Cumplimiento de la CCPA y la CPRA

Contactar con un experto

Volver a todos los casos de uso

CCPA, CPRA y gestión de riesgos de terceros

La Ley de Privacidad del Consumidor de Californiaregula la recopilación y venta de datos de consumidores por parte de las empresas con el fin de proteger la información personal confidencial de los residentes de California y proporcionar a los consumidores control sobre cómo se utiliza dicha información. La CCPA se amplió en 2023 con laLey de Derechos de Privacidad de California (CPRA), que añadió nuevas obligaciones de cumplimiento que exigen acuerdos estrictos con terceros para garantizar la recopilación, el uso y la eliminación seguros de la información de los consumidores.

La CCPA y la CPRA se aplican a los datos de los consumidores recopilados de cualquier residente de California, ya sea por una empresa con sede en ese estado o que simplemente opera allí. Si se determina que una empresa es responsable de una sanción civil en virtud de la CCPA, la sanción puede alcanzar los 7500 dólares por cada infracción intencionada y los 2500 dólares por cada infracción no intencionada. El tribunal también puede ordenar el pago de una indemnización por daños y perjuicios a los consumidores.

Por lo tanto, las organizaciones deben asegurarse de que sus socios externos y proveedores de servicios estén bien preparados para proteger la información de los consumidores. El primer paso en cualquier programa de seguridad es identificar y priorizar los riesgos existentes mediante una evaluación exhaustiva de la seguridad.

Normativa pertinente

  • 1798.81.5 (b)«Una empresa que posea, conceda licencias o mantenga información personal sobre un residente de California deberá implementar y mantener procedimientos y prácticas de seguridad razonables y adecuados a la naturaleza de la información, con el fin de proteger la información personal contra el acceso, la destrucción, el uso, la modificación o la divulgación no autorizados».
  • 1798.140(c) «Permite, sujeto al acuerdo con el contratista [o proveedor de servicios], que la empresa supervise el cumplimiento del contrato por parte del contratista [o proveedor de servicios] mediante medidas que incluyen, entre otras, revisiones manuales continuas y análisis automatizados, así como evaluaciones periódicas, auditorías u otras pruebas técnicas y operativas al menos una vez cada 12 meses».
  • 1798.185 (b) «Presentar periódicamente a la Agencia de Protección de la Privacidad de California una evaluación de riesgos con respecto al tratamiento de la información personal».
  • 1798.100 (d) «Una empresa... celebrará un acuerdo con dicho tercero, proveedor de servicios o contratista, en el que: ... Obligue al tercero, proveedor de servicios o contratista a cumplir con las obligaciones aplicables en virtud del presente título y obligue a dichas personas a proporcionar el mismo nivel de protección de la privacidad que exige el presente título; Exija al tercero, proveedor de servicios o contratista que notifique a la empresa si determina que ya no puede cumplir con sus obligaciones en virtud del presente título».
  • 1798.185 (a) «Realizar una auditoría de ciberseguridad con periodicidad anual, lo que incluye definir el alcance de la auditoría y establecer un proceso para garantizar que las auditorías sean exhaustivas e independientes. Los factores que se tendrán en cuenta para determinar cuándo el tratamiento puede suponer un riesgo significativo para la seguridad de la información personal incluirán el tamaño y la complejidad de la empresa, así como la naturaleza y el alcance de las actividades de tratamiento».

Cumplimiento de los requisitos de la CCPA en materia de gestión de riesgos de terceros (TPRM)

Así es como Prevalent puede ayudarle a abordar las mejores prácticas de gestión de riesgos de terceros de la CCPA:

Mejores prácticas de la CCPA

Cómo ayudamos

Descubrimiento y mapeo de datos

Prevalent admite evaluaciones programadas para identificar los flujos de datos entre relaciones, identificando dónde existen los datos, dónde fluyen y con quién se comparten fuera de la organización utilizando una capacidad única de mapeo de relaciones. Genera automáticamente un registro de riesgos que destaca las áreas de riesgo clave para aportar visibilidad a los datos.

Evaluación de riesgos de proveedores

Prevalent evalúa los controles de privacidad de datos de los proveedores con respecto a la CCPA utilizando el Marco de Cumplimiento de Prevalent (PCF). El contenido específico del cuestionario ayuda a identificar y asignar los riesgos detectados durante la evaluación a los controles, lo que permite obtener una visión clara de los posibles puntos críticos.

Respuesta al riesgo

Prevalent automatiza la identificación de riesgos basándose en los umbrales establecidos en la plataforma. Acelera la respuesta con reglas de flujo de trabajo predefinidas que escalan los riesgos identificados al responsable adecuado para su revisión y resolución inmediatas.

Seguimiento y presentación de informes sobre el cumplimiento normativo

Informes prevalentes contra la CCPA utilizando el Marco de Cumplimiento Prevalente, que mapea automáticamente los riesgos y las respuestas a los controles, proporciona una calificación de porcentaje de cumplimiento y ofrece informes específicos para cada parte interesada con el fin de aportar visibilidad a la seguridad de los datos.

Supervisión de la notificación de sucesos de violación

Prevalent proporciona acceso a una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. Incluye los tipos y cantidades de datos robados, cuestiones de cumplimiento normativo y regulatorio, y notificaciones en tiempo real de violaciones de datos de proveedores.

Solicitudes de acceso a los datos personales

Prevalent permite a los proveedores y usuarios empresariales activar flujos de trabajo de solicitud de acceso a datos (SAR) basados en las solicitudes que reciben, utilizando una evaluación proactiva para capturar los datos relevantes. Aprovechando el mapa de relaciones, los equipos de riesgo y privacidad pueden visualizar con quién se comparten los datos y quién está expuesto a los datos de ese proveedor.

Gestión de contratos con proveedores

Prevalent centraliza la distribución, discusión, retención y revisión de los contratos con proveedores, incluyendo capacidades de flujo de trabajo para automatizar el ciclo de vida del contrato, desde la incorporación hasta la salida.

Con Prevalent, los equipos jurídicos y de compras disponen de una solución única para hacer cumplir las disposiciones de los contratos con los proveedores y los KPI, y simplificar la gestión y la revisión.

Recursos adicionales

Blog

Lista de verificación de cumplimiento de la CCPA y la CPRA para la gestión de riesgos de terceros

Libro Blanco

Manual de cumplimiento por terceros: Normativa sobre protección de datos

Blog

Desarrollo de una política de gestión de riesgos de terceros: guía de buenas prácticas

Lista de control

Lista de verificación de cumplimiento de terceros de la CCPA

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.