Podcast sobre privacidad, episodio dos: Guía práctica para la evaluación de riesgos y los requisitos de toma de decisiones automatizada

Puntos clave

• Las nuevas regulaciones de la CCPA, que entrarán en vigor el 1 de enero de 2026, introducen nuevas obligaciones significativas para las empresas, entre las que se incluyen auditorías de ciberseguridad, evaluaciones de riesgos y requisitos de tecnología de toma de decisiones automatizada (ADMT).
• Las auditorías de ciberseguridad solo se aplican a las organizaciones cuyo procesamiento presenta un «riesgo significativo» para los consumidores y se implementarán de forma gradual hasta 2030.
• Las regulaciones exigen auditorías detalladas y basadas en pruebas, lo que significa que las empresas deben preparar políticas, registros, configuraciones y documentación, no solo certificaciones.
• Se requieren nuevas evaluaciones de riesgos para determinados tratamientos de información personal sensible, ADMT, datos biométricos y actividades de intercambio o venta de datos.
• El nuevo marco normativo de California eleva el nivel de exigencia en materia de cumplimiento y obligará a las empresas a invertir con antelación, documentar exhaustivamente y contratar a auditores con experiencia para evitar cuellos de botella.
• Las organizaciones deben comenzar a prepararse ahora mismo revisando las actividades de procesamiento de datos, identificando el uso de ADMT y evaluando si cumplirán con los nuevos umbrales definidos.

Introducción

La Ley de Privacidad del Consumidor de California (CCPA) ha evolucionado considerablemente desde su aprobación original, y la última oleada de regulaciones, aprobada por la Oficina de Derecho Administrativo el 23 de septiembre de 2025 y que entrará en vigor el 1 de enero de 2026, introduce algunos de los cambios más radicales hasta la fecha. Estas actualizaciones reflejan varios años de colaboración entre la Agencia de Protección de la Privacidad de California (ahora rebautizada como Cal Privacy) y un amplio grupo de partes interesadas del sector.

En un reciente podcast de Foley & Lardner LLP, los expertos en privacidad Steve Millendorf y Gabe Wild, ambos abogados del Grupo de Práctica de Transacciones Tecnológicas, Ciberseguridad y Privacidad, analizaron las regulaciones y sus implicaciones para las empresas. Su debate dejó clara una verdad: estas normas suponen una mejora operativa significativa para muchas organizaciones, especialmente aquellas que procesan grandes cantidades de información personal o utilizan tecnologías de toma de decisiones automatizadas.

Requisitos de evaluación de riesgos

Mientras que las auditorías de ciberseguridad se centran en la seguridad de los sistemas, las evaluaciones de riesgos de privacidad examinan cómo las empresas utilizan la información personal y los riesgos asociados a dicho uso.

¿Qué desencadena una evaluación de riesgos?

Una empresa debe realizar una evaluación de riesgos si lleva a cabo un tratamiento que suponga un riesgo significativo para la privacidad de los consumidores, incluyendo:

• Venta o divulgación de información personal
• Tratamiento de información personal sensible
• Utilizar ADMT de formas que afecten a los derechos u oportunidades de los consumidores.
• Tratamiento de datos biométricos o de verificación de identidad
• Entrenamiento de sistemas automatizados con información personal

Es importante destacar que algunas prácticas, como la publicidad dirigida, suelen quedar excluidas, salvo que existan factores de riesgo elevados.

Plazos y retención

Para las actividades de tratamiento existentes, la primera evaluación de riesgos debe realizarse antes del:

• 31 de diciembre de 2027

Después de eso, se deben actualizar las evaluaciones de riesgos:

• Cada tres años, o
• En un plazo de 45 días tras un cambio sustancial en el tratamiento.

Todas las evaluaciones deben conservarse durante cinco años.

¿Qué debe incluir la evaluación de riesgos?

La evaluación debe documentar detalladamente:

• La finalidad comercial del tratamiento
• Categorías y fuentes de información personal
• Métodos de recopilación, uso, conservación y divulgación
• La lógica y las limitaciones del ADMT (si procede)
• Riesgos para los consumidores, entre ellos:
  • Sesgo o discriminación
  • Pérdida de control
  • Impactos económicos
  • Daño psicológico o reputacional
• Los beneficios para los consumidores y las partes interesadas
• Medidas de protección para mitigar los daños

Una vez completado el análisis, la empresa debe evaluar si los riesgos superan a los beneficios y, en caso afirmativo, suspender el tratamiento.

Este requisito se hace eco de elementos de las evaluaciones de impacto relativas a la protección de datos del RGPD, pero está más explícitamente vinculado al daño documentado y a su mitigación.

Tecnología de toma de decisiones automatizada

Las regulaciones introducen nuevas normas de transparencia y evaluación de riesgos para el ADMT, definido en términos generales para incluir:

• Perfilado
• Análisis predictivo
• Modelos de aprendizaje automático
• Herramientas de IA que influyen en el empleo, el crédito u otras decisiones importantes.
• Tecnologías que utilizan datos biométricos o fisiológicos para la identificación.

Las empresas deben proporcionar información sobre:

• La lógica utilizada
• El papel de la participación humana
• Cómo afectan los resultados a los consumidores
• Derechos de exclusión voluntaria (en determinados contextos)

Dada la rápida adopción de la inteligencia artificial y el aprendizaje automático, es probable que esto se convierta en un área de interés para Cal Privacy en materia de cumplimiento.

Prepararse ahora: lo que las empresas deben hacer de inmediato

Ambos abogados hicieron hincapié en que la preparación temprana es clave. Aunque aún falten años para su primera auditoría o evaluación de riesgos, es posible que el plazo de evaluación ya haya comenzado.

Los siguientes pasos recomendados incluyen:

1. Realizar una evaluación de preparación.

Revisar las medidas de ciberseguridad existentes, la documentación y las actividades de procesamiento de datos para identificar:

• Lagunas en la documentación
• Políticas que faltan
• Configuraciones incompletas
• Herramientas de seguridad obsoletas
• Actividades de procesamiento de alto riesgo

2. Comenzar a crear la documentación

Si no está documentado, no existe. Empieza a crear:

• Políticas
• Procedimientos
• Troncos
• Informes
• Registros de flujos de datos

3. Identificar socios externos desde el principio

Los auditores, los expertos en explicabilidad de la IA y los consultores de evaluación de riesgos tendrán una gran demanda.

4. Analizar todos los casos de uso de ADMT

Muchas organizaciones utilizan modelos de aprendizaje automático sin darse cuenta de que entran dentro de las definiciones de ADMT.

5. Presupuesto para el cumplimiento normativo

Las auditorías de ciberseguridad y las evaluaciones de riesgos requerirán:

• Tiempo del personal
• Costes de auditoría externa
• Inversiones en tecnología
• Solución de los problemas identificados

6. Realizar una prueba interna

Simule una auditoría o evaluación de riesgos para identificar:

• Equipos sin preparación
• Conocimientos que faltan
• Lagunas en la visibilidad del sistema

Como subrayaron los abogados: no querrás que la primera persona en descubrir un defecto sea tu auditor, o un regulador.

Qué significa esto para las empresas de California

Estas regulaciones amplían significativamente el marco de privacidad de California y lo acercan a una gobernanza al estilo del RGPD, especialmente en lo que respecta a:

• Responsabilidad
• Documentación
• Transparencia
• Equilibrio de riesgos
• Derechos del consumidor

El tema común en todo el debate del podcast es que no se trata de un mero trámite burocrático. Estas normativas requieren una planificación cuidadosa, conocimientos técnicos especializados y colaboración entre distintos departamentos.

Las organizaciones deben considerar la preparación como un proceso de varios años, en lugar de una carrera contrarreloj impulsada por plazos. Quienes comiencen pronto estarán en mejor posición para navegar por el nuevo panorama.

Conclusión

Las nuevas regulaciones adoptadas por la CCPA representan una de las ampliaciones más importantes de la gobernanza de la privacidad en los Estados Unidos. Para muchas empresas, el cumplimiento de estas regulaciones requerirá cambios operativos sustanciales, especialmente para aquellas que utilizan tecnologías automatizadas o procesan datos a gran escala.

Pero la preparación es posible con una planificación temprana, una documentación disciplinada y los socios adecuados. Al comprender los requisitos ahora y tomar medidas proactivas, las empresas pueden reducir el riesgo, optimizar el cumplimiento y prepararse con confianza para el nuevo entorno normativo.

¿Te interesa estar al tanto de las últimas novedades en materia de privacidad?

Escuche la serie de podcasts del Grupo de Ciberseguridad y Privacidad de Datos de Foley, en la que nuestros abogados analizan las normativas en constante evolución, los riesgos emergentes y lo que significan para su negocio.

Haga clic para escuchar el episodio completo del podcast.

Si te perdiste el primer episodio de ayer y la primera parte de la serie, haz clic aquí para escuchar ahora el primer episodio del podcast del Grupo de Privacidad de Foley.