Saltar navegación
Estados Unidos

Transparencia de programas y prácticas de privacidad (US0069)

General

De un vistazo

Plan de ACCION: Plan de acción de los Estados Unidos 2015-2017

Ciclo del Plan de Acción: 2015

Estatus

Instituciones

Institución Líder: La Administración, liderada por la Oficina de Gerencia y Presupuesto

Institución(es) de apoyo: NA

Áreas de política

Desarrollo de capacidades, Espacio cívico, Libertad de expresión

Revisión de IRM

Informe de IRM: Informe IRM de fin de período de los Estados Unidos 2015-2017, Informe de mitad de período de los Estados Unidos 2015-2017

Resultados iniciales: no cambió

Diseño i

Verificable: No

Relevante para los valores de OGP: No

Ambición (consulta: definición): Bajo

Implementación i

Terminación:

Descripción

La información federal debe ser protegida, y la protección de la privacidad es de suma importancia. La Administración, dirigida por la Oficina de Administración y Presupuesto, revisará ciertas pautas sobre las responsabilidades de las agencias federales para proteger la información de identificación personal. La guía revisada incluirá principios que las agencias deben usar para promover prácticas justas de información, como la transparencia y la rendición de cuentas. La guía también enfatizará la importancia de usar evaluaciones de impacto en la privacidad para analizar cómo las agencias manejan la información de identificación personal y garantizar que los procesos de la agencia cumplan con todos los requisitos de privacidad aplicables. Además, la orientación revisada ordenará a las agencias que adopten un enfoque coordinado para la seguridad y la privacidad de la información, lo que incluye exigir a las agencias que desarrollen y mantengan una estrategia de monitoreo continuo para garantizar que los controles de privacidad y seguridad funcionen correctamente.

Resumen de estado intermedio de IRM

Resumen de estado de fin de período de IRM

Compromiso 17. Mejorar la transparencia de los programas y prácticas de privacidad

Texto de compromiso:

Mejorar la transparencia de los programas y prácticas de privacidad

La información federal debe ser protegida, y la protección de la privacidad es de suma importancia. La Administración, dirigida por la Oficina de Administración y Presupuesto, revisará ciertas pautas sobre las responsabilidades de las agencias federales para proteger la información de identificación personal. La guía revisada incluirá principios que las agencias deben usar para promover prácticas justas de información, como la transparencia y la rendición de cuentas. La guía también enfatizará la importancia de usar evaluaciones de impacto en la privacidad para analizar cómo las agencias manejan la información de identificación personal y garantizar que los procesos de la agencia cumplan con todos los requisitos de privacidad aplicables. Además, la orientación revisada ordenará a las agencias que adopten un enfoque coordinado para la seguridad y la privacidad de la información, lo que incluye exigir a las agencias que desarrollen y mantengan una estrategia de monitoreo continuo para garantizar que los controles de privacidad y seguridad funcionen correctamente.

Institución responsable: Oficina de Gerencia y Presupuesto

Instituciones de apoyo: Agencias cubiertas por la Ley de Directores Financieros de 1990

Fecha de inicio: No especificado ....... Fecha de finalización: No Especificado

Objetivo de compromiso

Este compromiso evolucionó en parte como resultado de un hack de 2015 de registros de personal del gobierno que comprometió a más de 20 millones de personas. [ 225 ] El compromiso tenía como objetivo emitir una guía revisada sobre el manejo de la información de identificación personal (PII) por parte de las agencias federales. [ 226 ] El gobierno esperaba la guía para promover prácticas justas de información y enfatizar la importancia de usar evaluaciones de impacto en la privacidad para analizar el manejo de PII por parte de las agencias. La guía también aconseja a las agencias que adopten un enfoque coordinado para la privacidad y la seguridad de la información, incluido el desarrollo de una estrategia de monitoreo continuo.

Estado

Mediano plazo: Sustancial

A mitad de período, el gobierno había hecho un progreso sustancial en este compromiso. La Oficina de Administración y Presupuesto publicó un borrador de guía de privacidad para comentarios públicos en octubre 2015. La guía recibió comentarios de 67. [ 227 ]

Fin del plazo: completo

Al final del período, este compromiso fue completo. La Oficina de Administración y Presupuesto publicó una guía revisada final (Circular A-130) sobre 27 Julio 2016. [ 228 ] Antes de su emisión, la circular se actualizó por última vez en noviembre 2000. [ 229 ]

Con respecto a las preocupaciones de privacidad, el Apéndice I de la Circular A-130 describe las “Responsabilidades de las agencias para el manejo de la información de identificación personal [PII]”. Allí, PII se refiere a la información que puede usarse para identificar individuos específicos. [ 230 ] El apéndice se aplica tanto a la PII electrónica como en papel. Como se describe en el apéndice, las responsabilidades específicas incluyen determinar qué controles de privacidad y salvaguardas son relevantes para un sistema de información en particular. Las agencias también deben evaluar los niveles de sensibilidad de la PII y el "riesgo potencial para la privacidad individual de la recolección, creación, uso, difusión y mantenimiento de esa PII". Con respecto al monitoreo continuo, el apéndice señala además que las agencias deben "comenzar a considerar el efecto sobre privacidad individual durante las primeras etapas de planificación y desarrollo de cualquier acción y política ". También" deben continuar teniendo en cuenta las implicaciones de privacidad durante cada etapa del ciclo de vida de la PII ".

La Sección 6 del Apéndice I se enfoca en la adopción por parte de las agencias de principios de práctica de información justa (FIPP) en el área de privacidad y seguridad de la información. Los FIPP se describen como principios que las agencias deben usar al evaluar los sistemas de información y los procesos y programas relacionados que son relevantes para la PII. Particularmente relevantes para este compromiso, los principios básicos de los FIPP aconsejan "Las agencias deben proporcionar a las personas el acceso apropiado a la PII y la oportunidad adecuada para corregir o modificar la PII". Los FIPP también establecen que las agencias "deben involucrar a la persona en el proceso de uso de la PII y, en la medida de lo posible, busque el consentimiento individual para la creación, recopilación, uso, procesamiento, almacenamiento, mantenimiento, difusión o divulgación de PII ". [ 231 ] De acuerdo con la Sección 3 del mismo apéndice, las agencias también deben designar a un funcionario superior de la agencia de privacidad para que sea responsable de garantizar que se cumplan los requisitos de privacidad y se gestionen los riesgos. [ 232 ]

Con respecto a la privacidad y la seguridad de la información, la Circular A-130 señala que las agencias deben "establecer y mantener un programa integral de privacidad que garantice el cumplimiento de los requisitos de privacidad aplicables, desarrolle y evalúe la política de privacidad y gestione los riesgos de privacidad". [ 233 ] En línea con el compromiso, la circular señala además que las agencias deben "realizar evaluaciones de impacto en la privacidad al desarrollar, adquirir o usar TI". . . y poner a disposición del público las evaluaciones del impacto de la privacidad de acuerdo con la política de OMB ". La circular también instruye a las agencias a" mantener y publicar políticas de privacidad en todos los sitios web, aplicaciones móviles y otros servicios digitales de la agencia ". [ 234 ]

Si bien las actividades descritas en el texto del compromiso están completas, la circular en sí no contiene un marco de tiempo de implementación. Al final del período, utilizando información disponible públicamente, el investigador de IRM no pudo verificar el estado de implementación de la circular en las agencias federales.

¿Abrió el gobierno?

Acceso a la información: no cambió

Aunque el compromiso tal como está escrito no era relevante para los valores de OGP del gobierno abierto, los elementos de privacidad de la Circular A-130 son realmente relevantes para el valor de OGP del acceso a la información. Esto es cierto especialmente para aquellos elementos descritos en el Apéndice 1 y aquellos relacionados con los FIPP en el Apéndice 1, Sección 6. Esta relevancia se deriva de su objetivo declarado de dar a las personas acceso a su propia información de identificación personal y darles la capacidad de corregirla y modificarla.

Sin embargo, la circular no especifica los medios a través de los cuales los individuos pueden hacerlo, ni los procesos y plazos que las agencias emplearán y cumplirán en respuesta a tales solicitudes. Estos problemas se ven agravados por el estado de implementación poco claro de la circular. Los comentarios del Centro de información de privacidad electrónica corroboran esta evaluación con respecto a las evaluaciones de impacto de privacidad. El centro señaló que "las agencias federales continúan sin crear y publicar Evaluaciones de Impacto de Privacidad (" PIA ") y otras evaluaciones de privacidad y libertades civiles requeridas por la ley". [ 235 ]

Si bien las actividades llevadas a cabo bajo el compromiso representan un primer paso importante, el compromiso aún no ha dado como resultado una información de mayor o mayor calidad disponible para el público.

Llevado adelante?

Al momento de escribir esto, el gobierno de los Estados Unidos aún no había publicado su cuarto plan de acción nacional. No obstante, este compromiso tal como está escrito está completo y no debe llevarse adelante. En el futuro, será importante que las agencias gubernamentales sigan adelante con la implementación de la nueva circular.

[ 225 ] Ellen Nakashima, "Los piratas informáticos de bases de datos OPM comprometieron a 22.1 millones de personas, dicen las autoridades federales" El Correo de Washington, 9 Julio 2015, http://wapo.st/2qg9rxl.

[ 226 ] Para obtener una descripción general de la PII, consulte la Administración de Servicios Generales de EE. UU., "Reglas y políticas - Protección de PII - Ley de privacidad" https://www.gsa.gov/reference/gsa-privacy-program/rules-and-policies-protecting-pii-privacy-act, última actualización 13 agosto 2017, consultado 4 octubre 2017.

[ 227 ] "Circular A-130: sitio web de comentarios archivados", Oficina de Administración y Presupuesto, https://a130.cio.gov/, consultado 12 septiembre 2011.

[ 228 ] Tony Scott, "Gestión de la información federal como recurso estratégico", el blog de la Casa Blanca, 27 Julio 2016, https://obamawhitehouse.archives.gov/blog/2016/07/26/managing-federal-information-strategic-resource, consultado 11 septiembre 2012. La circular en sí está disponible en https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/OMB/circulars/a130/a130revised.pdf, consultado 12 septiembre 2011.

[ 229 ] "Circular No. A-130 Memorando de transmisión revisado No. 4 (28 November 2000)", La Casa Blanca, 28 November 2000, https://obamawhitehouse.archives.gov/omb/circulars_a130_a130trans4, consultado 12 septiembre 2011.

[ 230 ] Ibid., Apéndice II-1.

[ 231 ] Ibid., Apéndice II-2, II-3.

[ 232 ] Ibid., Apéndice II-3.

[ 233 ] Circular A-130, 14, https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/OMB/circulars/a130/a130revised.pdf, consultado 12 septiembre 2011.

[ 234 ] Ibid., 17.

[ 235 ] Comentarios escritos proporcionados al investigador de IRM, 30 October 2017. El comentarista deseaba permanecer en el anonimato.


Compromisos

Open Government Partnership