CCPA/CPRA 2025: Lo que la Ley de Derechos de Privacidad de California Exige a los Proveedores de IA y Procesamiento de Datos

La Ley de Derechos de Privacidad del Consumidor de California (CPRA, en vigor desde 2023) estableció la Agencia de Protección de la Privacidad de California (CPPA) como el primer regulador de privacidad estatal dedicado en EE. UU. La CPPA emitió más de $100 millones en acciones de cumplimiento en 2024, demostrando que la ley de privacidad de California no es solo un marco regulatorio, sino un entorno de cumplimiento activo.

El alcance extraterritorial de la CPRA es el aspecto más significativo para las empresas globales: la ley se aplica a cualquier empresa con más de $25 millones en ingresos anuales, o que procesa datos personales de más de 100,000 consumidores o hogares californianos. Con 40 millones de residentes en California y el estatus de California como la 5ª economía más grande del mundo, la mayoría de las empresas globales caen bajo la jurisdicción de la CPRA.

Categorías de Información Personal Sensible de la CPRA

La CPRA crea un nivel distinto de "información personal sensible" que requiere una protección aumentada y requisitos de divulgación específicos. Las 19 categorías se corresponden estrechamente con las categorías especiales del Artículo 9 del GDPR, pero con adiciones específicas de EE. UU.:

1. Números de SSN, licencia de conducir, identificación estatal, números de pasaporte
2. Cuentas financieras, números de tarjetas de débito/crédito con códigos de acceso
3. Geolocalización precisa (dentro de 1,852 metros)
4. Origen racial/étnico
5. Creencias religiosas o filosóficas
6. Afiliación sindical
7. Contenido de correo electrónico y postal (si no está ampliamente disponible)
8. Datos genéticos
9. Datos biométricos para identificación
10. Datos de salud/médicos
11. Orientación sexual o vida sexual
12. Estado migratorio (agregado en las regulaciones de 2024)
13. Datos de salud mental (agregado en las regulaciones de 2024)
14. Estado de ciudadanía
15. Números de cuentas financieras (de forma independiente, sin códigos de acceso)
16. Estado de discapacidad
17. Indicadores de estado de empleo
18. Información de póliza de seguro
19. Datos de antecedentes penales o de arresto

La implicación práctica: cualquier pipeline de procesamiento de datos que maneje estas categorías debe proporcionar a los consumidores el derecho a limitar el uso y la divulgación de información personal sensible, separado del derecho general a optar por no participar en la venta.

Cumplimiento de la CPPA en 2024: Qué se Apuntó

La CPPA emitió acciones de cumplimiento y acuerdos en 2024 dirigidos a:

Violaciones de registro de corredores de datos: California requiere que los corredores de datos se registren en la CPPA. La CPPA encontró cientos de corredores de datos no registrados: organizaciones que venden datos de perfil personal sin la divulgación requerida.

Incumplimiento de gestión de consentimientos: La CPPA encontró que muchas "plataformas de gestión de consentimientos" de las empresas no proporcionaban realmente mecanismos funcionales de exclusión: o el botón de exclusión no funcionaba, o la exclusión solo se aplicaba a usos de datos específicos mientras que otros continuaban.

Decisiones automatizadas de IA: Las regulaciones de IA de la CPPA de 2025 requieren que las empresas notifiquen a los consumidores cuando se utiliza la toma de decisiones automatizada para decisiones significativas (empleo, crédito, vivienda) y proporcionen mecanismos significativos de exclusión. Varias acciones de cumplimiento en 2024 se dirigieron a herramientas de IA utilizadas sin la notificación adecuada.

Datos de menores: Bajo el Código de Diseño Apropiado para la Edad de California (AADC), las empresas que probablemente sean accedidas por menores deben realizar Evaluaciones de Impacto en la Protección de Datos. La CPPA encontró múltiples empresas tecnológicas que no completaron los DPIA requeridos.

CPRA vs. GDPR: Principales Diferencias para Organizaciones Globales

Las organizaciones que operan bajo el GDPR y la CPRA enfrentan requisitos de cumplimiento que son similares en principio pero diferentes en detalles:

Opción de exclusión vs. opción de inclusión: El GDPR requiere consentimiento de inclusión para la mayoría de los procesos de datos sensibles. La CPRA utiliza un modelo de exclusión: el procesamiento es legal hasta que el consumidor opta por no participar. Esto significa que los mecanismos de consentimiento compatibles con el GDPR son a menudo más restrictivos de lo que requiere la CPRA, pero las prácticas compatibles con la CPRA pueden no satisfacer el GDPR.

Derechos de los sujetos de datos: Ambos requieren derechos de acceso, eliminación y corrección. La CPRA añade un derecho a optar por no participar en la toma de decisiones automatizadas, más amplio que la disposición de toma de decisiones automatizadas más restringida del Artículo 22 del GDPR.

Datos de empleados: La CPRA se aplica completamente a los datos personales de los empleados. El GDPR tiene un alcance similar, pero los estados miembros tienen disposiciones específicas de empleo variadas. La privacidad de los empleados en California es a menudo una vía de cumplimiento distinta de la del GDPR para empleados de la UE.

Alcance de datos sensibles: Las 19 categorías de la CPRA se superponen parcialmente con el Artículo 9 del GDPR, pero incluyen categorías (estado migratorio, números de cuentas financieras, antecedentes penales) que el GDPR trata de manera diferente.

La Implicación de Cumplimiento para Proveedores de IA

Las regulaciones de IA de la CPRA de 2025 crean requisitos específicos para las organizaciones que utilizan herramientas de IA que procesan datos de consumidores de California:

Requisitos contractuales para proveedores: Los proveedores de servicios (proveedores que procesan datos en nombre de la empresa) deben comprometerse contractualmente a: usar los datos solo para el propósito divulgado, eliminar los datos cuando el servicio termine, permitir que las solicitudes de derechos de los consumidores fluyan y implementar medidas de seguridad adecuadas.

Divulgación de decisiones automatizadas: Si su herramienta de IA toma o contribuye significativamente a decisiones sobre consumidores de California — evaluación de crédito, detección de fraude, moderación de contenido, selección de empleo — los consumidores deben ser notificados y se les debe proporcionar una opción significativa de exclusión.

Proveniencia de datos de entrenamiento: Si se utilizaron datos de consumidores de California para entrenar un modelo de IA, los requisitos de limitación de propósito de la CPRA significan que los resultados del modelo de IA no pueden ser utilizados para propósitos incompatibles con el propósito de recolección original.

Para las organizaciones que gestionan datos de consumidores de California en sistemas de IA: la minimización de datos antes del procesamiento de IA — eliminando PII antes de que los datos ingresen a los pipelines de entrenamiento de IA o herramientas de análisis de IA — es la forma más directa de satisfacer los requisitos de toma de decisiones automatizadas de la CPPA mientras se reduce la exposición de información personal sensible.

Fuentes:

• CPPA: Agencia de Protección de la Privacidad de California
• CPRA: texto completo de la Ley de Derechos de Privacidad de California
• CPPA: Regulaciones de Toma de Decisiones Automatizadas de IA 2025