La Agencia de Protección de la Privacidad de California aprueba el borrador de la normativa tras más de un año de redacción.

El 24 de julio de 2025, la Agencia de Protección de la Privacidad de California (CPPA) votó por unanimidad para finalizar el borrador de las regulaciones sobre tecnología de toma de decisiones automatizada (ADMT), evaluaciones de riesgos de privacidad y auditorías de ciberseguridad en virtud de la CCPA (modificada por la CPRA). Las regulaciones pasan ahora a la Oficina de Derecho Administrativo de California para su aprobación definitiva y (si se aprueban) su publicación en el Código de Regulaciones de California. 

Las regulaciones definitivas llegan tras un año de redacción y comentarios del público e incluso del gobernador Gavin Newsom. 

Algunos de los cambios clave en la normativa con respecto a los borradores anteriores incluyen: 

• Eliminación de las referencias a la «inteligencia artificial» y la publicidad basada en el comportamiento en relación con la ADMT, y flexibilización de las condiciones en las que se puede utilizar la ADMT y de los derechos de los consumidores a excluirse del uso de la ADMT. 
• Evaluaciones de riesgos cuando el tratamiento pueda suponer un riesgo para la privacidad del consumidor. Algunas de las actividades de tratamiento enumeradas que podrían entrar en esta categoría son la venta/compartición de información personal, el tratamiento de información personal sensible, el uso de ADMT para «decisiones importantes» relativas a un consumidor y determinados usos de las tecnologías ADMT. Cabe destacar que las evaluaciones de riesgos también incluyen un requisito de mapeo de datos, que se ha promovido durante mucho tiempo en los círculos de privacidad, incluso sin requisitos legales. 

Pero puede que este no sea el capítulo final de la normativa CCPA. La CPPA indicó que la normativa podría revisarse de nuevo (para hacerla más estricta o más flexible) en función de cómo funcione en la práctica. 

Además, las regulaciones intentan limitar la amenaza del uso de ADMT para los consumidores, lo que contradice el objetivo declarado de la Administración Trump de limitar la regulación «onerosas» de la IA en favor de los posibles beneficios económicos, tal y como se afirma en el «Plan de Acción de EE. UU. para la IA» publicado recientemente por la administración. Esto puede dar lugar a un enfrentamiento entre la administración actual y los reguladores de California. Y, en cualquier caso, las empresas que están sujetas a la CCPA también pueden estar sujetas a otras leyes estatales, federales e internacionales, que pueden exigir obligaciones más significativas a las empresas que desarrollan y utilizan ADMT que las aprobadas en estas regulaciones. 

La fecha de entrada en vigor de las regulaciones varía, ya que algunas entrarán en vigor el 1 de enero de 2026 y otras secciones entrarán en vigor dentro de un año a partir de ahora. Por ejemplo, para las actividades de procesamiento que se realicen después de la fecha de entrada en vigor (que determinará la OAL), la primera evaluación de riesgos no deberá realizarse hasta el 31 de diciembre de 2027 (más de dos años a partir de ahora), y las empresas que utilicen ADMT no tendrán que cumplir los requisitos de ADMT hasta el 1 de enero de 2027. No obstante, algunos de los requisitos pueden requerir recursos importantes, por lo que recomendamos a las empresas que comiencen a trabajar en el cumplimiento lo antes posible. 

El 24 de julio, la Junta de la Agencia de Protección de la Privacidad de California votó por unanimidad para finalizar las normas que rigen el uso de la tecnología de toma de decisiones automatizada, las evaluaciones de riesgos, las auditorías de ciberseguridad y los seguros en virtud de la Ley de Privacidad del Consumidor de California. La junta votó 5-0 a favor del paquete de regulaciones tras más de un año de redacción y debate durante las fases previas a la elaboración de normas y de elaboración formal de normas.

Ver artículo de referencia