IA y Licencias de Datos · Memorando

CCPA/CPRA e Inferencia de IA: Cuándo los Resultados de IA se Convierten en Información Personal

El lenguaje de inferencia de la CCPA y la elaboración de reglas ADMT de la CPPA juntos crean una obligación real para los despliegues de IA que manejan datos de California. Aquí expongo dónde la regla realmente muerde y dónde todavía está en movimiento.

Cal. Civ. Code section 1798.140(v)(1)(K) define información personal para incluir inferencias extraídas de cualquiera de la información identificada en la sección para crear un perfil sobre un consumidor que refleje las preferencias, características, tendencias psicológicas, predisposiciones, comportamiento, actitudes, inteligencia, habilidades y aptitudes del consumidor. La redacción fue específica y el alcance es amplio. Cuando un modelo de IA toma información personal sobre un residente de California y produce un resultado que es en sí mismo un perfil, el resultado es, en la faz del estatuto, información personal. El estatus del resultado como información personal desencadena los derechos del consumidor a saber, a eliminar, a corregir y (en muchos casos) a optar por no participar en la venta o el intercambio.

Las consecuencias operativas aún no están ampliamente internalizadas en los despliegues de IA. Un modelo que infiere la probabilidad de que un cliente abandone el servicio, la puntuación de idoneidad para un puesto de un candidato, el riesgo crediticio de un prestatario, la adherencia al tratamiento de un paciente o la probabilidad de éxito académico de un estudiante, está produciendo un resultado que, cuando la entrada es información personal sobre un californiano, cae dentro del alcance de la CCPA. La CPPA ha señalado que esta es la interpretación de la agencia. El asesor de las empresas que despliegan IA que produce inferencias no debería asumir lo contrario.

La elaboración de reglas ADMT de la CPPA

Los reglamentos preliminares de la CPPA sobre Tecnología de Toma de Decisiones Automatizadas han pasado por múltiples borradores desde 2023. A la fecha de este memorando, los reglamentos no han sido finalizados. La agencia ha señalado los elementos estructurales. Los reglamentos impondrían obligaciones de aviso previo al uso en las empresas que utilizan ADMT para decisiones significativas (empleo, vivienda, seguros, educación, servicios financieros, atención médica, servicios esenciales), otorgarían un derecho de acceso a la información sobre el ADMT utilizado, un derecho a optar por no participar en el uso de ADMT en algunas categorías, e impondrían obligaciones de evaluación de riesgos a las empresas que utilizan ADMT.

Señalaré la incertidumbre aquí. La elaboración de reglas no ha terminado. El texto final probablemente diferirá en detalle de los borradores. El asesor debe seguir directamente los paquetes regulatorios publicados por la CPPA en lugar de depender de resúmenes (incluido este). La postura estructural, sin embargo, es poco probable que cambie. Las empresas que despliegan IA para tomar decisiones consecuentes sobre los californianos tendrán obligaciones de aviso, acceso y exclusión. Construir la infraestructura operacional ahora; los detalles de las reglas pueden adaptarse posteriormente.

Qué significa 'inferencia' en la práctica

El texto estatutario alcanza las inferencias extraídas de información personal para crear un perfil. Las preguntas de interpretación:

¿Tiene que estar específicamente etiquetada la inferencia como tal? No. La orientación publicada por la CPPA ha sido clara en que el análisis es funcional. Si el resultado es una evaluación de las preferencias, características o comportamiento del consumidor, el resultado es una inferencia independientemente de cómo la empresa lo etiquete internamente.
¿Tiene que ser la inferencia 'tipo perfil' en algún sentido especial? La ley usa el término 'perfil' pero la interpretación de la agencia es amplia. Una puntuación, una clasificación, una recomendación, una calificación de riesgo, una estimación de propensión, una coincidencia de contenido, una alerta de fraude y muchos otros resultados de IA pueden caer dentro de la definición.
¿Tiene que almacenarse la inferencia? La ley no requiere almacenamiento. La inferencia transitoria producida y utilizada en tiempo real puede seguir siendo información personal a efectos de las obligaciones de divulgación, incluso si no se retiene.
¿Tiene que ser precisa la inferencia? No. La ley se aplica independientemente de la precisión. Una inferencia inexacta sigue siendo información personal; también es la base del derecho del consumidor a corregir bajo la section 1798.106.

Las obligaciones resultantes

Si la inferencia es información personal, se adjuntan las obligaciones resultantes. La empresa debe:

Divulgar en el momento de la recopilación o antes que se están creando inferencias y los propósitos para los que se utilizarán. El aviso de privacidad debe ser lo suficientemente específico para que un consumidor pueda entender las categorías de inferencias involucradas.
Atender las solicitudes de los consumidores para saber qué inferencias existen sobre ellos, con verificación razonable.
Atender las solicitudes de los consumidores para eliminar inferencias, sujeto a las excepciones estatutarias para seguridad, detección de fraude y uso interno limitado.
Atender las solicitudes de los consumidores para corregir inferencias inexactas. Esta es la obligación operacionalmente más difícil porque las inferencias de IA suelen ser probabilísticas y lo que significa 'preciso' en ese contexto es controvertido.
Tratar la inferencia como información personal a efectos de los derechos de venta, intercambio y uso limitado. Si la empresa vende o comparte inferencias con terceros (plataformas publicitarias, corredores de datos), se aplica el derecho de exclusión del consumidor.

Consideraciones transjurisdiccionales

La regla de inferencia de la CCPA es uno de los muchos regímenes de protección de datos. El Artículo 22 del GDPR sobre la toma de decisiones automatizadas, las disposiciones de elaboración de perfiles del Colorado Privacy Act y las clasificaciones de riesgo de la EU AI Act alcanzan una conducta similar con diferentes enfoques. El asesor que despliega IA para inferencias sobre consumidores en múltiples jurisdicciones debe mapear las obligaciones contra cada régimen, no solo California. La buena noticia es que los elementos estructurales (aviso, acceso, corrección, exclusión) se superponen sustancialmente. La implementación difiere.

Para los proveedores de IA que sirven a empresas sujetas a múltiples regímenes, la obligación contractual es proporcionar información suficiente sobre el modelo y sus inferencias para que la empresa pueda cumplir con sus obligaciones de cumplimiento. El primer borrador del proveedor típicamente no incluye esto. El cliente debe presionar por acceso explícito a la documentación del modelo, las categorías de inferencias, las métricas de precisión y el soporte operacional para la gestión de solicitudes de consumidores.

El problema del derecho a corregir

La section 1798.106 otorga a los consumidores el derecho a corregir información personal inexacta que mantiene una empresa. Para las inferencias de IA, la aplicación es difícil. La inferencia no es 'inexacta' de manera determinada; es un resultado probabilístico de un modelo basado en entradas. Un consumidor que no está de acuerdo con una inferencia (el modelo cree que soy un cliente de alto riesgo de abandono, no estoy de acuerdo) tiene una queja real pero indefinida. La ley no aborda lo que significa 'corrección' en este contexto.

Los enfoques operacionales que he visto:

Permitir a los consumidores marcar inferencias como disputadas. La inferencia no se elimina, pero el desacuerdo del consumidor se registra y los usos posteriores se señalan. Esto es consistente con el modelo de la FCRA para disputas de informes crediticios.
Permitir a los consumidores enviar información adicional. El modelo puede volver a ejecutarse con la entrada adicional. Esto trata la corrección como una nueva inferencia en lugar de una eliminación.
Eliminar la inferencia y negarse a volver a ejecutarla. La inferencia se trata como información personal y se atiende el derecho de eliminación, pero la empresa retiene el derecho a no hacer una nueva inferencia si el consumidor ha objetado.

La CPPA no ha especificado qué enfoque satisface la section 1798.106. La estrategia de redacción: construir la infraestructura operacional para admitir múltiples enfoques y dejar que la elaboración de reglas y las directrices de aplicación de la agencia determinen cuál es adecuado.

Lo que no asumiría

El alcance de la CCPA a las inferencias de IA es estatutariamente claro. La elaboración de reglas ADMT de la CPPA está en proceso. El asesor no debe depender de la práctica anterior de la era pre-CPRA. La CCPA de 2018 era más leve en materia de inferencias. La CPRA de 2023 y la elaboración de reglas ADMT de 2024-2025 han cambiado el marco sustancialmente. Los despliegues construidos sobre la postura de cumplimiento de 2019 no están actualizados. El trabajo de auditoría para los despliegues de IA que manejan datos de California es significativo y debe estar en el calendario anual del asesor.

Lista de verificación operacional antes del visto bueno

Para el asesor que da el visto bueno a un despliegue de IA que produce inferencias para una empresa orientada a California, los artefactos operacionales mínimos que espero ver en 2026:

Un mapa de flujo de datos que muestre cada lugar donde la información personal entra en el modelo, cada categoría de inferencia que produce el modelo y cada sistema posterior que recibe las inferencias.
Un aviso de privacidad que divulgue, en lenguaje sencillo, que se están creando inferencias, las categorías de inferencias, los propósitos para los que se utilizarán y cualquier tercero con quien se compartan.
Un manual de solicitudes del consumidor con procedimientos documentados para manejar las solicitudes de acceso, eliminación y corrección tal como se aplican a las inferencias.
Una evaluación de riesgos, en la forma contemplada por los reglamentos ADMT preliminares de la CPPA, que documente la precisión del modelo, los patrones de error, el análisis de impacto dispar y las medidas de mitigación.
Un calendario de retención de inferencias, con un disparador de eliminación o desidentificación definido y una base documentada para cualquier retención más larga.
Un registro de gestión de proveedores que cubra a cualquier proveedor externo cuyo modelo produce las inferencias, incluyendo el DPA, las cláusulas de proveedor de servicios de CCPA y el soporte operacional para las solicitudes de los consumidores.

Los artefactos anteriores no aparecerán solo de la documentación. El mapa de flujo de datos en particular requiere trabajo de ingeniería que no debe externalizarse a un equipo de privacidad de forma aislada. El asesor debe estar en la sala cuando se construye el mapa; de lo contrario, la postura legal no coincidirá con la realidad operacional.

¿Auditoría de cumplimiento de despliegue de IA en su hoja de ruta?

Si está auditando un despliegue de IA que produce inferencias para evaluar la exposición bajo CCPA/CPRA o preparándose para el cumplimiento de las reglas ADMT de la CPPA, puedo realizar una revisión pagada de los flujos de datos, el texto del aviso y el manual de solicitudes del consumidor. Envíe un correo a owner@terms.law.

Sergei Tokmakov, Esq., CA Bar #279869. Este memorando es comentario de un abogado sobre cuestiones jurídicas y no constituye asesoramiento legal. Su lectura no crea una relación abogado-cliente. Los resultados de asuntos anteriores dependen de los hechos y de la parte demandada; nada aquí es una predicción de resultado.