CCPA & AI Compliance

Overview

La Ley de Privacidad del Consumidor de California (CCPA), enmendada por la Ley de Derechos de Privacidad de California (CPRA), es la ley de privacidad del consumidor más completa de los Estados Unidos. Vigente desde enero de 2020 y significativamente fortalecida por las enmiendas de la CPRA que entraron en efecto en 2023, la CCPA otorga a los residentes de California amplios derechos sobre su información personal e impone obligaciones a las empresas que recopilan, utilizan o venden esos datos. Para los equipos de desarrollo de IA, la CCPA tiene implicaciones directas en cómo se obtienen, procesan y retienen los datos de entrenamiento.

La CCPA aplica a empresas con fines de lucro que cumplan cualquiera de tres umbrales: ingresos brutos anuales superiores a $25 million, compra, venta o intercambio de información personal de 100,000 o más consumidores u hogares de California, o derivación del 50 por ciento o más de los ingresos anuales de la venta o intercambio de información personal. Dada la escala de datos requerida para el entrenamiento de IA, muchas organizaciones que construyen sistemas de IA cumplirán estos umbrales. Las enmiendas de la CPRA además establecieron la Agencia de Protección de la Privacidad de California (CPPA), el primer organismo de aplicación de privacidad dedicado en los Estados Unidos.

Para la IA y el aprendizaje automático, la definición de información personal de la CCPA es ampliamente abarcadora, cubriendo no solo identificadores obvios sino también inferencias derivadas de información personal para crear perfiles de consumidores. Esto significa que los modelos de IA entrenados con datos personales, y las predicciones que esos modelos generan, pueden constituir información personal bajo la CCPA. Las organizaciones deben por lo tanto considerar las implicaciones regulatorias no solo de sus datos de entrenamiento, sino de los resultados de sus modelos y los perfiles que crean mediante análisis impulsado por IA.

AI-Specific Requirements

La CCPA establece varios derechos del consumidor que impactan directamente los pipelines de datos de entrenamiento de IA. El derecho a saber requiere que las empresas divulguen qué información personal recopilan, los propósitos de la recopilación y las categorías de terceros con quienes se comparten los datos. Para los equipos de IA, esto significa mantener registros claros de qué datos personales ingresan a los pipelines de entrenamiento y cómo se utilizan. El derecho a eliminar obliga a las empresas a borrar los datos del consumidor cuando se solicite, lo que plantea preguntas complejas sobre si los pesos de los modelos entrenados deben reentrenarse para "desaprender" los datos eliminados.

Las enmiendas de la CPRA introdujeron el derecho a limitar el uso y divulgación de información personal sensible, que incluye geolocalización precisa, origen racial o étnico, información de salud y detalles de cuentas financieras. Los datasets de entrenamiento de IA frecuentemente contienen estas categorías sensibles, y las organizaciones deben proporcionar a los consumidores un mecanismo para optar por no permitir que sus datos sensibles se utilicen más allá de lo razonablemente necesario para el servicio esperado. El derecho a optar por no participar en la venta o intercambio de información personal también es crítico: si los datos de entrenamiento provienen de intermediarios de datos o se comparten con servicios de entrenamiento de modelos de terceros, los consumidores deben tener la capacidad de optar por no participar.

La limitación de propósito bajo la CPRA restringe a las empresas de usar información personal para fines materialmente diferentes o incompatibles con los propósitos divulgados al momento de la recopilación. Esto significa que las organizaciones no pueden simplemente reutilizar datos de clientes recopilados para la prestación de servicios en datasets de entrenamiento de IA sin proporcionar aviso adicional y obtener el consentimiento apropiado. Los requisitos de minimización de datos además exigen que la recopilación y el procesamiento se limiten a lo razonablemente necesario y proporcional a los propósitos divulgados. Las violaciones pueden resultar en multas de $2,500 por violación o $7,500 por violación intencional, que pueden acumularse rápidamente cuando se aplican a datasets grandes.

How Ertas Helps

La arquitectura on-prem de Ertas Data Suite proporciona una base sólida para el cumplimiento de la CCPA en el desarrollo de IA. Al mantener todo el procesamiento de información personal dentro de la infraestructura de tu organización, eliminas las complejidades de compartir datos con proveedores de servicios de IA de terceros. Los requisitos de divulgación de la CCPA sobre proveedores de servicios y terceros se simplifican cuando tu pipeline de entrenamiento de IA opera completamente en tu propio hardware sin transferencias de datos externas.

El motor de redacción de PII en Ertas Data Suite ayuda a las organizaciones a cumplir con los requisitos de minimización de datos de la CCPA al identificar y eliminar identificadores personales de los datasets de entrenamiento. Cuando los consumidores ejercen su derecho a eliminar, el seguimiento de linaje de datos te permite identificar exactamente qué datasets contienen la información de un individuo específico, facilitando la eliminación dirigida de datos. El registro de auditoría integral crea un registro defendible de tus prácticas de procesamiento de datos, lo cual es esencial al responder solicitudes de consumidores o demostrar cumplimiento ante la Agencia de Protección de la Privacidad de California.

Vault de Ertas Studio asegura que cualquier información personal retenida para el entrenamiento de IA esté protegida con cifrado y controles de acceso. Las capacidades de linaje de datos del sistema ayudan a las organizaciones a mantener los registros detallados de recopilación, uso e intercambio de datos que la CCPA requiere. Al proporcionar una imagen completa y auditable de cómo fluye la información personal a través de tu pipeline de desarrollo de IA, Ertas permite a las organizaciones responder con precisión a las solicitudes de los consumidores sobre el procesamiento de datos y demostrar cumplimiento con los requisitos de transparencia y rendición de cuentas de la CCPA.

Compliance Checklist