La CCPA y la CPRA: qué implican las leyes de privacidad de California para los equipos de TI y los MSP

La Ley de Privacidad del Consumidor de California (CCPA), ampliada considerablemente por la Ley de Derechos de Privacidad de California (CPRA), constituye la legislación estatal en materia de privacidad más completa de Estados Unidos hasta la fecha. A menudo descrito como el «RGPD estadounidense», el marco normativo de California en materia de privacidad ha marcado la pauta de la legislación sobre privacidad en todo el país y ahora sirve de referencia de cumplimiento para las organizaciones que gestionan obligaciones de privacidad a nivel nacional.

Según el informe «State of the MSP» de Kaseya para 2026, el cumplimiento normativo y la presentación de informes se encuentran entre las diez principales necesidades de servicio de los clientes de los MSP en 2026. La Ley de Acceso a la Información Pública de California (CPRA) es uno de los componentes más analizados de cualquier programa de cumplimiento normativo en Estados Unidos. La plataforma de Kaseya ayuda a los MSP a gestionar el cumplimiento normativo en más de 170 países, lo que nos permite observar de cerca en qué ámbitos las obligaciones de la CPRA generan mayores dificultades operativas.

La CCPA y la CPRA: ¿en qué se diferencian?

La CCPA, promulgada en 2018 y en vigor desde enero de 2020, estableció los derechos fundamentales de privacidad de los consumidores para los residentes de California. La CPRA, aprobada por los votantes en 2020 y plenamente vigente desde enero de 2023, amplió considerablemente esos derechos y creó un organismo específico encargado de velar por su cumplimiento, la Agencia de Protección de la Privacidad de California (CPPA).

Principales novedades de la CPRA con respecto a la CCPA:

• Una nueva categoría de información personal sensible (SPI) con protecciones reforzadas, que incluye la geolocalización precisa, el origen racial o étnico, los datos sanitarios, los datos de cuentas financieras, los datos biométricos y el contenido de las comunicaciones.
• Nuevos derechos de los consumidores: derecho a rectificar los datos personales inexactos; derecho a limitar el uso y la divulgación de datos personales sensibles.
• Requisitos reforzados en materia de minimización de datos y limitación de la finalidad.
• Autoridad encargada de la aplicación de la ley (CPPA) que complementa a la Fiscalía General de California.

A efectos de cumplimiento normativo, la CPRA sustituye a la CCPA. Las organizaciones deben ajustar sus prácticas a las normas de la CPRA, y no a la referencia original de 2020.

Quién debe cumplir

La CPRA se aplica a las empresas con ánimo de lucro que recopilan datos personales de residentes en California y cumplen uno o varios de los siguientes requisitos:

• Los ingresos brutos anuales superan los 25 millones de dólares
• Comprar, vender, recibir o compartir anualmente, con fines comerciales, los datos personales de 100 000 o más consumidores o hogares
• Obtener el 50 % o más de sus ingresos anuales de la venta o el intercambio de datos personales de los consumidores

Las organizaciones sin ánimo de lucro suelen estar exentas. En el caso de las empresas tecnológicas, incluidos los proveedores de SaaS, los servicios en la nube y los MSP con una amplia cartera de clientes, el umbral de 100 000 consumidores o hogares es el criterio que se cumple con mayor frecuencia. La jurisdicción es extraterritorial: una empresa con sede en Nueva York o Londres que trate datos personales de 100 000 residentes de California debe cumplir con la normativa, independientemente del lugar en el que opere.

Cabe señalar que la CCPA se aplica a los ámbitos laboral y B2B en virtud de la normativa de 2026. Los datos de empleados, contratistas, solicitantes de empleo y contactos comerciales entran dentro del ámbito de aplicación de las evaluaciones de riesgos y otras obligaciones. Se trata de una diferencia significativa con respecto a muchas otras leyes estatales de privacidad de EE. UU.

Los derechos de los consumidores y su implicación para los sistemas informáticos

La CPRA otorga a los consumidores de California una serie de derechos que dan lugar a requisitos específicos en materia de sistemas informáticos.

Derecho a la información. Los consumidores pueden solicitar que se les informe sobre qué datos personales se recopilan, utilizan, divulgan o venden. Los sistemas informáticos deben ser capaces de ofrecer una visión completa de los datos personales que existen sobre una persona concreta. Para ello, es necesario disponer de un inventario de datos y de funciones de búsqueda en todos los sistemas, no solo en el CRM o el ERP principal.

Derecho de supresión. Los consumidores pueden solicitar la supresión de sus datos personales. Los sistemas informáticos deben localizar y suprimir los datos personales en todos los sistemas, incluidas las copias de seguridad y los procesadores externos. Sin un programa estructurado de gestión de datos, esto resulta complejo desde el punto de vista operativo. Un proveedor de servicios gestionados (MSP) del segmento medio que gestiona datos en 30 entornos de clientes, cada uno con su propio sistema de tickets, plataforma de documentación y archivo de copias de seguridad, se enfrenta a un importante reto operativo si no cuenta con herramientas que mapee y controle los flujos de datos.

Derecho de rectificación. Los consumidores pueden solicitar la rectificación de los datos personales inexactos. Los sistemas deben permitir la rectificación de los registros en todos los almacenes de datos pertinentes, y no solo en la interfaz de usuario.

Derecho a oponerse a la venta o al intercambio de datos. Los consumidores pueden oponerse a la venta o al intercambio de su información personal. Los sistemas deben respetar las indicaciones de oposición en todos los procesos de tratamiento y intercambio de datos. Los píxeles de marketing y las herramientas de retargeting que comparten datos con plataformas publicitarias se consideran «intercambio» a efectos de la CPRA, incluso sin que exista un pago directo.

Derecho a limitar el uso de la información personal sensible. Los consumidores pueden restringir la forma en que las empresas utilizan la información personal sensible. Los controles técnicos deben garantizar el cumplimiento de estas limitaciones a nivel del sistema, y no solo a través de la documentación de las políticas.

Para responder a las solicitudes relacionadas con los derechos de los consumidores dentro del plazo de 45 días se requieren tres elementos: un inventario de datos (saber dónde se almacenan los datos personales), capacidad de búsqueda (localizar los datos de una persona concreta en todos los sistemas) y capacidad de supresión o rectificación en todos los sistemas de tratamiento.

Los requisitos informáticos y de seguridad

La CPRA exige a las empresas que apliquen procedimientos y prácticas de seguridad razonables y adecuados a la naturaleza y el carácter sensible de los datos personales. El Fiscal General de California ha señalado que el cumplimiento del control IG1 de los CIS constituye una interpretación razonable del estándar mínimo de «seguridad razonable».

Más concretamente, la CPRA exige lo siguiente.

Minimización de datos. Recopilar y conservar únicamente lo estrictamente necesario para la finalidad indicada. Configurar los sistemas para que recopilen el mínimo de datos personales requerido. Esto se aplica a los campos de los formularios, la conservación de registros, las herramientas de análisis y cualquier integración que transfiera datos personales entre sistemas.

Límites de conservación. Conserve los datos personales solo durante el tiempo que sea razonablemente necesario para la finalidad prevista. La aplicación automatizada de los plazos de conservación (calendarios de eliminación) es un requisito operativo, no solo una declaración de política. Las organizaciones necesitan un calendario de conservación que especifique la categoría de datos, el sistema, el responsable, el plazo de conservación y el método de eliminación.

Evaluaciones de riesgos. Para las actividades de tratamiento que supongan un riesgo significativo para la privacidad de los consumidores (toma de decisiones automatizada, elaboración de perfiles a gran escala, intercambio de datos sensibles), se requiere una evaluación de riesgos documentada. Según la normativa de 2026, las nuevas actividades de tratamiento iniciadas después del 1 de enero de 2026 deben ser objeto de una evaluación de riesgos antes de que den comienzo.

Auditorías de ciberseguridad. Es posible que se exija a las empresas que supongan un riesgo significativo para la privacidad de los consumidores que realicen auditorías anuales de ciberseguridad. Los plazos de presentación ante la CPPA varían en función de los ingresos: el 1 de abril de 2028 para las empresas con ingresos superiores a 100 millones de dólares, el 1 de abril de 2029 para aquellas con ingresos entre 50 y 100 millones de dólares, y el 1 de abril de 2030 para las empresas con ingresos inferiores a 50 millones de dólares. Empezar ahora mismo el proceso de preparación para la auditoría es el enfoque adecuado, independientemente de la fecha límite de presentación.

¿Qué cambió en 2026?

La CPPA ultimó en septiembre de 2025 un importante paquete de modificaciones normativas, que entrarán en vigor el 1 de enero de 2026. Estas modificaciones suponen la ampliación más significativa de las obligaciones en materia de privacidad en California desde la entrada en vigor de la propia CPRA.

Tecnología de toma de decisiones automatizada (ADMT). Las empresas que utilicen sistemas automatizados para tomar decisiones importantes sobre los consumidores (aprobación de créditos, selección de personal, acceso a la asistencia sanitaria, fijación de tarifas de seguros) deben facilitar un aviso previo al uso en el que se explique cómo funciona la tecnología, qué datos utiliza y su posible impacto en los consumidores. Los consumidores tienen derecho a excluirse voluntariamente. La mayoría de las empresas deberán implementar los avisos previos al uso de la ADMT antes del 1 de enero de 2027.

Evaluaciones de riesgos obligatorias. Las nuevas actividades de tratamiento iniciadas a partir del 1 de enero de 2026 deben ir precedidas de una evaluación de riesgos documentada. En el caso de las actividades de tratamiento que ya estuvieran en marcha antes de esa fecha, las evaluaciones deberán completarse antes del 31 de diciembre de 2027.

Gestión del control global de privacidad (GPC). Varias medidas coercitivas en el marco de la CPPA se han dirigido contra empresas que no han respetado las señales del GPC en los navegadores, las cuales funcionan como una opción de exclusión automática de la venta o el intercambio de datos. La configuración de los sistemas para respetar las señales del GPC es ahora un requisito básico de cumplimiento, y no algo opcional.

Notificación de violaciones de datos en un plazo de 30 días. El plazo para la notificación de violaciones de datos en California se ha reducido a 30 días a partir del 1 de enero de 2026.

Obligaciones de los proveedores de servicios para los MSP

Según la CPRA, un MSP que preste servicios a una empresa sujeta a la CPRA se considera un proveedor de servicios, equivalente a un encargado del tratamiento en el RGPD. Las obligaciones principales son:

• Tratar los datos personales únicamente con el fin de prestar los servicios contratados.
• No venda ni comparta la información personal recibida de la empresa cliente.
• Eliminar o devolver los datos personales al finalizar el contrato.
• Aplique las medidas de seguridad adecuadas.
• Suscriba un contrato de servicios por escrito en el que se especifiquen las obligaciones derivadas de la CPRA.

Esto significa que todo proveedor de servicios gestionados (MSP) que preste servicio a clientes sujetos a la CPRA necesita un anexo sobre protección de datos que incluya las cláusulas pertinentes de la CPRA. También significa que el MSP debe poder demostrar que su propio programa de seguridad está implementado y documentado, ya que un cliente que se enfrente a una investigación regulatoria solicitará pruebas del nivel de seguridad del MSP, y no solo un documento de política.

Descubre cómo Compliance Manager GRC la gestión del cumplimiento de la CCPA y la CPRA

Cumplimiento y sanciones

Tanto el Fiscal General de California como la CPPA pueden hacer cumplir la CPRA. Sanciones por infracción para el periodo 2025-2026, ajustadas a la inflación:

• Infracciones involuntarias: 2.663 dólares por infracción
• Infracciones intencionadas: 7.988 dólares por infracción
• Infracciones relacionadas con los datos de menores: 7.988 dólares por infracción

Cada consumidor afectado se considera una infracción independiente, lo que explica que las sanciones se agraven rápidamente. La mayor multa impuesta hasta la fecha por la CPPA ascendió a 1,35 millones de dólares y se impuso a Tractor Supply en octubre de 2025, después de que su enlace «No vendan mi información personal» no lograra impedir realmente el intercambio de datos. En el primer trimestre de 2026 se adoptaron medidas coercitivas contra Disney, Ford, Honda y otras empresas, que sumaron varios millones de dólares en multas y órdenes de rectificación obligatorias.

Los consumidores particulares también disponen de un derecho de acción individual en caso de violaciones de la seguridad derivadas de la falta de aplicación de medidas de seguridad razonables: entre 100 y 750 dólares por consumidor y por incidente, o el importe de los daños reales si este fuera superior. Esto supone un riesgo significativo de demandas colectivas para cualquier organización que sufra una violación de la seguridad al operar por debajo de un nivel de seguridad defendible.

La CPPA ha declarado que puede investigar conductas que se remonten al 1 de enero de 2020, fecha de entrada en vigor original de la ley. La actitud en materia de aplicación de la ley se está endureciendo, en lugar de suavizarse.

Cómo Compliance Manager GRC los programas de la CPRA

Compliance Manager GRC los flujos de trabajo de recopilación de pruebas, evaluación y documentación que exige el cumplimiento de la CPRA. Para los proveedores de servicios gestionados (MSP) que gestionan el cumplimiento normativo de múltiples clientes, sustituye el seguimiento manual basado en hojas de cálculo por una plataforma que supervisa el estado de los controles de forma continua, asigna las tareas de evaluación a los responsables adecuados y genera documentación de cumplimiento lista para su revisión por parte de las autoridades reguladoras o los clientes.

Entre los marcos compatibles se incluyen HIPAA, CMMC, PCI DSS, NIST CSF, CIS Controls y la Norma de Salvaguardias de la FTC, además de marcos específicos de California y personalizados. IT Glue envía automáticamente los informes de cumplimiento a la documentación de cada cliente, lo que permite mantener todo actualizado sin necesidad de ciclos manuales de exportación y carga.

Descubre Compliance Manager GRC