Normativa actualizada de la CCPA aprobada por la Oficina de Derecho Administrativo de California

La Oficina de Derecho Administrativo de California ha dado su visto bueno a la actualización de la normativa CCPA aprobada por la Agencia de Protección de la Privacidad de California en julio de 2025, y la normativa revisada se publicará ahora en el Código de Regulaciones de California (CCR). Las normas revisadas incluyen nuevas regulaciones sobre la tecnología de toma de decisiones automatizada (ADMT), que abarca más que el simple uso de la inteligencia artificial, las evaluaciones de riesgos y las auditorías de ciberseguridad, junto con actualizaciones y aclaraciones de las normas existentes en áreas como los avisos de privacidad, los acuerdos con los proveedores de servicios y otros requisitos reglamentarios. Las normas revisadas también incluyen nuevas regulaciones dirigidas exclusivamente a las compañías de seguros. 

Los cambios en la normativa vigente entrarán en vigor el 1 de enero de 2026. Sin embargo, algunos requisitos nuevos relacionados con ADMT, evaluaciones de riesgos y auditorías de ciberseguridad tendrán fechas de entrada en vigor posteriores:

• Las fechas de entrada en vigor de las auditorías de ciberseguridad dependen de los ingresos anuales de la empresa, con fechas de cumplimiento del 1 de abril de 2028 para las empresas con ingresos superiores a 100 millones de dólares, del 1 de abril de 2027 para las empresas con ingresos entre 50 y 100 millones de dólares, y del 1 de abril de 2030 para las empresas con ingresos inferiores a 50 millones de dólares. 
• Las empresas que estén obligadas a realizar una evaluación de riesgos en virtud de la normativa revisada deberán comenzar a cumplirla el 1 de enero de 2026, pero no estarán obligadas a presentar una certificación de que se ha completado la evaluación de riesgos y un resumen de sus conclusiones hasta el 1 de abril de 2028. 
• Las empresas que utilizan la tecnología ADMT para tomar decisiones importantes no están obligadas a cumplir con la nueva normativa ADMT hasta el 1 de enero de 2027. 

Impacto en las empresas

Se debe recordar a las empresas que no todas las nuevas regulaciones les serán aplicables. Existen ciertos umbrales para que cada una de las nuevas regulaciones sobre ADMT, evaluación de riesgos y auditoría de ciberseguridad sean aplicables. Por ejemplo, las regulaciones sobre ADMT solo se aplican si la ADMT (que, una vez más, incluye más que el simple uso de la inteligencia artificial y puede aplicarse a otras tecnologías más tradicionales) se utiliza para «decisiones importantes», tal y como se definen en las regulaciones. Las empresas deben revisar cuáles de las nuevas regulaciones les son aplicables (y pueden serles aplicables a partir de las fechas de entrada en vigor correspondientes) y comenzar a planificar su cumplimiento cuando sea apropiado. 

Aunque algunas de las fechas de entrada en vigor pueden estar a más de cuatro años vista (para empresas relativamente pequeñas sujetas a los requisitos de auditoría de ciberseguridad), algunas de las nuevas regulaciones pueden requerir cierta planificación y recursos que sería conveniente comenzar a preparar con antelación. Por otro lado, las empresas relativamente grandes (aquellas con más de 100 millones de dólares de ingresos anuales) probablemente cuenten con una importante infraestructura de tecnología de la información, y el breve plazo (menos de tres años) para completar las auditorías de ciberseguridad pasará rápidamente. Estas empresas deberán asignar recursos de inmediato para cumplir con los plazos. 

La Agencia de Protección de la Privacidad de California (CPPA) ha anunciado hoy que la Oficina de Derecho Administrativo de California ha aprobado una normativa que abarca las auditorías de ciberseguridad, las evaluaciones de riesgos, la tecnología de toma de decisiones automatizada (ADMT), las compañías de seguros y las actualizaciones de la normativa CCPA vigente.

Ver artículo de referencia