¿Qué es la CCPA?
CCPA -> California Consumer Privacy Acts una nueva ley que entró en vigencia el 1 de enero de 2020 y su aplicación comenzó en julio de 2020. Es importante recalcar que, una vez comenzada su aplicación, se revisará 12 meses atrás, lo que significa que las empresas ya deberían empezar a cumplirla. La ley está diseñada para proporcionar a los residentes de California el derecho a saber qué datos personales se recopilan sobre ellos, si se venden o divulgan y a quién, acceder a sus datos personales y exigir que se eliminen. La ley es similar a GDPR pero con determinadas diferencias, como el incluir la identificación del dispositivo y no solo la información personal.
¿A quién se aplica la CCPA?
La CCPA se aplica a todas las empresas y entidades con fines de lucro que hacen negocios en California y cumplen con una o más de las siguientes condiciones:
Ingresos brutos anuales -> $ 25 millones
Procesar información personal de ->50000 consumidores, hogares o dispositivos
Obtiene más de la mitad de los ingresos anuales de la venta de información personal del consumidor.
¿Qué dice la CCPA sobre la clasificación de datos?
Pues nada. No hay requisitos en la CCPA que indiquen que las empresas deben realizar la clasificación de datos. Aunque,existen varios otros aspectos en los que haber realizado una clasificación de datos contribuiría al cumplimiento de la normativa.
1798.105.(a) Un consumidor tendrá derecho a solicitar que una empresa elimine cualquier información personal sobre el consumidor que la empresa haya recopilado del consumidor. Si todos los datos recopilados están en una base de datos estructurada, es posible que se tenga el control de los mismos. Pero, si se extrae la información para realizar informes y análisis en Excel, se perderá el control. Es aquí es donde resulta de gran ayuda la clasificación de datos.
(c)Una empresa que reciba una solicitud verificable de un consumidor para eliminarla información personal del consumidor de acuerdo con la subdivisión (a) de esta sección, deberá eliminar la información personal del consumidor de sus registros y ordenar a cualquier proveedor de servicios que elimine la información personal del consumidor de sus registros. Para así, asegurarse de que también elimine los datos personales de todos los documentos para reducir el riesgo de fugas o que el informe vuelva ala base de datos de alguna manera.
1798.150.(a) (1) Cualquier consumidor cuya información personal no encriptada o no redactada, como se define en el subpárrafo (A) del párrafo (1) de la subdivisión (d) de la Sección 1798.81.5, está expuesto a un acceso no autorizado y exfiltración, robo o divulgación como resultado de la violación por parte de la empresa del deber de implementar y mantener procedimientos, prácticas de seguridad razonables y apropiados a la naturaleza de la información para proteger los datos personales; se puede iniciar una acción civil. Mantenga el control sobre dónde procesa la información personal para así, poder guardarla. Una excelente manera de mantener el control es clasificar los documentos para saber dónde tiene información confidencial que necesita un mayor grado de protección.
Resumen: No hay ningún requisito para realizar la clasificación de datos,pero existen requisitos para saber qué datos se están procesando (inventario de datos), dónde se encuentran y protegerlos de acuerdo a su criticidad.
