Contratos SaaS · Memorando

Adendas de Procesamiento de Datos bajo CCPA/CPRA para SaaS Transfronterizo

Quiero repasar la estructura de la DPA que ahora considero el estándar mínimo para cualquier acuerdo SaaS transfronterizo que toque a residentes de California, y ser transparente sobre las partes del reglamento que todavía están en movimiento.

La CCPA, tal como fue enmendada por la CPRA, acercó el marco de procesamiento de datos de California más al espíritu del GDPR de lo que el asesor suele reconocer. La California Privacy Protection Agency (CPPA) ha utilizado su autoridad de elaboración de reglas y una creciente pila de avisos de aplicación para empujar el marco aún más hacia el formalismo controlador-procesador. Para los acuerdos SaaS transfronterizos, el efecto práctico es que la DPA que se firma con un proveedor estadounidense para clientes europeos, la DPA que se firma con el mismo proveedor para clientes de California, y la DPA que se firma con un afiliado de Singapur o Tokio para la misma carga de trabajo están convergiendo en el mismo esqueleto estructural. El trabajo de redacción no consiste en elegir qué marco controla. Consiste en superponerlos.

Qué requiere realmente CCPA/CPRA en un contrato de proveedor de servicios

Cal. Civ. Code section 1798.140(ag) define un proveedor de servicios y la section 1798.140(ah) define un contratista. El estatus importa porque la asignación de responsabilidad, las restricciones de uso posterior y el derecho de auditoría se derivan de él. Los requisitos contractuales están detallados en la section 1798.140(ag)(1)(A) a (E) y los reglamentos de la CPPA en Cal. Code Regs. tit. 11 sections 7050 y 7051. Redactado mínimamente, el contrato debe (a) especificar que la información personal se divulga solo para propósitos limitados y especificados; (b) exigir al proveedor de servicios que cumpla con las obligaciones aplicables bajo la CCPA y que ayude a la empresa a cumplir sus obligaciones bajo la CCPA; (c) otorgar a la empresa el derecho de tomar medidas razonables y apropiadas para garantizar que el proveedor de servicios use la información personal de manera consistente con las obligaciones de la empresa; (d) exigir al proveedor de servicios que notifique a la empresa si determina que ya no puede cumplir con sus obligaciones; y (e) otorgar a la empresa el derecho, previo aviso, de tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado.

Los reglamentos de la CPPA de 2024 añadieron detalle sobre lo que cuentan como 'medidas razonables y apropiadas' y dejaron claro que un informe SOC 2 genérico no es, por sí solo, un sustituto suficiente del derecho de auditoría. La frase que el asesor a veces emplea en las negociaciones, la afirmación de que el SOC 2 del proveedor satisface el derecho de auditoría, no es lo que dicen los reguladores. Esperaría que cada DPA incluya un derecho anual de auditoría a cargo de la empresa con aviso razonable o un mecanismo sustituto (una evaluación actual de terceros con alcance suficiente para cubrir las actividades de procesamiento) que la empresa tiene derecho contractual a recibir.

La superposición del GDPR

La mayoría de los proveedores SaaS de EE.UU. con los que trabajo utilizan una única DPA construida sobre las Cláusulas Contractuales Estándar de la UE (las SCCs de 2021) y añaden una adenda de la CCPA. La ventaja estructural es que los requisitos del Artículo 28 del GDPR son más estrictos en la mayoría de los puntos que los de la CCPA section 1798.140. Si el proveedor ha construido la infraestructura del GDPR, el complemento de la CCPA es principalmente una limpieza definitoria. Tres puntos todavía necesitan redacción expresa para California.

Primero, las definiciones de venta e intercambio. La CPRA distingue entre la venta de información personal y el intercambio de la misma para publicidad conductual entre contextos. La DPA necesita una representación expresa de no venta y no intercambio por parte del proveedor de servicios con respecto a la información personal divulgada bajo el acuerdo, y esa representación debe seguir las definiciones estatutarias en lugar de reestablecerlas en lenguaje conversacional. Segundo, la información personal sensible. La section 1798.140(ae) define una categoría que incluye algunos datos que la práctica de la UE trata como datos de categoría especial del Artículo 9 y algunos que no. La DPA necesita una señal para qué campos del conjunto de datos cuentan como información personal sensible según la definición de California, incluso cuando el análisis del GDPR dice lo contrario. Tercero, las obligaciones de eliminación y corrección. El derecho de corrección de la CCPA (añadido por la CPRA) impone una obligación de proveedor de servicios que el derecho de rectificación del GDPR no contempla de manera limpia. La DPA necesita una sección que fluya específicamente a la obligación de la section 1798.106.

Mecánicas de transferencia transfronteriza

Si el proveedor procesa datos fuera de EE.UU., dos cosas importan. Para los sujetos de datos europeos enrutados a través del acuerdo de EE.UU., el EU-US Data Privacy Framework proporciona una base de transferencia si ambas partes están auto-certificadas y el clúster relevante del marco se aplica a la carga de trabajo. Si el proveedor no está certificado, recurrir a las SCCs de 2021 con el UK Addendum si los datos del Reino Unido están dentro del alcance. Para las jurisdicciones asiáticas (Singapur, Japón, Corea, India), el análisis es más a medida. La PDPA de Singapur y la APPI de Japón tienen reglas de transferencia de datos que se asemejan superficialmente a las del GDPR pero se leen de manera muy diferente en cuanto a la aplicación. No asumiría que las SCCs hacen el trabajo.

El papel de la CCPA aquí es principalmente sobre el flujo posterior. Si los datos de un residente de California se envían de la empresa al proveedor de EE.UU., y luego del proveedor de EE.UU. a un subprocesador en Singapur, el contrato del subprocesador debe contener las mismas protecciones que la DPA principal. Los reglamentos de la CPPA en la section 7051 son explícitos sobre el requisito de flujo descendente. El movimiento de redacción que hago: incluir un calendario de subprocesadores con entidades nombradas, país de procesamiento, propósito y un requisito de aviso de treinta días para los cambios. Algunos proveedores se resistirán a nombrar a cada subprocesador. El compromiso razonable es nombrar a todos los subprocesadores importantes y otorgar a la empresa el derecho de objetar a un nuevo subprocesador (con las opciones de la empresa en caso de objeción definidas de manera estrecha para evitar convertirlo en un derecho de terminación unilateral).

Lo que ha señalado la aplicación de la CPPA

Señalaré la incertidumbre aquí. La CPPA ha sido activa desde 2024, pero su expediente de aplicación todavía es pequeño. La primera ronda de acciones administrativas se ha centrado en (a) los fallos de avisos orientados al consumidor, (b) los fallos en el respeto de las señales de exclusión (específicamente el Control Global de Privacidad) y (c) los contratos de proveedor de servicios que carecen del lenguaje de la section 1798.140(ag)(1). El acuerdo de Sephora bajo la autoridad previa del AG (2022) es el precedente más citado y precede a la elaboración de reglas de la CPPA. La curva de aplicación a partir de 2025 establecerá el tono, y el asesor debe seguir los avisos de la CPPA en lugar de basarse en lo que funcionó en 2023.

La implicación de redacción: asumir que la CPPA lee el contrato literalmente. Si los elementos de la section 1798.140(ag)(1) están presentes pero son genéricos, esperar que en una auditoría el regulador pida evidencia de los controles operacionales detrás de cada obligación. Los proveedores de servicios que tienen una DPA pero no tienen un manual de notificación de violaciones documentado, ninguna lista de subprocesadores documentada y ninguna respuesta de auditoría documentada no tendrán un buen día. Incluyo en cada DPA una breve adenda de cumplimiento que requiere al proveedor de servicios mantener esos artefactos y hacerlos disponibles cuando se soliciten. Es administrativo, pero también es la diferencia entre una auditoría limpia y una controvertida.

La línea que trazo en las garantías

Una trampa del lado del proveedor. Los proveedores a menudo añaden una representación de que cumplen con todas las leyes de privacidad aplicables. Los clientes no deben aceptar eso como sustituto de los flujos descendentes específicos de la CCPA. Una garantía de cumplimiento general es difícil de hacer cumplir, fácil de rechazar y está sujeta a los límites de responsabilidad del acuerdo. Las obligaciones específicas de la CCPA, el GDPR y otros regímenes deben estar en la propia DPA con su propio disparador de notificación de violaciones y su propia exención del límite si la exposición regulatoria del cliente lo justifica. Para la mayoría de los acuerdos empresariales, presiono al cliente para negociar un super-límite de privacidad de al menos tres a cinco veces los honorarios anuales con un límite sin tope por conducta dolosa.

Nada de esto es exótico. Lo que es exótico, y lo que sigo viendo, son contratos que fueron redactados en 2020 con una adenda de la CCPA de un párrafo que no se ha actualizado para la CPRA, los reglamentos de 2024, ni las reglas de transferencia transfronteriza. Si el asesor hereda una cartera de DPAs que preceden al reglamento actual, la limpieza vale el esfuerzo. La exposición de un contrato que cita la ley equivocada y el estándar de auditoría equivocado no es teórica.

Sergei Tokmakov, Esq., CA Bar #279869. Este memorando es comentario de un abogado sobre cuestiones jurídicas y no constituye asesoramiento legal. Su lectura no crea una relación abogado-cliente. Los resultados de asuntos anteriores dependen de los hechos y de la parte demandada; nada aquí es una predicción de resultado.