Regulamentos actualizados da CCPA aprovados pelo Gabinete de Direito Administrativo da Califórnia

Cibersegurança Proteção de dados Tecnologia empresarial Conceito de privacidade.

O Gabinete de Direito Administrativo da Califórnia concedeu o seu selo de aprovação aos regulamentos actualizados da CCPA aprovados pela Agência de Proteção da Privacidade da Califórnia em julho de 2025, e os regulamentos revistos serão agora publicados no Código de Regulamentos da Califórnia (CCR). Os regulamentos revistos incluem novos regulamentos sobre a Tecnologia de Tomada de Decisões Automatizada (ADMT), que inclui mais do que apenas a utilização de Inteligência Artificial, Avaliações de Risco e Auditorias de Cibersegurança, juntamente com actualizações e esclarecimentos aos regulamentos existentes em áreas como avisos de privacidade, acordos de fornecedores de serviços e outros requisitos regulamentares. Os regulamentos revistos também incluem novos regulamentos direcionados apenas para as companhias de seguros.

As alterações aos regulamentos existentes entram em vigor a 1 de janeiro de 2026. No entanto, alguns novos requisitos relativos à ADMT, às avaliações de risco e às auditorias de cibersegurança têm datas de entrada em vigor posteriores:

As datas efectivas para as auditorias de cibersegurança dependem das receitas anuais de uma empresa, com datas de conformidade de 1 de abril de 2028, para empresas com receitas superiores a 100 milhões de dólares, 1 de abril de 2027, para empresas com receitas entre 50 e 100 milhões de dólares, e 1 de abril de 2030, para empresas com receitas inferiores a 50 milhões de dólares.
As empresas que são obrigadas a efetuar uma avaliação de risco ao abrigo dos regulamentos revistos devem começar a cumprir os regulamentos em 1 de janeiro de 2026, mas não são obrigadas a fornecer um atestado de que a avaliação de risco foi concluída e um resumo das suas conclusões até 1 de abril de 2028.
As empresas que utilizam a tecnologia ADMT para tomar decisões importantes não são obrigadas a cumprir os novos regulamentos ADMT até 1 de janeiro de 2027.

Impacto nas empresas

As empresas devem ter em atenção que nem todos os novos regulamentos lhes serão aplicáveis. Existem determinados limiares para que cada um dos novos regulamentos de ADMT, Avaliação de Riscos e Auditoria de Cibersegurança seja aplicável. Por exemplo, os regulamentos ADMT só se aplicam se a ADMT (que, mais uma vez, inclui mais do que apenas a utilização de Inteligência Artificial e pode aplicar-se a outra tecnologia mais tradicional) for utilizada para "decisões significativas", conforme definido nos regulamentos. As empresas devem analisar quais os novos regulamentos que se lhes aplicam (e que se lhes podem aplicar a partir das datas de entrada em vigor aplicáveis) e começar a planear a conformidade, se for caso disso.

Embora algumas das datas de entrada em vigor possam ser daqui a mais de 4 anos (para empresas relativamente pequenas sujeitas aos requisitos de auditoria de cibersegurança), alguns dos novos regulamentos podem exigir algum planeamento e recursos que beneficiariam de um início precoce. Por outro lado, as empresas relativamente grandes (as que têm mais de 100 milhões de dólares de faturação anual) têm provavelmente uma infraestrutura de tecnologia da informação significativa e o curto prazo (menos de 3 anos) para concluir as auditorias de cibersegurança passará rapidamente. Essas empresas terão de afetar recursos imediatamente para cumprir os prazos.

A Agência de Proteção da Privacidade da Califórnia (CPPA) anunciou hoje que o Gabinete de Direito Administrativo da Califórnia aprovou regulamentos que abrangem auditorias de cibersegurança, avaliações de risco, tecnologia de tomada de decisões automatizada (ADMT), companhias de seguros e actualizações dos regulamentos existentes da CCPA.
Ver artigo referenciado