Podcast sobre privacidad, episodio uno: Guía práctica sobre la nueva normativa CCPA

Puntos clave

• Las nuevas regulaciones de la CCPA, que entrarán en vigor el 1 de enero de 2026, introducen nuevas obligaciones significativas para las empresas, entre las que se incluyen auditorías de ciberseguridad, evaluaciones de riesgos y requisitos de tecnología de toma de decisiones automatizada (ADMT).
• Las auditorías de ciberseguridad solo se aplican a las organizaciones cuyo procesamiento presenta un «riesgo significativo» para los consumidores y se implementarán de forma gradual hasta 2030.
• Las regulaciones exigen auditorías detalladas y basadas en pruebas, lo que significa que las empresas deben preparar políticas, registros, configuraciones y documentación, no solo certificaciones.
• Se requieren nuevas evaluaciones de riesgos para determinados tratamientos de información personal sensible, ADMT, datos biométricos y actividades de intercambio o venta de datos.
• El nuevo marco normativo de California eleva el nivel de exigencia en materia de cumplimiento y obligará a las empresas a invertir con antelación, documentar exhaustivamente y contratar a auditores con experiencia para evitar cuellos de botella.
• Las organizaciones deben comenzar a prepararse ahora mismo revisando las actividades de procesamiento de datos, identificando el uso de ADMT y evaluando si cumplirán con los nuevos umbrales definidos.

Introducción

La Ley de Privacidad del Consumidor de California (CCPA) ha evolucionado considerablemente desde su aprobación original, y la última oleada de regulaciones, aprobada por la Oficina de Derecho Administrativo el 23 de septiembre de 2025 y que entrará en vigor el 1 de enero de 2026, introduce algunos de los cambios más radicales hasta la fecha. Estas actualizaciones reflejan varios años de colaboración entre la Agencia de Protección de la Privacidad de California (ahora rebautizada como Cal Privacy) y un amplio grupo de partes interesadas del sector.

En un reciente podcast de Foley & Lardner LLP, Steve Millendorf y Gabe Wild, ambos abogados del Grupo de Práctica de Transacciones Tecnológicas, Ciberseguridad y Privacidad, analizaron las regulaciones y sus implicaciones para las empresas. Su debate dejó clara una verdad: estas normas suponen una mejora operativa significativa para muchas organizaciones, especialmente aquellas que procesan grandes cantidades de información personal o utilizan tecnologías de toma de decisiones automatizadas.

Por qué son importantes las nuevas regulaciones de la CCPA

California lleva mucho tiempo a la vanguardia de la regulación de la privacidad en Estados Unidos. La última ampliación de la CCPA refleja el compromiso continuo del estado con la protección de los consumidores, especialmente en un entorno en el que aumentan los incidentes de ciberseguridad, se sofisticaban las prácticas de uso de datos y se producen rápidos avances en inteligencia artificial.

Las nuevas normas se centran en tres áreas principales:

1. Auditorías de ciberseguridad
2. Evaluaciones de riesgos de privacidad
3. Requisitos tecnológicos para la toma de decisiones automatizada

También incluyen aclaraciones a las regulaciones existentes y umbrales actualizados que determinan qué empresas entran dentro del ámbito de aplicación. Aunque no todas las organizaciones se verán afectadas de inmediato, los plazos están estructurados de tal manera que las empresas deben comenzar a prepararse ahora mismo.

Los nuevos requisitos de auditoría de ciberseguridad

¿Quién debe realizar auditorías de ciberseguridad?

Las auditorías de ciberseguridad en virtud de las nuevas regulaciones del artículo 9 solo se aplican a las empresas cuyo tratamiento de datos personales supone un «riesgo significativo» para la seguridad de los consumidores. La definición de riesgo significativo varía según el contexto normativo, pero, a efectos de las auditorías, se incluyen las empresas que:

• Obtener el 50 % o más de los ingresos anuales de la venta o el intercambio de información personal de los consumidores
  O
• Cumplir con el umbral de ingresos de la CCPA (actualmente 26,625 millones de dólares) y proceso:
  • Información personal de 250 000 o más consumidores o hogares de California al año.
  • O información personal sensible de 50 000 o más consumidores al año.

Como destacaron Millendorf y Wild, estos umbrales son deliberadamente elevados. Muchas empresas sujetas a la CCPA nunca los alcanzarán. Pero para las organizaciones que sí lo hacen, los requisitos son muy amplios.

El calendario por fases: lo que las empresas deben saber

El momento para el cumplimiento es uno de los aspectos más complejos de la normativa.

Si los ingresos anuales superan los 100 millones de dólares en 2026:

• La auditoría debe abarcar el año natural 2027.
• Certificación con vencimiento el 1 de abril de 2028.

Si los ingresos anuales se sitúan entre 50 y 100 millones de dólares en 2027:

• La auditoría debe abarcar el año natural 2028.
• Certificación con vencimiento el 1 de abril de 2029.

Si los ingresos anuales son inferiores a 50 millones de dólares en 2028:

• La auditoría debe abarcar el año natural 2029.
• Certificación con vencimiento el 1 de abril de 2030.

Tras el ciclo inicial, las auditorías se repiten anualmente, y cada una de ellas abarca el año natural anterior.

Dado que las auditorías deben reflejar un año completo de actividad, las empresas disponen efectivamente de tres meses para completarlas y presentarlas, un plazo que ambos abogados describieron como excesivamente ajustado.

¿Qué debe incluir la auditoría de ciberseguridad?

Los elementos de auditoría requeridos van mucho más allá de comprobar si una empresa cuenta con políticas básicas de ciberseguridad. En cambio, las regulaciones reflejan una revisión exhaustiva, altamente técnica y basada en pruebas.

Las categorías principales incluyen:

• Protocolos de autenticación (incluida la autenticación multifactorial)
• Cifrado en reposo y en tránsito
• Controles de acceso y gestión de privilegios
• Configuración segura de los ajustes
• Análisis de vulnerabilidades internas y externas
• Pruebas de penetración
• Gestión del registro de auditoría
• Supervisión de redes (incluidas herramientas EDR y NDR)
• Prácticas de codificación segura
• Políticas de retención y minimización de datos
• Planes de respuesta ante incidentes

Este enfoque refuerza un principio rector: no hay privacidad sin seguridad. Las empresas necesitarán una amplia visibilidad en todos los sistemas que almacenan información personal, no solo en aquellos que se utilizan para funciones de privacidad estrictamente definidas.

Auditores internos frente a auditores externos 

Las empresas pueden recurrir a auditores internos, pero estos deben ser:

• Cualificado
• Objetivo
• Independiente
• No participa en las operaciones diarias de ciberseguridad.

Como se señaló en el debate del podcast, este requisito resulta difícil de cumplir para muchas organizaciones. El personal interno de ciberseguridad suele gestionar los mismos sistemas que se someten a auditoría, lo que crea conflictos inevitables.

Esto significa que la mayoría de las empresas dependerán de auditores externos de ciberseguridad, quienes, debido al escaso margen de tiempo, probablemente tendrán una demanda excepcionalmente alta. Las empresas deben esperar:

• Honorarios de auditoría más elevados
• Cuellos de botella en la programación
• Plazos de entrega más largos
• Posible competencia para los evaluadores cualificados

Millendorf y Wild compararon la anticipada fiebre de la temporada fiscal, salvo que ahora las organizaciones deben completar simultáneamente las auditorías financieras y de ciberseguridad.

La documentación importa: pruebas, no promesas

Una de las conclusiones más importantes de la conversación: los auditores no pueden basarse en las declaraciones de los empleados. Deben verificar el cumplimiento mediante pruebas, lo que significa:

• Políticas escritas
• Registros de seguridad
• Configuraciones del sistema
• Registros de formación
• Documentación sobre gestión del cambio
• Informes de herramientas de escaneo
• Datos de respuesta a incidentes

Para las empresas con prácticas de ciberseguridad sólidas pero no documentadas, esta puede ser la mejora más significativa. Sin documentación, los auditores no pueden certificar el cumplimiento.

Conclusión

Las nuevas regulaciones adoptadas por la CCPA representan una de las ampliaciones más importantes de la gobernanza de la privacidad en los Estados Unidos. Para muchas empresas, el cumplimiento de estas regulaciones requerirá cambios operativos sustanciales, especialmente para aquellas que utilizan tecnologías automatizadas o procesan datos a gran escala.

Pero la preparación es posible con una planificación temprana, una documentación disciplinada y los socios adecuados. Al comprender los requisitos ahora y tomar medidas proactivas, las empresas pueden reducir el riesgo, optimizar el cumplimiento y prepararse con confianza para el nuevo entorno normativo.

¿Te interesa estar al tanto de las últimas novedades en materia de privacidad?

Escuche la serie de podcasts del Grupo de Ciberseguridad y Privacidad de Datos de Foley, en la que nuestros abogados analizan las normativas en constante evolución, los riesgos emergentes y lo que significan para su negocio.

Haga clic para escuchar el episodio completo del podcast.

¡Haga clic aquí para escuchar la segunda parte del episodio de hoy, YA DISPONIBLE!