Kentucky
Leyes de Privacidad de Datos de Kentucky: Guía de Derechos del Consumidor (2026)

La Ley de Protección de Datos del Consumidor de Kentucky, codificada en KRS 367.3611 a 367.3629, entró en vigor el 1 de enero de 2026, otorgando a los residentes de Kentucky el derecho a acceder, corregir, eliminar y optar por no participar en el procesamiento de sus datos personales. Las empresas que califiquen deben cumplir con la ley, y el Fiscal General de Kentucky la hace cumplir con sanciones civiles de hasta $7,500 por infracción.
Kentucky promulgó una de las leyes de privacidad de datos más importantes del país cuando el Gobernador Andy Beshear firmó la Ley de Protección de Datos del Consumidor de Kentucky el 4 de abril de 2024. La KCDPA, codificada en KRS 367.3611 a 367.3629, convirtió a Kentucky en el decimoquinto estado en adoptar un estatuto integral de privacidad de datos del consumidor. Entró en vigor el 1 de enero de 2026.
Esta guía cubre todo el alcance del marco de privacidad de datos de Kentucky, incluida la KCDPA, la ley estatal de notificación de violación de datos, la primera acción de cumplimiento bajo la nueva ley, los estatutos federales superpuestos y los pasos prácticos para consumidores y empresas.
Ley de Protección de Datos del Consumidor de Kentucky (KCDPA)
La Ley de Protección de Datos del Consumidor de Kentucky está codificada en KRS 367.3611 a 367.3629. Regula la forma en que las empresas recopilan, usan, procesan y almacenan los datos personales pertenecientes a los consumidores de Kentucky.

La KCDPA se asemeja estrechamente a la Ley de Protección de Datos del Consumidor de Virginia y a la Ley de Privacidad de Datos de Connecticut. Establece un marco de exclusión voluntaria (opt-out) para el procesamiento general de datos personales, mientras exige el consentimiento expreso (opt-in) para las categorías de datos sensibles.
A Quién Se Aplica la KCDPA
La KCDPA se aplica a cualquier persona o entidad que realice actividades comerciales en el Estado Libre Asociado de Kentucky o que produzca productos o servicios dirigidos a residentes de Kentucky, y que durante un año calendario cumpla con alguno de los siguientes umbrales:
Primer umbral. Controla o procesa los datos personales de al menos 100,000 consumidores de Kentucky.
Segundo umbral. Controla o procesa los datos personales de al menos 25,000 consumidores de Kentucky mientras obtiene más del 50% de sus ingresos brutos de la venta de datos personales.
A diferencia de algunas leyes estatales de privacidad, la KCDPA no incluye un umbral de ingresos independiente. Una empresa de cualquier tamaño puede quedar sujeta a la ley si cumple con uno de los dos umbrales de procesamiento mencionados anteriormente.
La ley define a un "consumidor" como una persona física que es residente de Kentucky y que actúa en un contexto individual. Las personas que actúan en un contexto comercial o de empleo no se consideran consumidores conforme a la KCDPA.
Entidades Exentas
La KCDPA exime por completo a varias categorías de organizaciones de sus requisitos:
- Las agencias estatales, los gobiernos municipales y las subdivisiones políticas del Estado
- Las instituciones financieras y sus afiliadas sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Las entidades cubiertas y los asociados comerciales regidos por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
- Las organizaciones sin fines de lucro
- Las instituciones de educación superior
- Las organizaciones que asisten a las fuerzas del orden en investigaciones de fraude de seguros
- Las organizaciones que asisten a los socorristas durante eventos catastróficos
- Ciertas empresas telefónicas pequeñas y proveedores de CMRS de Nivel III
- Las empresas de servicios públicos municipales que no venden ni comparten datos de consumidores con procesadores externos
Exenciones a Nivel de Datos
Más allá de las exenciones a nivel de entidad, la KCDPA también exime a categorías específicas de datos de su alcance, independientemente de quién posea los datos:
- Información disponible públicamente y datos desidentificados
- Datos procesados conforme a la Ley de Informes Crediticios Justos (FCRA)
- Datos regulados conforme a la GLBA o HIPAA
- Datos protegidos conforme a la Ley de Protección de la Privacidad del Conductor (DPPA)
- Registros educativos cubiertos por la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Datos de empleo y de contratistas independientes
- Información de contacto de emergencia
- Datos de la Ley de Crédito Agrícola
- Datos de actividades de mejora de la calidad de la atención médica y seguridad del paciente
Derechos del Consumidor Bajo la KCDPA
La KCDPA otorga a los residentes de Kentucky cinco derechos fundamentales sobre sus datos personales. Estos derechos se detallan en KRS 367.3615.
Derecho a confirmar y acceder. Puede solicitar que una empresa confirme si procesa sus datos personales y obtener acceso a esos datos, siempre que la divulgación no revele secretos comerciales.
Derecho a corregir. Puede solicitar que una empresa corrija los datos personales inexactos que posee sobre usted.
Derecho a eliminar. Puede solicitar la eliminación de los datos personales que proporcionó o que la empresa obtuvo sobre usted.
Derecho a la portabilidad de datos. Puede solicitar una copia de sus datos personales en un formato portable y fácilmente utilizable, también sujeto a las protecciones de secretos comerciales.
Derecho a optar por no participar. Puede optar por no participar en el procesamiento de sus datos personales para tres propósitos específicos: la publicidad dirigida, la venta de datos personales y la elaboración de perfiles que produzca efectos legales o de importancia similar.
Cómo Ejercer Sus Derechos
Los controladores deben responder a las solicitudes de derechos del consumidor sin demora indebida y a más tardar 45 días después de recibir la solicitud. Este plazo se puede extender 45 días adicionales cuando sea razonablemente necesario, siempre que el controlador notifique al consumidor de la extensión y explique el motivo.
Si un controlador niega una solicitud, debe proporcionar un proceso de apelación. Los consumidores que no estén satisfechos con el resultado de una apelación pueden presentar una queja ante la Oficina de Privacidad de Datos del Fiscal General de Kentucky.
Sin Agente Autorizado ni Exclusión Universal
Una limitación notable de la KCDPA es que no exige que los controladores reconozcan mecanismos de exclusión universal como el Control Global de Privacidad (GPC). Los consumidores deben enviar solicitudes de exclusión individuales directamente a cada empresa.
La KCDPA tampoco ofrece un mecanismo para que agentes autorizados presenten solicitudes en nombre de los consumidores. Esto contrasta con las leyes de California, Colorado, Connecticut y otros varios estados que exigen el reconocimiento de estas herramientas.
Definiciones de Datos Personales y Datos Sensibles
La KCDPA define los "datos personales" como cualquier información vinculada o razonablemente vinculable a una persona física identificada o identificable. Los datos desidentificados y la información disponible públicamente quedan excluidos de esta definición.

Categorías de Datos Sensibles
Los "datos sensibles" reciben protecciones reforzadas bajo la KCDPA e incluyen:
- Datos personales que revelen el origen racial o étnico
- Creencias religiosas
- Diagnóstico de salud mental o física
- Orientación sexual
- Estatus de ciudadanía o inmigración
- Datos genéticos procesados con el propósito de identificar de manera única a una persona física
- Datos biométricos utilizados para identificar a una persona específica
- Datos personales recopilados de un menor conocido
- Datos de geolocalización precisa
Los controladores deben obtener el consentimiento expreso (opt-in) del consumidor antes de procesar cualquier categoría de datos sensibles. Ese consentimiento debe ser otorgado libremente, específico, informado e inequívoco.
Protecciones de Datos de Menores
La KCDPA trata los datos personales recopilados de un menor conocido como datos sensibles, lo que exige el consentimiento expreso (opt-in). Se considera que los controladores que cumplen con los requisitos de consentimiento parental verificable de la ley federal Children's Online Privacy Protection Act (COPPA) cumplen con los requisitos de la KCDPA para los datos de menores.
El Fiscal General de Kentucky demostró un compromiso inmediato para hacer cumplir las protecciones de datos de menores. El 8 de enero de 2026, apenas ocho días después de que la KCDPA entrara en vigor, el Fiscal General Russell Coleman presentó una demanda en el Tribunal de Circuito de Franklin contra Character Technologies, la operadora de la plataforma de chatbot Character.AI. La demanda alegaba que la empresa no obtuvo el consentimiento parental antes de recopilar y procesar los datos sensibles de menores, expuso a los menores a contenido dañino y reutilizó revelaciones emocionales privadas y declaraciones de salud para entrenar modelos de IA sin consentimiento. El Fiscal General solicitó $2,000 por cargo en compensación civil, más medidas cautelares.
Cabe destacar que el Fiscal General presentó la demanda sin emitir primero el aviso de subsanación de 30 días que la KCDPA normalmente exige. La demanda persiguió reclamos tanto bajo la KCDPA como bajo la Ley de Protección al Consumidor de Kentucky, un estatuto de protección al consumidor que no conlleva un requisito legal de período de subsanación. Este enfoque de cumplimiento indica que la oficina del Fiscal General perseguirá agresivamente las infracciones relacionadas con datos de menores, combinando potencialmente los reclamos de la KCDPA con otros estatutos para eludir el período de subsanación cuando se trate de datos sensibles.
Venta de Datos Personales
La KCDPA define la "venta" de datos personales de forma restringida, cubriendo únicamente los intercambios de datos personales por una contraprestación monetaria. Esta es una definición favorable para las empresas que refleja el enfoque utilizado en Virginia y Utah, y excluye los intercambios de datos realizados por otros tipos de contraprestación valiosa, como servicios mejorados o análisis.
Obligaciones de los Controladores y Procesadores
Deberes del Controlador
Las empresas que califican como controladores de datos bajo la KCDPA deben cumplir con varias obligaciones fundamentales descritas en KRS 367.3617:
Minimización de datos. Los controladores deben limitar la recopilación de datos a lo que sea adecuado, relevante y razonablemente necesario para el propósito de procesamiento divulgado.
Limitación de propósito. Los controladores no deben procesar datos personales para propósitos que no sean razonablemente necesarios o compatibles con los propósitos divulgados a los consumidores.
Prácticas de seguridad. Los controladores deben establecer, implementar y mantener prácticas razonables de seguridad de datos administrativas, técnicas y físicas para proteger la confidencialidad, integridad y accesibilidad de los datos personales.
No discriminación. Los controladores no deben discriminar a los consumidores que ejercen sus derechos de privacidad de datos, aunque se permiten diferencias razonables relacionadas con programas de lealtad, recompensas o membresías premium.
Aviso de privacidad. Los controladores deben proporcionar un aviso de privacidad claro y accesible que divulgue las categorías de datos personales procesados, los propósitos del procesamiento, cómo los consumidores pueden ejercer sus derechos, las categorías de datos compartidos con terceros y las categorías de esos terceros.
Divulgación de ventas y publicidad dirigida. Si un controlador vende datos personales o los procesa para publicidad dirigida, debe divulgar esa práctica de manera clara y visible.
Deberes del Procesador
Los procesadores de datos que actúan en nombre de los controladores deben celebrar contratos vinculantes que incluyan las disposiciones descritas en KRS 367.3619. Estos contratos deben exigir que el procesador:
- Siga las instrucciones del controlador respecto al procesamiento de datos
- Mantenga las obligaciones de confidencialidad
- Implemente medidas de seguridad técnicas y organizativas apropiadas
- Asista al controlador en la respuesta a las solicitudes de derechos del consumidor
- Coopere con las evaluaciones de protección de datos
- Elimine o devuelva los datos personales al finalizar la relación contractual
- Permita que el controlador realice auditorías de cumplimiento o designe a un evaluador calificado
Evaluaciones de Protección de Datos
La KCDPA exige que los controladores realicen y documenten evaluaciones de protección de datos para las actividades de procesamiento que presenten un riesgo elevado para los consumidores. Estos requisitos de evaluación se aplican a las actividades de procesamiento creadas o generadas a partir del 1 de junio de 2026.
Nota de cumplimiento: El 1 de junio de 2026 está a menos de dos semanas. Los controladores que aún no hayan establecido procedimientos de evaluación para la publicidad dirigida, la venta de datos, el procesamiento de datos sensibles y las actividades de perfilado de alto riesgo deben tratar esto como un plazo urgente.
Se requieren evaluaciones para las siguientes actividades:
- Procesamiento de datos personales para publicidad dirigida
- Venta de datos personales
- Elaboración de perfiles que presente un riesgo previsible de trato injusto o engañoso, impacto dispar, daño financiero, físico o reputacional, o intrusión en la soledad o el aislamiento
- Procesamiento de datos sensibles
- Cualquier actividad de procesamiento que presente un riesgo elevado de daño para los consumidores
Cada evaluación debe identificar y sopesar los beneficios de la actividad de procesamiento para el controlador, el consumidor, otras partes interesadas y el público, frente a los riesgos potenciales para los derechos del consumidor. El Fiscal General puede solicitar estas evaluaciones durante las investigaciones.
Los controladores pueden utilizar las evaluaciones de protección de datos realizadas conforme a otras leyes razonablemente comparables, incluido el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, para satisfacer el requisito de la KCDPA.
Cumplimiento y Sanciones

Autoridad del Fiscal General
El Fiscal General de Kentucky tiene autoridad de cumplimiento exclusiva sobre la KCDPA. La ley no crea un derecho de acción privado, lo que significa que los consumidores individuales no pueden demandar directamente a las empresas por infracciones de la KCDPA.
La Oficina de Privacidad de Datos del Fiscal General se creó específicamente para hacer cumplir la KCDPA. Esta oficina tiene la autoridad de solicitar medidas cautelares, sanciones civiles y honorarios de abogados y costos de investigación razonables.
Período de Subsanación de 30 Días
Antes de presentar una acción formal de cumplimiento, el Fiscal General normalmente debe proporcionar a la empresa un aviso por escrito que identifique la presunta infracción específica y otorgar 30 días para subsanar la infracción. Si la empresa subsana la infracción dentro de los 30 días y proporciona una declaración por escrito con documentación de respaldo de que la infracción ha sido remediada y no volverá a ocurrir, el Fiscal General no puede iniciar una acción de cumplimiento por esa infracción específica.
Este período de subsanación de 30 días es permanente. A diferencia de los períodos de subsanación de New Hampshire, Nueva Jersey y otras varias leyes estatales de privacidad, la disposición de subsanación de la KCDPA no incluye una fecha de vencimiento. Las empresas siempre tendrán la oportunidad de subsanar las infracciones antes de enfrentar sanciones, siempre que el Fiscal General emita un aviso de subsanación.
Sin embargo, la primera acción de cumplimiento de la KCDPA, presentada el 8 de enero de 2026 contra Character Technologies, demostró que el Fiscal General puede eludir el período de subsanación combinando los reclamos de la KCDPA con otros estatutos, como la Ley de Protección al Consumidor de Kentucky, que no conllevan un requisito de aviso de subsanación. Hunton and Williams señaló que este enfoque de doble estatuto es un avance significativo para las empresas que evalúan su exposición al riesgo bajo la KCDPA.
Sanciones Civiles
Si una empresa no subsana una infracción dentro del plazo de 30 días, o si incumple su compromiso de cumplimiento por escrito, el Fiscal General puede solicitar sanciones civiles de hasta $7,500 por infracción. El Fiscal General también puede solicitar medidas cautelares y recuperar los honorarios de abogados y los costos de investigación.
Fondo de Privacidad del Consumidor
La KCDPA estableció un Fondo de Privacidad del Consumidor (KRS 367.3629) para recibir las sanciones recaudadas a través de las acciones de cumplimiento. Estos fondos respaldan los esfuerzos continuos de aplicación de la privacidad.
Primera Acción de Cumplimiento: Character.AI (Enero de 2026)
El 8 de enero de 2026, el Fiscal General Russell Coleman anunció una demanda contra Character Technologies en el Tribunal de Circuito de Franklin. La demanda alegaba que la plataforma de la empresa se aprovechaba de los menores al no implementar protecciones significativas para ellos, incluido el procesamiento no autorizado de datos sensibles de menores sin consentimiento parental, la falta de verificación de edad, la exposición de menores a contenido dañino generado por IA, y el uso de revelaciones emocionales privadas y declaraciones de salud para entrenar modelos de IA. El Fiscal General solicitó $2,000 por cargo en compensación civil, más medidas cautelares. El caso sigue en curso a partir de mayo de 2026.
Tabla Resumen de Sanciones
| Ley | Estatuto | Sanción Por Infracción | Período de Subsanación | Aplicada Por |
|---|---|---|---|---|
| KCDPA | KRS 367.3611-367.3629 | Hasta $7,500 | 30 días (permanente) | Fiscal General |
| Notificación de Violación de Datos | KRS 365.732 | Daños conforme a KRS 446.070 | Ninguno | Acción privada mediante KRS 446.070 |
Ley de Notificación de Violación de Datos de Kentucky (KRS 365.732)
La ley de notificación de violación de datos de Kentucky, KRS 365.732, ha estado vigente desde 2014 y opera de forma independiente de la KCDPA. Se aplica a cualquier persona o entidad comercial que realice actividades comerciales en Kentucky y que posea, tenga licencia sobre, o mantenga información personal computarizada.

Qué Genera una Notificación
Surge una obligación de notificación cuando existe una adquisición no autorizada de datos computarizados no encriptados y no redactados que compromete la seguridad, confidencialidad o integridad de la información personal, y la violación realmente causa, o se cree razonablemente que ha causado o causará, robo de identidad o fraude contra un residente de Kentucky.
Información Personal Protegida
Conforme a KRS 365.732, la información personal se define como el nombre o la inicial del nombre y el apellido de una persona, combinados con uno o más de estos elementos de datos:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta, número de tarjeta de crédito o número de tarjeta de débito combinado con cualquier código de seguridad, código de acceso o contraseña requerida
La información debe estar no encriptada y no redactada para generar obligaciones de notificación. Si los datos comprometidos estaban encriptados o redactados, no se requiere notificación.
Plazo y Métodos de Notificación
Kentucky no establece un número específico de días para la notificación de violación. En cambio, la ley exige la notificación en el tiempo más expedito posible y sin demora injustificada, de forma coherente con las necesidades legítimas de las fuerzas del orden y las medidas necesarias para determinar el alcance de la violación.
La notificación se puede proporcionar mediante:
- Notificación escrita enviada a la persona afectada
- Notificación electrónica (conforme a la ley federal E-SIGN)
- Notificación telefónica
- Notificación sustitutiva (cuando se cumplen condiciones específicas)
Notificación Sustitutiva
Una empresa puede utilizar la notificación sustitutiva si el costo de la notificación directa superaría los $250,000, el número de personas afectadas supera las 500,000, o la empresa no cuenta con información de contacto suficiente. La notificación sustitutiva requiere los tres elementos siguientes:
- Notificación por correo electrónico a las personas afectadas para las cuales se dispone de direcciones de correo electrónico
- Publicación visible en el sitio web de la empresa
- Notificación a los principales medios de comunicación de alcance estatal
Reporte de Violaciones a Gran Escala
Cuando una violación afecta a más de 1,000 personas a la vez, la empresa también debe notificar a todas las agencias de información crediticia de alcance nacional sobre el momento, la distribución y el contenido de los avisos de violación.
Exenciones de la Notificación de Violación
La ley de notificación de violación no se aplica a las entidades ya sujetas a la Ley Gramm-Leach-Bliley o a HIPAA, ya que esas entidades siguen requisitos federales de notificación de violación independientes. Los organismos gubernamentales estatales y locales siguen disposiciones de notificación de violación independientes conforme a KRS 61.931 a 61.934.
Cumplimiento de la Notificación de Violación
KRS 365.732 no contiene una disposición de sanción específica ni un mecanismo de cumplimiento directo. Sin embargo, las personas perjudicadas pueden buscar daños conforme a KRS 446.070, el estatuto general de Kentucky que permite acciones privadas por infracciones a la ley estatal. La adquisición de buena fe de información personal por parte de un empleado o agente de la entidad comercial no se considera una violación, siempre que no haya una divulgación no autorizada adicional.
Leyes Federales de Privacidad Aplicables en Kentucky
Varios estatutos federales crean obligaciones de privacidad y seguridad de datos que se aplican junto con la KCDPA. Las empresas que operan en Kentucky deben tener en cuenta todas las capas aplicables.

Ley TAKE IT DOWN (Pub. L. 119-12, vigente desde el 19 de mayo de 2026). La FTC comenzó a hacer cumplir la Ley TAKE IT DOWN el 19 de mayo de 2026. La ley exige que las plataformas en línea cubiertas establezcan un proceso para que las víctimas soliciten la eliminación de imágenes íntimas no consentidas, incluidos los deepfakes generados por IA, y que eliminen ese contenido y las copias idénticas conocidas dentro de las 48 horas posteriores a una solicitud válida. Las sanciones civiles por infracciones de las plataformas pueden alcanzar los $53,088 por infracción. La prohibición penal de publicar dichas imágenes entró en vigor cuando la ley fue firmada el 19 de mayo de 2025.
HIPAA. La Ley de Portabilidad y Responsabilidad del Seguro Médico regula la forma en que las entidades cubiertas (planes de salud, proveedores y cámaras de compensación) y sus asociados comerciales recopilan, usan y divulgan información de salud protegida. Las entidades reguladas por HIPAA están completamente exentas del alcance de la KCDPA.
Ley Gramm-Leach-Bliley (GLBA). La GLBA exige que las instituciones financieras expliquen a los clientes sus prácticas de intercambio de información y protejan los datos sensibles. Las instituciones reguladas por la GLBA están exentas de la KCDPA.
FCRA y FACTA. La Ley de Informes Crediticios Justos regula a las agencias de informes de consumidores y el uso de la información de informes de consumidores. Los datos cubiertos por la FCRA están exentos de la KCDPA.
COPPA. La Children's Online Privacy Protection Act exige el consentimiento parental verificable antes de recopilar información personal de menores de 13 años. La KCDPA considera que el cumplimiento de COPPA satisface los requisitos de consentimiento de datos de menores de la KCDPA.
Sección 5 de la Ley de la FTC. La autoridad general de la FTC para prohibir las prácticas comerciales engañosas o injustas se aplica a cualquier entidad sujeta a la jurisdicción de la FTC, independientemente de si una ley estatal de privacidad la cubre.
Cómo Se Compara la KCDPA con Otras Leyes Estatales de Privacidad
La KCDPA es ampliamente considerada como una de las leyes estatales integrales de privacidad más favorables para las empresas promulgadas hasta 2026. Varias disposiciones la distinguen de marcos más estrictos.
Kentucky entró en vigor el 1 de enero de 2026, junto con otras dos leyes estatales de privacidad: la Ley de Protección de Datos del Consumidor de Indiana (INCDPA) y la Ley de Transparencia y Protección de Privacidad de Datos de Rhode Island (RIDTPPA). Los profesionales de la privacidad se refieren a este grupo como la "trinidad de 2026". Las tres comparten marcos similares de derechos del consumidor, pero Kentucky es la más favorable para las empresas de las tres debido a su período de subsanación permanente y su definición restringida de "venta", que cubre únicamente los intercambios monetarios.
| Característica | Kentucky KCDPA | Indiana INCDPA | Rhode Island RIDTPPA |
|---|---|---|---|
| Fecha de vigencia | 1 de enero de 2026 | 1 de enero de 2026 | 1 de enero de 2026 |
| Umbral de consumidores | 100,000 / 25,000 + 50% | 100,000 / 25,000 + 50% | 35,000 / 10,000 + 20% |
| Exclusión universal (GPC) | No requerida | No requerida | Requerida |
| Derecho de acción privado | No | No | No |
| Período de subsanación | 30 días (permanente) | 30 días (permanente) | 30 días (vence en enero de 2028) |
| Sanción máxima por infracción | $7,500 | $7,500 | $10,000 |
| Aplicada por | Fiscal General | Fiscal General | Fiscal General |
Sin requisito de exclusión universal. A diferencia de California, Colorado, Connecticut, Montana, Delaware y otros varios estados, Kentucky no exige que las empresas respeten el Control Global de Privacidad ni señales de exclusión universal similares.
Período de subsanación permanente. El período de subsanación de 30 días nunca vence. En New Hampshire, Nueva Jersey y Rhode Island, el derecho a subsanar vence después de un período inicial. Kentucky brinda a las empresas una oportunidad permanente de corregir infracciones antes de enfrentar sanciones, sujeto a la discreción del Fiscal General en su estrategia de cumplimiento.
Definición restringida de venta. La KCDPA solo cubre los intercambios de datos realizados por una contraprestación monetaria. Estados como California y Colorado definen la "venta" de forma más amplia para incluir intercambios por otras contraprestaciones valiosas.
Sin disposiciones de agente autorizado. Los consumidores no pueden designar a un tercero para presentar solicitudes de derechos de datos en su nombre.
Exenciones amplias de entidades. La KCDPA exime a las organizaciones sin fines de lucro y a las instituciones de educación superior, que están cubiertas por algunas otras leyes estatales.
Pasos Prácticos de Cumplimiento para las Empresas
Las empresas que se encuentran dentro de los umbrales de la KCDPA y que no están totalmente exentas deben abordar lo siguiente antes del 1 de junio de 2026:
1. Confirmar el alcance. Determine si cumple con el umbral de 100,000 consumidores o el de 25,000 consumidores más el 50% de ingresos. Documente su determinación.
2. Actualizar su aviso de privacidad. Su aviso de privacidad público debe divulgar las categorías de datos personales que procesa, los propósitos, cómo los consumidores ejercen sus cinco derechos bajo la KCDPA, y qué terceros reciben sus datos.
3. Construir un proceso de solicitud de derechos. Necesita un mecanismo para que los consumidores presenten y realicen seguimiento de las solicitudes de acceso, corrección, eliminación y portabilidad de sus datos, y para optar por no participar en la venta de datos, la publicidad dirigida y el perfilado. Debe responder dentro de 45 días.
4. Auditar su procesamiento de datos sensibles. Si procesa alguna categoría de datos sensibles (diagnósticos de salud, datos biométricos, datos de menores, geolocalización precisa y otros mencionados anteriormente), verifique que cuenta con el consentimiento expreso (opt-in) antes del 1 de junio de 2026.
5. Completar las evaluaciones de protección de datos antes del 1 de junio de 2026. Para todas las actividades de procesamiento en categorías cubiertas por KRS 367.3621 que se inicien a partir del 1 de junio de 2026, debe documentar una evaluación formal que sopese los beneficios frente a los riesgos para los consumidores. Las actividades iniciadas previamente quedan exentas por derechos adquiridos.
6. Revisar los contratos con procesadores. Todo acuerdo de procesamiento de datos con un proveedor debe incluir las disposiciones exigidas por KRS 367.3619, incluido el derecho de auditoría, las instrucciones sobre la devolución o eliminación de datos y las obligaciones de confidencialidad.
7. Evaluar las obligaciones de la Ley TAKE IT DOWN. Si opera una plataforma en línea que aloja contenido generado por usuarios, revise si los requisitos del proceso de solicitud de eliminación de la Ley TAKE IT DOWN se aplican a su plataforma a partir del 19 de mayo de 2026.
Presentar una Queja de Privacidad de Datos en Kentucky
Si cree que una empresa ha violado sus derechos bajo la KCDPA, puede comunicarse con la Oficina de Privacidad de Datos del Fiscal General de Kentucky. Esta oficina fue establecida específicamente para gestionar el cumplimiento de la KCDPA y las quejas de los consumidores.
También puede presentar una queja general de protección al consumidor a través de la División de Protección al Consumidor del Fiscal General.
Más Leyes de Kentucky
¿Busca información sobre otras leyes de Kentucky? Visite nuestro centro de Leyes de Privacidad de Datos por Estado para comparar Kentucky con otros estados. También puede explorar temas relacionados:
- Leyes de Grabación de Reuniones con IA de Kentucky
- Leyes de Pensión Alimenticia Conyugal de Kentucky
- Leyes de Empleo a Voluntad de Kentucky
- Leyes de Accidentes de Auto de Kentucky
- Leyes de Asientos de Auto para Niños de Kentucky
- Leyes de Custodia de Menores de Kentucky
- Leyes de Manutención Infantil de Kentucky
- Leyes de Matrimonio de Hecho de Kentucky
- Leyes sobre Deepfakes de Kentucky
- Leyes de Divorcio de Kentucky
- Leyes sobre Mordeduras de Perro de Kentucky
- Leyes de Emancipación de Kentucky
- Leyes de Eliminación de Antecedentes Penales de Kentucky
- Leyes de Choque y Fuga de Kentucky
- Leyes de Propietarios e Inquilinos de Kentucky
- Leyes del Limón de Kentucky
Guías detalladas
Fuentes y referencias
- Estatutos Revisados de Kentucky Capítulo 367 - Protección de Datos del Consumidor (KCDPA)(apps.legislature.ky.gov).gov
- KRS 367.3611 - Definiciones de la KCDPA(apps.legislature.ky.gov).gov
- KRS 367.3615 - Derechos del Consumidor Bajo la KCDPA(apps.legislature.ky.gov).gov
- KRS 367.3619 - Requisitos de Contrato del Procesador(apps.legislature.ky.gov).gov
- Capítulo 72 (HB 15) - Texto Promulgado de la KCDPA(apps.legislature.ky.gov).gov
- 24RS HB 15 - Registro del Proyecto de Ley(apps.legislature.ky.gov).gov
- Fiscal General de Kentucky - Oficina de Privacidad de Datos(ag.ky.gov).gov
- Fiscal General de Kentucky - Derechos del Consumidor bajo la KCDPA(ag.ky.gov).gov
- Fiscal General Coleman - Comunicado de Prensa sobre Cumplimiento de Character AI(kentucky.gov).gov
- KRS 365.732 - Notificación de Violación de Datos(apps.legislature.ky.gov).gov
- KRS 61.931-61.934 - Notificación de Violación de Entidades Gubernamentales(apps.legislature.ky.gov).gov
- FTC - Comienza la Aplicación de la Ley TAKE IT DOWN el 19 de Mayo de 2026(ftc.gov).gov
- FTC - Cumplimiento de la Ley Take It Down(ftc.gov).gov
- Comisión Federal de Comercio - Ley Gramm-Leach-Bliley(ftc.gov).gov
- Departamento de Salud y Servicios Humanos de EE. UU. - HIPAA(hhs.gov).gov
- Comisión Federal de Comercio - Regla COPPA(ftc.gov).gov
- Departamento de Educación de EE. UU. - FERPA(ed.gov).gov
- Hunton Andrews Kurth - Primera Acción de Cumplimiento del Fiscal General de Kentucky Bajo la KCDPA(hunton.com)
- Koley Jessen - Nuevas Leyes Estatales de Privacidad Vigentes a Partir del 1 de Enero de 2026(koleyjessen.com)
- Davis Wright Tremaine - Tabla de Notificación de Violación de Datos de Kentucky(dwt.com)