Breadcrumb

  1. Inicio
  2. Privacy act
  3. Portal Público De La EEOC Evaluación Del Impacto En La Privacidad 11 De Junio De 2015

Portal Público De La EEOC Evaluación Del Impacto En La Privacidad 11 De Junio De 2015

En las siguientes leyes y reglamentaciones, se establecen requisitos específicos respecto de la confidencialidad, integridad y disponibilidad de los datos procesados, almacenados y transmitidos mediante el Portal público de la EEOC:

  • Ley de Fraudes y Abusos Informáticos de 1984
  • Ley Federal de Administración de la Seguridad de la Información de 2002
  • Ley para la Reducción de Documentos de 1980
  • Título VII de la Ley de Derechos Civiles de 1964, y sus modificaciones
  • Ley de Igualdad Salarial de 1963, y sus modificaciones
  • Ley de Discriminación por Edad en el Empleo de 1967, y sus modificaciones
  • Secciones 501 y 505 de la Ley de Rehabilitación de 1973
  • Título I y Título V de la Ley sobre Estadounidenses con Discapacidades de 1990, y sus modificaciones
  • Ley de Derechos Civiles de 1991
  • Orden 240.005 de la EEOC, Programa de seguridad de la información de la EEOC
  • Apéndice A, Orden 240.005 de la EEOC, Responsabilidades de los empleados de la EEOC en materia de seguridad de la información
  • Orden 150.003 de la EEOC, Ley de Privacidad de 1974, y sus modificaciones
  • Leyes y reglamentaciones públicas aplicables a todas las agencias federales
  • Sección 552a, Título 5 del § Código de los Estados Unidos (USC), Ley de Libertad de la Información de 1996, modificada por la Ley Pública n.° 104-231, Ley 110, pág. 3048
  • Sección § 552a, Título 5 del Código de los Estados Unidos (USC), Ley de Privacidad de 1974, y sus modificaciones
  • Ley Pública 100-503, Ley de Cotejo Informático y Privacidad de 1988
  • Sección § 208 de la Ley de Gobierno Electrónico de 2002
  • Sección § 5 de la Ley de la Comisión Federal de Comercio
  • Capítulos 21, 29, 31 y 33, Título 44 del Código de los Estados Unidos (USC), Ley de Registros Federales
  • Subcapítulo B, Capítulo XII, Título 35 del Código de Reglamentaciones Federales
  • Circular A-130 de la Oficina de Administración y Presupuesto (OMB), Administración de recursos federales de información, 1996
  • Memorando M-10-23 de la OMB, Guía para el uso de sitios web de terceros por parte de la agencia
  • Memorando M-99-18 de la OMB, Políticas de privacidad sobre los sitios web federales
  • Memorando M-03-22 de la OMB, Guía de la OMB para la implementación de disposiciones en materia de privacidad
  • Memorando M-07-16 de la OMB, Protección y respuesta ante la filtración de PII
  • Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de 1996
  • Leyes estatales en materia de privacidad

Se deberá proteger el derecho a la privacidad de las personas en las actividades de información del gobierno federal que involucren el uso de información personal. En esta evaluación, se aborda el impacto en la privacidad del Portal público de la EEOC. Parte de la información se obtuvo del análisis del umbral de la privacidad y de la evaluación del impacto en la privacidad de los casos electrónicos del SaaS, versión 1.1, que llevó a cabo AINS el 18 de enero de 2014.

Datos en el Sistema

1. Por lo general, se describe la información que se usará en el sistema en cada una de las siguientes categorías: Denunciante, Empresa, Empleado de EEOC, Otro.

El Portal público se desarrolló sobre la base de la plataforma de casos electrónicos del software como servicio (SaaS) proporcionado por AINS, Inc. Dicha empresa llevó a cabo una evaluación del impacto en la privacidad el 18 de enero de 2014. En lo que respecta a la EEOC, el Portal público les proporciona a los usuarios diferentes funciones, a saber:

  • Estado de los cargos en línea (también conocido como "Hitos de cargos"): diseñado para permitir que clientes externos con cargos abiertos puedan acceder a la información sobre el estado de sus cargos en línea. Esto mejorará el servicio al cliente al brindarles a los clientes acceso inmediato al estado de sus cargos, que incluye la información de contacto de la persona de la EEOC que fue asignada a los cargos en cuestión, junto con información sobre el proceso de los cargos.
  • Admisión en línea: un componente clave del proceso de los cargos del sector privado (incluidos cargos presentados ante entidades del gobierno estatal y local) es la evaluación inicial y la admisión de los cargos. El sistema de admisión en línea utilizará tecnología para proporcionarle al público la opción de realizar una autoevaluación, enviar una consulta previa a la presentación de cargos, coordinar una cita para una entrevista de admisión, recibir asesoramiento previo a la presentación de cargos (a través de cámaras web o mediante teleconferencia) y completar toda la presentación de cargos en línea. Este sistema también facilita las características de entrevista y admisión, que son clave en nuestra evaluación inicial y clasificación de los cargos.
  • FOIAXpress: es una aplicación integral para el procesamiento electrónico de las solicitudes en virtud de la Ley de Liberta de la Información (Ley FOIA). FOIAXpress administra todo el ciclo de vida de una solicitud en virtud de la Ley FOIA, desde la solicitud inicial hasta la entrega final de documentos, que incluye la administración de la correspondencia, la revisión y redacción de documentos y la presentación de informes.

2. ¿Cuáles son las fuentes de información en el sistema?

Las fuentes principales de información provienen de la potencial parte querellante, de la parte querellante, del solicitador en virtud de la Ley FOIA y del personal de la EEOC.

2.1. ¿Qué archivos y bases de datos de la EEOC se usan?

La mayoría de los datos se almacenan dentro de la estructura Oracle DBMS del Sistema integrado de misiones (IMS), que tiene un acceso administrativo sumamente restringido. Los documentos relacionados se almacenan en Alfresco y contienen un vínculo a los registros del IMS. En lo que respecta a las respuestas a las solicitudes en virtud de la Ley FOIA, los archivos pueden almacenarse en unidades compartidas de la red de la EEOC, unidades de computadoras portátiles de los empleados o en el Sistema de administración de documentos (DMS) de la EEOC.

El IMS permite la inserción y administración de registros que realizan un seguimiento de las acusaciones de discriminación en el empleo, tanto del sector privado como federal, desde el punto de contacto inicial a través de los procesos de investigación y litigio. El Portal público se conecta mediante una interfaz con el componente Administración de cargos del sector privado del IMS. En lo que respecta al Estado de los cargos en línea, el portar recupera datos sobre el estado desde el IMS para mostrárselos al usuario. En lo que respecta a la Admisión en línea, la información y los documentos que proporciona el usuario a través del portal son descargados en el IMS por motivos de almacenamiento y para la actividad de seguimiento.

2.2. ¿Qué agencias federales proporcionan datos para ser usados en el sistema?

Los datos de otras agencias federales no forman parte del Portal público.

2.3. ¿Qué agencias estatales y locales proporcionan datos para ser usados en el sistema?

Los socios de los gobiernos locales y estatales de las agencias de prácticas laborales equitativas (FEPA) de la EEOC usan el IMS para ingresar y llevar sus cargos de discriminación en el empleo. Es posible que las FEPA también creen y lleven información sobre cargos estatales y locales ajenos a la jurisdicción federal de la EEOC. Si el expediente de cargos está en posesión de la FEPA, en este caso, se le recomienda a un solicitante en virtud de la Ley FOIA relacionado que presente su solicitud de divulgación a la FEPA, y se cierra la solicitud federal en virtud de la Ley FOIA que recibió la EEOC.

2.4. ¿De qué otras fuentes externas se recopilarán datos?

De ninguna, salvo conforme se describe, a continuación, en la sección 2.5.

2.5. ¿Qué información se recopilará del imputado/de la empresa?

El denunciante, también denominado parte querellante, puede proporcionar la siguiente información en el IMS:

  • Nombre completo
  • Domicilio
  • Dirección de correo electrónico
  • Número de teléfono (particular, laboral o celular)
  • Fecha de nacimiento
  • Raza
  • Nacionalidad
  • Sexo
  • Datos sobre los cargos

Datos sobre el solicitante en virtud de la Ley FOIA:

  • Nombre del solicitante (primero y segundo nombres, y apellido)
  • Organización del solicitante
  • Categoría del solicitante (p. ej., uso comercial, instituto educativo, medios de comunicación, institución científica no comercial, otra)
  • Dirección del solicitante (calle, ciudad, código postal, país)
  • Números de teléfono del solicitante (particular, laboral, móvil, fax)
  • Dirección de correo electrónico del solicitante

Datos sobre la solicitud en virtud de la Ley FOIA:

  • Dirección para el envío (calle, ciudad, código postal, país)
  • Otra dirección (calle, ciudad, código postal, país) si es distinta a la dirección para el envío
  • Dirección de facturación (calle, ciudad, código postal, país) si es distinta a la dirección para el envío
  • Descripción de la solicitud (p. ej., qué está pidiendo el solicitante en virtud de la FOIA/PA)
  • Si, a la solicitud, le corresponde la aplicación de tarifas/emisión de facturas y realización de pagos, el sistema puede realizar un seguimiento del "monto adeudado", del "n.° de cheque", del "nombre del banco", de los datos sobre la tarjeta de crédito ("tipo de tarjeta", "n.° de tarjeta", "nombre que figura en la tarjeta", "mes de vencimiento").

Además, FOIAXpress para las solicitudes de casos electrónicos almacena "expedientes" dentro del registro de correspondencia de una solicitud Y dentro del módulo de administración de documentos (para los registros sujetos a la solicitud), que incluye, a modo de ejemplo, lo siguiente:

  • Correspondencia del solicitador (que puede incluir el nombre, la dirección, el n.° de teléfono, etc.)
    • Carta de solicitud entrante
    • Carta de aclaración
    • Tarifa para la carta de acuerdo
  • Correspondencia al solicitador (que puede incluir el nombre, la dirección, el n.° de teléfono, etc.)
    • Carta de acuse de recibo
    • Carta de respuesta final
    • Registros sujetos a la solicitud con eliminaciones
  • Expedientes de administración de documentos
    • Registros originales sujetos a la solicitud (sin eliminaciones)
    • Registros sujetos a la solicitud con eliminaciones

3. ¿Cómo se verificará la precisión de los datos que se recopilen de fuentes distintas a los registros de la EEOC y el denunciante o la empresa?

Todos los datos proporcionados por la potencial parte querellante o la parte querellante son verificados por un empleado de la EEOC mediante comunicación directa como parte del proceso de seguimiento e investigación.

3.1. ¿Cómo se verificará la integridad de los datos?

Determinados datos son monitoreados como parte de la función de ingreso de datos para asegurar la integridad de los campos obligatorios.

3.2. ¿Están los datos actualizados? ¿Cómo lo sabe?

La vigencia de los datos depende del estado de los cargos. Se validan y actualizan durante toda la vigencia de los cargos/de la denuncia/del caso; no obstante, se dejan de actualizar una vez que se resuelven o cierran los cargos/el caso/la denuncia. Es posible que los registros de la parte querellante se actualicen después del cierre si esta presenta otros cargos/otra denuncia/inicia otro caso ante la EEOC o una FEPA.

4. Los elementos de los datos, ¿se describen en detalle y se documentan? En caso afirmativo, ¿cómo se llama el documento?

Los elementos de los datos se describen en el módulo Especificaciones para cada área funcional del Portal público.

5. ¿Quién tendrá acceso a los datos que obran en el sistema (usuarios, gerentes, administradores del sistema, desarrolladores, otros)?

Cada aplicación tiene un titular del sistema que controla la autorización del acceso de personas dentro de su alcance. En el caso de que estas personas deban acceder al sistema, se remite una solicitud a la Oficina de tecnología de la información (OIT) de la EEOC para su procesamiento. Además de los usuarios del personal de la EEOC, los administradores de la base de datos del IMS y el personal de la mesa de ayuda técnica tienen acceso al sistema del Portal público.

El personal de AINS tendrá acceso directo a cualquier información relacionada de la agencia, salvo el personal que trabaje directamente con la agencia en cuestión para brindar asistencia técnica, por ejemplo, analistas, expertos, jefe técnico, con la autorización del representante de la agencia.

Los miembros del público tendrán acceso a Hitos, Admisión en línea y FOIAXpress para presentar información a la EEOC y consultar el estado de los cargos y las solicitudes.

6. ¿Cómo se determina el acceso a los datos por parte de un usuario? ¿Se documentan los criterios, los procedimientos, los controles y las responsabilidades respecto del acceso?

El acceso al Portal por parte de miembros del público estará controlado con interfaces seguras. Las aplicaciones registran el nombre de la persona que actualizó por última vez un registro. Todos los usuarios de la EEOC deben aceptar las Normas de conducta antes de que se les otorgue acceso a los datos de las aplicaciones. Todos los usuarios de la EEOC deben realizar capacitaciones anuales sobre la concientización en materia de seguridad de la información.

7. ¿Tendrán los usuarios acceso a todos los datos del sistema o tendrán un "acceso restringido"?

El acceso a los datos está doblemente restringido, primero, por las aplicaciones en el sistema y, segundo, por el perfil de acceso que se establezca para el usuario. Los miembros del público solo podrán ver los datos que estén directamente relacionados con sus cargos o solicitud en virtud de la Ley FOIA. Los miembros del público que hayan presentado una consulta en línea podrán ver la información o agregar datos solo en relación con su consulta específica.

8. ¿Qué controles se implementaron para evitar el uso indebido (p. ej., navegación) de los datos por parte de los usuarios con acceso?

El sistema de casos electrónicos tiene múltiples capas de seguridad que protegen el contenido al nivel del objeto y pueden aplicarse a un usuario, grupo de usuarios o grupo como una característica en general. El acceso a la cuenta dentro del sistema también está limitado porque los usuarios tienen un plazo definido durante el cual su acceso está realmente activo. Esta característica automática cerrará la sesión de los usuarios inactivos y deshabilitará su cuenta de usuario según sus necesidades de acceso. El sistema puede generar informes de uso y acceso personalizado, en los que se indicarán los usuarios que han estado inactivos o cuya acceso al sistema se deshabilitó, según sea necesario.

Además, la característica de pista de auditoría, la identificación única, los requisitos de autenticación y contraseña, y los requisitos de capacitación obligatoria en seguridad, privacidad y registros ayudarán a prevenir el acceso no autorizado a los datos, la navegación y el uso indebido.

9. ¿Comparten otros sistemas datos o tienen acceso a los datos de este sistema? En caso afirmativo, explicar. ¿Quién será responsable de proteger los derechos de privacidad de los contribuyentes y de los empleados afectados por la interfaz?

El Portal público tiene acceso a los datos del IMS para brindar información sobre el estado de los cargos, presentar una consulta sobre un cargo y marcar el registro de un cargo que recibió una solicitud en virtud de la Ley FOIA. La EEOC es responsable de proteger los derechos de privacidad de los contribuyentes y de los empleados afectados por la interfaz.

10. ¿Compartirán otras agencias datos o tendrán acceso a los datos de este sistema (internacional, federal, estatal, local, otra)?

Ocasionalmente, las agencias de investigación que celebran contratos con la EEOC reciben información resumida para llevar a cabo sus investigaciones. Todos los datos resumidos se solicitan mediante canales adecuados, y la EEOC controla el contenido de los datos de salida.

Los informes anuales en virtud de la Ley FOIA se generan y proporcionan al Departamento de Justicia.

11. ¿Cómo usará la agencia los datos? ¿Quién es responsable de asegurar el uso adecuado de los datos?

Las oficinas de la EEOC utilizan los datos de consultas para la admisión e investigación de cargos de discriminación en el empleo. Las oficinas de la EEOC utilizan los datos de solicitudes en virtud de la Ley FOIA para preparar respuestas a las solicitudes en virtud de la Ley de Libertad de la Información. El personal de la EEOC es responsable de asegurar el uso adecuado de los datos, que las políticas y las leyes de la EEOC hacen cumplir.

12. ¿Cómo asegurará el sistema que las agencias solo obtengan la información a la que tienen derecho en virtud de las leyes o reglamentaciones pertinentes?

Los informes anuales en virtud de la Ley FOIA se generan siguiendo pautas específicas y se proporcionan al Departamento de Justicia.

Atributos de los datos

13. ¿Es relevante y necesario el uso de los datos para el propósito por el cual se diseña el sistema?

Sí, los datos son necesarios para procesar una consulta en línea o una solicitud en virtud de la Ley FOIA.

14. ¿Generará el sistema datos nuevos o creará datos previamente no disponibles sobre una persona mediante la combinación de la información recopilada?

No. Los datos no se consideran nuevos porque es un repositorio para los datos recopilados a través de los procedimientos de admisión, por lo general, presentaciones de la potencial parte querellante. No se combinan los datos de diversas fuentes.

14.1. ¿Se incluirán los datos nuevos en el registro de una persona (denunciante o empresa)?

No corresponde. Los datos que se incluyen en los registros son datos recopilados de las partes en sí.

14.2. ¿Puede el sistema tomar determinaciones sobre los denunciantes o las empresas que no sería posible tomar sin los datos nuevos?

No corresponde.

14.3. ¿Cómo se verificarán los datos nuevos por motivos de relevancia y precisión?

No corresponde. Sin embargo, todos los datos se recopilan o verifican a través de procedimientos formales que siguen pautas procedimentales para los investigadores de la agencia.

15. Si se consolidan los datos, ¿qué controles se implementaron para proteger los datos del acceso o uso no autorizados?

La aplicación se hospeda en un entorno seguro, protegido por cortafuegos, certificados de seguridad, codificación, infraestructura de TI y controles internos, operativos y administrativos adecuados. Se implementan sistemas de detección de intrusiones y otros controles de seguridad. La seguridad física de la habitación que hospeda los servidores está sumamente restringida, como también lo está el acceso al edificio en sí.

15.1. Si se consolidan los procesos, ¿continúan implementados los controles adecuados para proteger los datos y evitar el acceso no autorizado? Explicar.

El acceso a los datos se otorga de acuerdo con las necesidades comerciales. Se implementan controles de seguridad adecuados para proteger los datos y evitar el acceso no autorizado. Estos controles fueron verificados a través de una evaluación de riesgo a cargo de terceros.

16. ¿Cómo se recuperarán los datos? ¿Se pueden recuperar mediante identificador personal? En caso afirmativo, explicar. ¿Cuáles son los potenciales efectos sobre los derechos del debido proceso de denunciantes o empresas respecto de lo siguiente: consolidación y vinculación de archivos y sistemas; generación de datos; aceleración del procesamiento de información y de la toma de decisiones; y uso de nuevas tecnologías? ¿Cómo se mitigarán los efectos?

Las personas externas, incluidas las partes querellantes y los imputados, pueden obtener acceso para consultar el estado de un cargo, que se obtiene de los datos del IMS, o el estado de una solicitud en virtud de la Ley FOIA, que se obtiene de FOIAXpress. Solo el personal autorizado de la EEOC tiene permitida la recuperación de los datos mediante el ingreso correcto de la combinación de inicio de sesión/contraseña. Dicho personal puede recuperar los datos mediante el ingreso de parámetros de búsqueda, que pueden incluir el nombre de una persona.

La recuperación de datos individuales por parte del personal no incide en los derechos vinculados con el debido proceso. Las herramientas tecnológicas no controlan la toma de decisiones a nivel individual ni macro, sino que se utilizan para mejorar dicha toma. La toma de decisiones está controlada por las políticas y las reglamentaciones de toda la agencia, así como por las leyes y las normas pertinentes a través de las cuales opera la agencia. Se establecen controles de programación y administrativos para asegurar los derechos vinculados con el debido proceso para todas las personas y empresas/agencias imputadas.

Mantenimiento de controles administrativos

17. Explicar de qué manera el sistema y su uso asegurarán un trato equitativo de denunciantes o empresas. Si se opera el sistema en más de un sitio, ¿cómo se mantendrá la uniformidad del uso del sistema y de los datos en todos los sitios?

El Portal público utiliza normas comerciales de todo el sistema que se basan en procesos de trabajo de la agencia y leyes en materia de discriminación; de este modo, se asegura un trato equitativo de todas las personas y entidades. Se trata de un sistema basado en la Web y ubicado a nivel central, con funciones y normas controladas y administradas a nivel central.

17.1. Explicar cualquier posibilidad de trato desigual de personas o grupos.

A nuestro entender, es imposible ofrecer un trato desigual de personas o grupos debido al uso de la información del Portal público.

18. ¿Cuáles son los períodos de conservación de datos de este sistema?

Los datos que se mantienen en el Portal público son mínimos e incluyen elementos como perfiles de usuarios y datos estadísticos sobre el uso del Portal. Los datos que se envían a través del portal son descargados en IMS y, por lo tanto, están cubiertos por los períodos de conservación del IMS. Actualmente, el IMS incluye registros históricos de, aproximadamente, los últimos 20 años.

Cada tipo de solicitud en virtud de la Ley FOIA tiene su propio cronograma de conservación configurado dentro de FOIAXpress, por lo tanto, según el tipo de solicitud y disposición final, los plazos son diversos. La base de datos de la Ley FOIA incluye registros históricos de, aproximadamente, los últimos 13 años, que se los migró del sistema heredado.

18.1. ¿Cuáles son los procedimientos para eliminar los datos al finalizar el período de conservación? ¿Dónde se documentan los procedimientos?

Las instrucciones de la herramienta Conservación de FOIAXpress se encuentran en el manual en línea, dentro de FOIAXpress. La herramienta no es automática y son varios los pasos que se necesitan para eliminar casos que hayan cumplido con el período de conservación. Hay una búsqueda múltiple y una marca para los pasos de eliminación que impiden la eliminación accidental. La acción de administración de Conservación también está restringida mediante el otorgamiento de permisos a determinados usuarios.

18.2. Mientras los datos se conservan en el sistema, ¿cuáles son los requisitos para determinar si los datos continúan siendo suficientemente precisos, relevantes, oportunos y continúan estando suficientemente completos para garantizar la equidad a la hora de tomar determinaciones?

Los procesos de vigencia internos de todas las oficinas de la EEOC aseguran que los casos "abiertos" se actualicen durante toda su vigencia.

19. ¿Está el sistema utilizando tecnologías de una manera jamás antes utilizada por la EEOC?

No.

19.1. ¿De qué manera afecta el uso de esta tecnología la privacidad de los contribuyentes/empleados?

La transmisión de información emplea tecnologías seguras. No se emplean cookies persistentes ni mecanismos de rastreo. Los datos se manejan de conformidad con las políticas y las leyes de la EEOC.

20. ¿Proporcionará el sistema la capacidad de identificar, localizar y monitorear a las personas? En caso afirmativo, explicar.

Los datos que se envían voluntariamente contienen información que permite la identificación y de contacto. El personal de la agencia utiliza dichos datos para enviar correspondencias oficiales requeridas para el debido procesamiento de los cargos, las solicitudes en virtud de la Ley FOIA o para comunicarse con personas específicas y empresas/agencias imputadas en operaciones comerciales oficiales. No obstante, los sistemas del Portal público no pueden usarse para monitorear a una persona.

20.1. ¿Proporcionará el sistema la capacidad de identificar, localizar y monitorear a grupos de personas? En caso afirmativo, explicar.

No.

20.2. ¿Qué controles se usarán para evitar el monitoreo no autorizado?

El sistema tiene un registro de auditoría que puede usarse para ejecutar informes sobre el acceso de usuarios individuales al sistema y sus acciones dentro de este.

21. ¿En virtud de qué notificación sobre los Sistemas de registros (SOR) opera el sistema? Indicar el número y el nombre.

EEOC-1, Expedientes de casos de discriminación en virtud de la Ley de Discriminación por Edad en el Empleo e Igualdad Salarial
EEOC-3, Expedientes de casos de discriminación en virtud del Título VII y de la Ley sobre Estadounidenses con Discapacidades
EEOC-5, Correspondencia y comunicaciones, para registros en virtud de la Ley FOIA