La California Consumer Privacy Act ha experimentado su expansión más significativa desde que las enmiendas del CPRA entraron en vigor en 2023. El 1 de enero de 2026, una nueva oleada de regulaciones de la California Privacy Protection Agency (CPPA) pasó a ser exigible, introduciendo requisitos que alcanzan a la toma de decisiones automatizada, las operaciones de intermediarios de datos, los mecanismos de consentimiento y las prácticas de ciberseguridad. No son ajustes incrementales. Representan un cambio estructural en lo que California espera de las empresas que recopilan información personal en línea. Si su sitio web atiende a consumidores californianos, estos siete cambios exigen atención inmediata. Para empresas españolas familiarizadas con el RGPD aplicado por la AEPD, varias de estas obligaciones tienen paralelismos útiles, pero también divergencias críticas que conviene comprender.
1. Derechos de exclusión sobre la tecnología de toma de decisiones automatizada
El cambio más relevante de las regulaciones de 2026 es la introducción de derechos de exclusión del consumidor para la tecnología de toma de decisiones automatizada (ADMT, por sus siglas en inglés). Bajo las nuevas reglas, cualquier empresa que utilice tecnología para tratar información personal y producir una decisión que tenga un efecto legal o significativamente similar sobre un consumidor debe ofrecer la posibilidad de oponerse a ese tratamiento.
Esto va mucho más allá de los ejemplos obvios como la calificación crediticia o la suscripción de seguros. Las regulaciones finales de la CPPA definen el ADMT con la amplitud suficiente para abarcar la fijación algorítmica de precios, la personalización de contenido que afecta al acceso a servicios, las determinaciones de elegibilidad y la elaboración de perfiles de comportamiento utilizada para adaptar ofertas o experiencias. Si su sitio web utiliza modelos de aprendizaje automático para decidir qué productos ve un usuario, qué precio se le ofrece o si reúne los requisitos para un servicio, es probable que esté operando tecnología de toma de decisiones automatizada según la nueva definición.
Los requisitos prácticos son sustanciales. Las empresas deben proporcionar a los consumidores una descripción clara del ADMT que utilizan, incluida la lógica empleada y el resultado previsto. Deben ofrecer un mecanismo de exclusión previo a la decisión, accesible desde la política de privacidad o mediante un enlace dedicado. Cuando un consumidor se excluye, la empresa debe ofrecer una alternativa de revisión humana para cualquier decisión que produzca efectos legales o significativamente similares. La notificación debe producirse antes de que se tome la decisión automatizada, no después.
Para los propietarios de sitios web, esto implica auditar cada proceso algorítmico que toque datos del consumidor. Los motores de recomendación, los sistemas de precios dinámicos, las herramientas de detección de fraude y los algoritmos de elegibilidad entran todos dentro del ámbito. El mecanismo de exclusión debe ser funcional, no un mero formulario que desaparece en una bandeja de entrada sin supervisión.
2. Definición ampliada de información personal sensible
El CPRA ya estableció una categoría de “información personal sensible” con protecciones reforzadas. Las regulaciones de 2026 amplían lo que entra en esta categoría y endurecen las obligaciones asociadas.
La definición ampliada incluye ahora explícitamente los datos neurales, abarcando la información generada por interfaces cerebro-ordenador, dispositivos de neurotecnología y tecnologías similares que miden o registran señales eléctricas, químicas u otras del cerebro o del sistema nervioso. Aunque esto pueda parecer prospectivo, el enfoque proactivo de California refleja el rápido crecimiento de los productos de neurotecnología de consumo y la intención del estado de regular antes de que se produzca un daño generalizado.
De forma más inmediatamente relevante para la mayoría de operadores de sitios web, las regulaciones aclaran que los datos de geolocalización precisa recopilados a través de aplicaciones móviles o servicios de localización del navegador constituyen información personal sensible incluso cuando se recopilan para fines aparentemente rutinarios como resultados de búsqueda local. Cualquier sitio web que solicite o recopile pasivamente datos de localización más allá de lo estrictamente necesario para el servicio solicitado debe ahora proporcionar un enlace “Limitar el uso de mi información personal sensible” y respetar las solicitudes del consumidor de restringir el tratamiento exclusivamente a los fines necesarios para el servicio.
El impacto práctico es que las empresas deben revisar cada punto en el que recopilan datos que podrían calificar como sensibles bajo la definición ampliada. Las políticas de privacidad deben actualizarse para divulgar las categorías específicas de información sensible recopilada, los fines de la recopilación y el derecho del consumidor a limitar su uso.
3. Nuevos requisitos de registro para intermediarios de datos
Las enmiendas de 2026 introducen obligaciones más estrictas para los intermediarios de datos, definidos como empresas que recopilan a sabiendas y venden o ceden información personal de consumidores con los que no mantienen una relación directa. Aunque muchos operadores de sitios web no se consideran intermediarios de datos, la línea es más fina de lo que parece.
Bajo las nuevas reglas, cualquier empresa que cumpla la definición de intermediario de datos debe registrarse en la CPPA y pagar una tasa anual de registro. Pero el cambio de mayor impacto es el mecanismo de eliminación. Los intermediarios de datos deben ahora participar en un mecanismo accesible y centralizado a través del cual los consumidores puedan presentar una única solicitud de exclusión que se aplique a todos los intermediarios registrados. La CPPA ha estado desarrollando este sistema centralizado, y los intermediarios de datos están obligados a integrarse con él.
Para los propietarios de sitios web que comparten o venden datos de consumidores a terceros, la cuestión clave es si esos terceros califican como intermediarios de datos. Si lo hacen, su política de privacidad debe divulgar que la información personal puede transferirse a intermediarios de datos registrados y debe explicar el derecho del consumidor a oponerse a tales transferencias. Si su empresa misma recopila datos de fuentes de terceros o mediante tecnologías de seguimiento desplegadas en sitios que no posee, puede que necesite evaluar si alcanza el umbral de intermediario de datos.
4. Mecanismos de exclusión reforzados
Las regulaciones de 2026 refuerzan significativamente los requisitos sobre cómo las empresas implementan los mecanismos de exclusión para la venta y el intercambio de información personal.
La adición más notable es el requisito de respetar las señales Global Privacy Control (GPC). GPC es una señal a nivel del navegador que comunica automáticamente la preferencia de exclusión del consumidor a cada sitio web que visita. Aunque la CPPA había indicado previamente que las empresas debían respetar las señales GPC, las regulaciones de 2026 lo convierten en una obligación legal explícita. Cualquier sitio web que detecte una señal GPC procedente de un consumidor californiano debe tratarla como una solicitud de exclusión válida para la venta y el intercambio de información personal, sin requerir ninguna acción adicional del consumidor.
Más allá de GPC, las regulaciones exigen que los enlaces de exclusión sean accesibles desde cada página donde se recopile información personal, no solo desde la página de inicio o la política de privacidad. El enlace “No vender ni compartir mi información personal” debe ser claramente visible, utilizar el lenguaje legal exacto o una alternativa aprobada, y funcionar sin requerir que el consumidor cree una cuenta o proporcione información personal adicional para ejercer la exclusión.
Las empresas que utilizan plataformas de gestión del consentimiento o banners de cookies deben asegurarse de que estas herramientas estén configuradas para detectar y respetar las señales GPC. Un banner de cookies que pida al consumidor optar manualmente por la exclusión a pesar de la presencia de una señal GPC no es conforme bajo las regulaciones de 2026.
5. Consentimiento más estricto para menores de 16 años
El CCPA siempre ha impuesto protecciones reforzadas para los menores. Bajo la ley original, las empresas no podían vender ni compartir la información personal de consumidores menores de 16 años sin consentimiento afirmativo: del propio consumidor si tiene entre 13 y 16 años, o de un padre o tutor si es menor de 13. Las regulaciones de 2026 amplían estas protecciones de varias formas significativas.
Primero, la sanción por infracciones que involucran datos de menores ha aumentado. Las infracciones intencionales que involucran información personal de menores acarrean ahora multas de hasta 7.500 $ por incidente, y la CPPA ha señalado una aplicación agresiva en este ámbito.
Segundo, el requisito de consentimiento afirmativo se extiende ahora más allá de la venta y el intercambio para cubrir el uso de información personal de menores en publicidad comportamental, elaboración de perfiles y toma de decisiones automatizada. Un sitio web que sepa o deba razonablemente saber que un usuario es menor de 16 años no puede desplegar tecnologías de publicidad comportamental o de elaboración de perfiles contra ese usuario sin obtener consentimiento verificable a través de un mecanismo apropiado para la edad.
Tercero, las regulaciones establecen estándares específicos sobre lo que constituye un consentimiento válido de un menor. Las casillas premarcadas, las divulgaciones enterradas en términos de servicio extensos o el consentimiento agrupado con otros permisos son explícitamente inválidos. El mecanismo de consentimiento debe ser destacado, redactado con claridad en un lenguaje apropiado para la edad del menor y debe describir específicamente las prácticas de datos a las que el menor consiente.
Los propietarios de sitios web que operan plataformas utilizadas por menores, incluidos sitios de comercio electrónico, tecnología educativa, redes sociales, juegos y plataformas de contenido, deberían revisar inmediatamente sus prácticas de verificación de edad y de obtención del consentimiento. La CPPA ha indicado que las acciones de aplicación dirigidas a empresas que no protegen adecuadamente los datos de los menores son una prioridad para 2026.
6. Auditorías de ciberseguridad obligatorias para tratamientos de alto riesgo
Las regulaciones de 2026 introducen auditorías de ciberseguridad obligatorias para empresas cuyas actividades de tratamiento de datos presenten un riesgo significativo para la privacidad o la seguridad del consumidor. Este requisito se aplica a las empresas que tratan información personal de un número sustancial de consumidores, que tratan información personal sensible a gran escala, o cuyas actividades de tratamiento presentan un riesgo elevado de daño.
La auditoría debe ser realizada anualmente por un evaluador independiente cualificado. Debe evaluar las salvaguardas administrativas, técnicas y físicas de la empresa, incluidos los controles de acceso, las prácticas de cifrado, los procedimientos de respuesta a incidentes, la formación de los empleados y la gestión de la seguridad de los proveedores. El informe de auditoría debe presentarse a la CPPA cuando se solicite y debe incluir conclusiones, deficiencias identificadas y plazos de remediación.
Para los propietarios de sitios web, la cuestión preliminar es si sus actividades de tratamiento activan el requisito de auditoría de ciberseguridad. Si su sitio web recopila información personal sensible de un gran número de consumidores californianos, utiliza tecnología de toma de decisiones automatizada, o ha sufrido una brecha de datos en los últimos 24 meses, es probable que entre dentro del ámbito. Incluso si no está sujeto inmediatamente al requisito de auditoría, implementar el marco de auditoría de manera proactiva demuestra cumplimiento de buena fe y reduce el riesgo de aplicación.
El requisito de auditoría alinea más estrechamente a California con las obligaciones de evaluación de seguridad presentes en el RGPD de la UE (artículo 32) — aplicado en España por la AEPD — y con un número creciente de leyes estatales de privacidad de EE. UU. que exigen revisiones de seguridad basadas en el riesgo.
7. Evaluaciones de riesgos para la elaboración de perfiles impulsada por IA
El último gran cambio de las regulaciones de 2026 es la introducción de evaluaciones de riesgos obligatorias para empresas que se dedican a actividades de elaboración de perfiles, especialmente las potenciadas por inteligencia artificial.
Una evaluación de riesgos debe realizarse antes de que una empresa inicie cualquier actividad de tratamiento que implique elaboración de perfiles de consumidores para publicidad comportamental, evaluación de consumidores para determinaciones de elegibilidad o el uso de sistemas de IA que produzcan resultados con efectos legales o significativamente similares. La evaluación debe sopesar los beneficios del tratamiento frente a los riesgos potenciales para la privacidad del consumidor, incluyendo riesgos de discriminación, elaboración de perfiles inexacta y uso secundario no autorizado de los datos del perfil.
La evaluación de riesgos debe documentarse, debe actualizarse cuando las actividades de tratamiento cambien materialmente y debe presentarse a la CPPA cuando se solicite. Los requisitos de documentación son específicos: la evaluación debe identificar las categorías de información personal tratada, la metodología de elaboración de perfiles, los fines, los posibles resultados negativos para los consumidores y las salvaguardas implementadas para mitigar esos riesgos.
Para los propietarios de sitios web que utilizan herramientas impulsadas por IA, este requisito tiene amplias implicaciones. Si su sitio web emplea cualquier forma de elaboración algorítmica de perfiles que utilice información personal — desde motores de recomendación de productos hasta herramientas de precalificación crediticia o algoritmos de publicidad dirigida — debe ahora realizar y documentar una evaluación de riesgos antes de desplegar esa tecnología frente a consumidores californianos.
El requisito de evaluación de riesgos no es un ejercicio puntual. A medida que sus sistemas de IA evolucionan, los datos de entrenamiento cambian y los resultados de sus actividades de elaboración de perfiles se desplazan, la evaluación de riesgos debe revisarse y actualizarse. Las empresas que despliegan herramientas de IA de proveedores externos no están exentas; debe evaluar el riesgo de la actividad de tratamiento independientemente de si construyó la tecnología o la adquirió.
Qué deberían hacer ya los propietarios de sitios web
La fecha de entrada en vigor de enero de 2026 significa que estos requisitos ya son exigibles. La CPPA ha establecido un periodo de adaptación de 12 meses para algunas obligaciones de auditoría y evaluación, pero los requisitos centrales orientados al consumidor — incluidas las exclusiones ADMT, el cumplimiento de las señales GPC, el consentimiento reforzado de menores y las divulgaciones actualizadas en la política de privacidad — están en vigor de inmediato.
Aquí tiene un plan de acción práctico:
Audite sus sistemas automatizados. Identifique cada proceso algorítmico o impulsado por IA en su sitio web que utilice información personal para producir decisiones, recomendaciones o determinaciones de elegibilidad. Coteje estos procesos frente a los requisitos de exclusión ADMT.
Actualice su política de privacidad. Su política debe divulgar ahora el uso de ADMT, las categorías ampliadas de información personal sensible, las relaciones con intermediarios de datos y el derecho del consumidor a oponerse a las decisiones automatizadas. Asegúrese de que la política refleje el lenguaje regulatorio de 2026, no solo el texto pre-2026 del CCPA. Para una visión global de las obligaciones de la política de privacidad bajo CCPA, consulte nuestra guía sobre los requisitos de la política de privacidad CCPA.
Implemente la detección de señales GPC. Si su sitio web no detecta y respeta ya las señales Global Privacy Control, esta es una brecha de cumplimiento inmediata. La mayoría de plataformas de gestión del consentimiento ofrecen la detección GPC como opción de configuración.
Revise los flujos de consentimiento de menores. Si su sitio web atiende a usuarios menores de 16 años o recopila datos de menores, verifique que sus mecanismos de consentimiento cumplen los nuevos requisitos de especificidad y prominencia.
Programe una auditoría de ciberseguridad. Si sus actividades de tratamiento entran en el umbral de alto riesgo, comience ahora el proceso de contratación de un evaluador independiente. Las plazas de auditoría se llenan rápidamente, y la CPPA ha indicado que el incumplimiento de una auditoría requerida es en sí mismo una infracción exigible.
Realice evaluaciones de riesgos de IA. Para cada actividad de elaboración de perfiles o tratamiento impulsado por IA, complete una evaluación de riesgos documentada que cumpla las especificaciones de la CPPA. Mantenga estas evaluaciones actualizadas y accesibles para revisión regulatoria. Para una comparación con el marco europeo, consulte nuestro análisis de las diferencias clave entre CCPA y RGPD.
Conclusión
Las regulaciones CCPA de 2026 marcan la transición de California, de una ley de privacidad centrada en la divulgación a un marco regulatorio integral que rige el ciclo de vida completo del tratamiento de información personal. La toma de decisiones automatizada, la elaboración de perfiles con IA, la ciberseguridad, la intermediación de datos y el consentimiento de menores ya no son preocupaciones periféricas. Son obligaciones de cumplimiento centrales con consecuencias reales. Para una visión global del riesgo de aplicación, consulte nuestro análisis de las sanciones CCPA y qué ocurre si no cumple.
Las empresas que navegarán este panorama con éxito serán aquellas que traten los cambios de 2026 no como un ejercicio de marcar casillas sino como una transformación operativa. La privacidad está ahora integrada en cómo su sitio web recopila datos, cómo los procesan sus algoritmos y cómo los protege su infraestructura de seguridad.
Si su sitio web necesita una política de privacidad actualizada que aborde los requisitos CCPA de 2026, WebLegal genera documentos legales conscientes de la jurisdicción desde 19,90 €. El proceso lleva menos de 10 minutos y produce una política adaptada a sus prácticas de datos específicas, incluidas las nuevas divulgaciones sobre toma de decisiones automatizada e información personal sensible que California exige ahora.
