantizar la respuesta oportuna a la EEOC con los expedientes de denuncias y para recibir el estado de sus casos de audiencias y apelaciones.

12. ¿Cómo asegurará el sistema que las agencias solo obtengan la información a la que tienen derecho en virtud de las leyes o reglamentaciones pertinentes?

Los datos de EEO enviados por los usuarios de la agencia del FedSEP no son compartidos con usuarios de la agencia de otras agencias. Todo el acceso es controlado y administrado a través del acceso por nivel de función del usuario de la agencia y es aprobado por el director de EEO de la agencia. La información enviada por usuarios de la agencia a la EEOC es obligatoria conforme a las leyes de la EEOC y, por lo tanto, algunos usuarios de la EEOC que necesitan conocer esta información tienen acceso a todos los datos de EEO y a los expedientes de denuncias.

13. ¿Es relevante y necesario el uso de los datos para el propósito por el cual se diseña el sistema?

Sí, los datos son necesarios para realizar análisis en función de los datos del Informe del programa de EEO de la agencia federal (MD-715) y de datos del Informe estadístico de denuncias por discriminación (Formulario 462 de la EEOC). En el año fiscal 2015, FedSEP comenzó a permitir que las agencias carguen documentos necesarios y de soporte asociados con casos de audiencias y apelaciones. Además, permite que las agencias creen casos de audiencias y apelaciones no registrados para enviar, y añade o actualiza información del representante legal asociado con el caso. Esta información es necesaria para que la EEOC falle de manera efectiva en un caso de discriminación recibido de un denunciante.

14. ¿Generará el sistema datos nuevos o creará datos previamente no disponibles sobre una persona mediante la combinación de la información recopilada?

No. Los datos no son nuevos porque es un depósito documental de datos recopilados a través de los procedimientos existentes, generalmente envíos de los usuarios registrados de la agencia federal. No se combinan los datos de diversas fuentes.

14.1. ¿Se incluirán los datos nuevos en el registro de una persona (usuarios de la agencia)?

No corresponde.

14.2. ¿Puede el sistema tomar determinaciones sobre los usuarios de la agencia que no sería posible tomar sin los datos nuevos?

No corresponde.

15. Si se consolidan los datos, ¿qué controles se implementaron para proteger los datos del acceso o uso no autorizados?

La aplicación se hospeda en un entorno seguro, protegido por cortafuegos, certificados de seguridad, codificación, infraestructura de TI y controles internos, operativos y administrativos adecuados. Se implementan sistemas de detección de intrusiones y otros controles de seguridad. La aplicación se rige por las especificaciones y las pautas establecidas en la publicación especial 800-53 del NIST, "Security and Privacy Controls for Federal Information Systems and Organizations" (Controles de seguridad y privacidad para los sistemas de información federal y organizaciones), y cumple con estas. La seguridad física de la habitación que hospeda los servidores está sumamente restringida, como también lo está el acceso al edificio en sí.

15.1. Si se consolidan los procesos, ¿continúan implementados los controles adecuados para proteger los datos y evitar el acceso no autorizado? Explicar.

El acceso a los datos se otorga en función de las necesidades empresariales. Se implementan controles de seguridad adecuados para proteger los datos y evitar el acceso no autorizado. Estos controles fueron verificados a través de una evaluación de riesgo a cargo de terceros.

16. ¿Cómo se recuperarán los datos? ¿Se pueden recuperar mediante identificador personal? En caso afirmativo, explicar. ¿Cuáles son los potenciales efectos sobre los derechos del debido proceso de usuarios de la agencia o empresas respecto de lo siguiente: consolidación y vinculación de archivos y sistemas; generación de datos; aceleración del procesamiento de información y de la toma de decisiones; y uso de nuevas tecnologías? ¿Cómo se mitigarán los efectos?

Un usuario de la agencia solo puede acceder a datos que pertenecen a su agencia. Para los usuarios de la EEOC, la recuperación de datos solo está permitida por personal autorizado de la EEOC después del ingreso correcto de la combinación de información de inicio de sesión y contraseña.

Los datos de EEO no pueden ser recuperados a través de información que permita la identificación personal, ya que no recopilamos información para la identificación personal.

Las herramientas tecnológicas no controlan la toma de decisiones a nivel individual ni macro, sino que se utilizan para mejorar dicha toma. La toma de decisiones está controlada por las políticas y las reglamentaciones de toda la aplicación, así como por las leyes y las normas pertinentes a través de las cuales opera la agencia. Se establecen controles de programación y administrativos para asegurar los derechos vinculados con el debido proceso para todas las personas que pertenecen a una agencia federal.

Mantenimiento de controles administrativos

17. Explicar de qué manera el sistema y su uso asegurarán un trato equitativo de los usuarios de la agencia. Si se opera el sistema en más de un sitio, ¿cómo se mantendrá la uniformidad del uso del sistema y de los datos en todos los sitios?

El portal FedSEP usa reglas empresariales en todo el sistema basadas en procesos laborales de la agencia y en leyes que rigen la discriminación y la seguridad por nivel de funciones para asegurar un trato equitativo para todos los usuarios. Se trata de un sistema basado en la web y ubicado a nivel central, con funciones y normas controladas y administradas a nivel central.

17.1. Explicar cualquier posibilidad de trato desigual de personas o grupos.

A nuestro entender, es imposible ofrecer un trato desigual de personas o grupos debido al uso de la información del portal de usuarios de la agencia.

18. ¿Cuáles son los períodos de conservación de datos de este sistema?

Los datos de informes recopilados se conservan de manera indefinida en el FedSEP. Los usuarios de la agencia además pueden visualizar los informes históricos generados en función de los datos presentados anteriormente. Los documentos de soporte procesados a través del FedSEP se conservan temporalmente mientras se descargan al IMS. Una vez descargados al IMS, cumplen con esquemas de registros estándares de la EEOC relacionados con la conservación dentro del IMS.

18.1. ¿Cuáles son los procedimientos para eliminar los datos al finalizar el período de conservación? ¿Dónde se documentan los procedimientos?

No corresponde.

18.2. Mientras los datos se conservan en el sistema, ¿cuáles son los requisitos para determinar si los datos continúan siendo suficientemente precisos, relevantes, oportunos y continúan estando suficientemente completos para garantizar la equidad a la hora de tomar determinaciones?

Anualmente, las agencias federales proporcionan datos relacionados con el envío de MD-715 y del Formulario 462 en virtud del plazo de denuncia otorgado por la EEOC. Si no se realiza la carga, el jefe de la agencia o el director de EEO de la agencia certifican la precisión de los datos. FedSEP además realiza una verificación básica de validación e integridad al insertar los datos.

Los datos relacionados con las audiencias y apelaciones (documentos y datos del contacto/representante legal) pueden ser enviados por agencias que son responsables de asegurar la precisión de los datos enviados. Los documentos enviados por error por una agencia pueden "quitarse" para no estar visibles en FedSEP Hearings and Appeals (Audiencias y apelaciones de FedSEP), siempre y cuando la agencia que quite un documento ingrese un motivo que explique la eliminación del documento. Los documentos "eliminados" se conservan en Alfresco pero se marcan como "eliminados" y guardan una captura del motivo de la eliminación a fin de asegurar un historial de registro completo de los documentos enviados, incluidos los errores. La actividad de la agencia que modifica o añade datos del contacto o representante legal se captura en Activity Log (un registro de actividad); las modificaciones actualizan los datos correspondientes en el IMS. Las audiencias o apelaciones no registradas que fueron creadas por agencias pueden ser eliminadas por la agencia que las creó, siempre y cuando la EEOC no haya usado el caso sin registrar directamente para registrar el sumario de una audiencia o apelación.

19. ¿Está el sistema utilizando tecnologías de una manera jamás antes utilizada por la EEOC?

No.

19.1. ¿De qué manera afecta el uso de esta tecnología la privacidad de los contribuyentes/empleados?

La transmisión de información emplea tecnologías seguras. No se emplean cookies persistentes ni mecanismos de rastreo. Los datos se manejan de conformidad con las políticas y las leyes de la EEOC.

20. ¿Proporcionará el sistema la capacidad de identificar, localizar y monitorear a las personas? En caso afirmativo, explicar.

No.

20.1. ¿Proporcionará el sistema la capacidad de identificar, localizar y monitorear a grupos de personas? En caso afirmativo, explicar.

No.

20.2. ¿Qué controles se usarán para evitar el monitoreo no autorizado?

El acceso a datos de la agencia puede ser monitoreado y actualizado por directores y gerentes de registro de EEO. Las funciones de director y gerente de registro de EEO proporcionan una visualización total a quien accede a los datos, y permite que quienes tengan esa función actualicen esos datos en cualquier momento.

21. ¿En virtud de qué notificación sobre los Sistemas de registros (SORN) opera el sistema? Indicar el número y el nombre.

EEOC-GOVT-1, Employment Opportunity Complaint Records and Appeal Records (EEOC-GOVT-1, Registros de apelaciones y registros de denuncias de oportunidades en el empleo)