El día 23 de septiembre de 2025, el California Office of Administrative Law aprobó las modificaciones en la legislación de protección de datos de California (“CCPA”). Estas modificaciones introducen obligaciones adicionales en materia de ciberseguridad, análisis de riesgos y uso de tecnología de decisiones automatizadas (ADMT). El texto final deberá ser publicado en los próximos días en el sitio oficial del CCPA.
En ciberseguridad, las empresas que lleven a cabo un tratamiento de datos que pueda resultar en un riesgo significativo para la seguridad de los consumidores deberán llevar a cabo una auditoría independiente de ciberseguridad anualmente. Estas auditorías deberán ser objetivas, basadas en pruebas técnicas y realizadas por profesionales cualificados, pudiendo aprovechar marcos como NIST CSF 2.0, SOC 2 Tipo II o ISO 27001. En cuanto a los plazos, empresas con ingresos que superan los $100 millones deberán cumplir con la auditoría hasta el 1 de abril de 2028; empresas con ingresos entre $50 millones y $100 millones deberán cumplir con la auditoría hasta el 1 de abril de 2029; empresas con ingresos inferiores a $50 millones deberán cumplir con la auditoría hasta el 1 de abril de 2030.
En el análisis de riesgos, las empresas sujetas a los requisitos de evaluación de riesgos deben comenzar a cumplir con la normativa antes del 1 de enero de 2026, y antes de abril de 2028 deberán presentar a la autoridad CCPA: (i) (i) una certificación de que se han completado las evaluaciones de riesgos requeridas, y (ii) un resumen de la información de su evaluación de riesgos.
En ADMT, a partir del 1 de enero de 2027, las compañías que utilicen sistemas automatizados para decisiones críticas (empleo, crédito, vivienda, seguros, salud, educación o bienes esenciales) deberán: (i) (i) notificar previamente a los usuarios, que puede incluirse en el aviso de privacidad estándar; (ii) ofrecer mecanismos de exclusión o revisión humana, salvo que se aplique una excepción limitada (por ejemplo, proporcionar un método para apelar la decisión automatizada ante un revisor humano con autoridad para revocarla); y (iii) proporcionar información detallada sobre lógica, resultados y usos del ADMT.
Estas modificaciones son resultado de una larga discusión entre las autoridades, industria, sociedad civil y el público, que se alargará por siete años e incluirá múltiples audiencias y revisión de cientos de comentarios públicos. Una vez publicada la redacción final, las empresas deberán realizar las respectivas actualizaciones a nivel de gobernanza, con una comunicación más clara entre equipos internos de la compañía (en especial con IT), la planificación de nuevos documentos y procedimientos como un inventario de ADMT, la actualización de los avisos de privacidad, la realización de auditorías internas y externas de ciberseguridad con la trazabilidad necesaria y la actualización de políticas internas.