La Agencia de Protección de la Privacidad de California (CPPA) ha aprobado en julio de 2025 una nueva normativa que establece obligaciones de auditoría de ciberseguridad para determinadas empresas sujetas a la California Consumer Privacy Act (CCPA). Este movimiento no solo refuerza la protección de los consumidores estadounidenses, sino que también marca un precedente legal que puede extenderse a otros territorios y que tendrá un impacto directo en empresas europeas que operan o procesan datos de residentes en EE. UU.
Las nuevas obligaciones serán de aplicación progresiva según el volumen de negocio. Las empresas con ingresos anuales superiores a 100 millones de dólares deberán presentar su primera auditoría antes del 1 de abril de 2028. Las que facturen entre 50 y 100 millones tendrán plazo hasta abril de 2029, y aquellas por debajo del umbral de los 50 millones deberán cumplir antes de abril de 2030. Además del criterio económico, la norma se aplica a entidades que obtengan más del 50 % de sus ingresos por venta o compartición de datos, o que procesen datos personales de más de 250.000 personas o datos sensibles de más de 50.000 personas al año.
¿En qué consiste esta auditoría? El reglamento establece que debe ser anual, independiente, exhaustiva y estar firmada por una persona ejecutiva de alto nivel o un miembro del consejo de administración. Debe evaluar la eficacia del programa de ciberseguridad de la empresa, incluyendo medidas como autenticación multifactor, cifrado, segmentación de redes, gestión de vulnerabilidades, control de accesos, supervisión, respuesta a incidentes y continuidad operativa. También debe identificar brechas o debilidades existentes, documentar las acciones correctivas aplicadas y analizar los incidentes sufridos, incluso fuera del ámbito californiano.
La auditoría no puede ser una formalidad. Se exige transparencia en la identidad del auditor, número de horas dedicadas, justificación de su independencia y conservación de todos los documentos relacionados durante un mínimo de cinco años. A pesar de su rigor, la norma permite cierto grado de flexibilidad: si una organización ya realiza auditorías basadas en estándares reconocidos como ISO 27001, SOC 2 o NIST CSF 2.0, puede reutilizarlas, siempre que se documente explícitamente cómo cumplen con los requisitos específicos establecidos por la CPPA.
Para las empresas españolas con actividad internacional, esta regulación debe verse como una llamada estratégica a la acción. Anticiparse a su cumplimiento puede suponer una ventaja competitiva real, especialmente en sectores tecnológicos, de software como servicio, fintech, salud digital o inteligencia artificial. Adaptar desde ahora sus prácticas de seguridad a estos estándares no solo reduce riesgos legales y reputacionales, sino que mejora su posicionamiento frente a clientes y socios de EE. UU.
Además, este tipo de medidas está alineado con la creciente presión normativa global en materia de privacidad y ciberseguridad. No es descartable que Europa adopte modelos similares en los próximos años. Por tanto, invertir hoy en fortalecer los sistemas, formalizar auditorías externas y capacitar al consejo en sus responsabilidades puede convertirse en una palanca de crecimiento, confianza y eficiencia.
