Kentucky
Leyes de Privacidad Biométrica de Kentucky: Recopilación, Consentimiento y Sanciones (2026)

Kentucky no cuenta con un estatuto independiente de privacidad biométrica. La Ley de Protección de Datos del Consumidor de Kentucky, que entró en vigor el 1 de enero de 2026, clasifica los datos biométricos como datos sensibles y exige que las empresas obtengan el consentimiento expreso (opt-in) antes de procesarlos con fines de identificación. El Fiscal General de Kentucky tiene autoridad de cumplimiento exclusiva; los consumidores individuales no cuentan con un derecho de acción privado.
Kentucky no cuenta con un estatuto independiente de privacidad biométrica como la BIPA de Illinois o la CUBI de Texas. En cambio, las protecciones de datos biométricos en el estado provienen principalmente de la Ley de Protección de Datos del Consumidor de Kentucky (KCDPA), una ley integral de privacidad del consumidor que clasifica los identificadores biométricos como datos sensibles que requieren consentimiento afirmativo.
El Gobernador Andy Beshear firmó el Proyecto de Ley 15 de la Cámara el 4 de abril de 2024, convirtiendo a Kentucky en el decimosexto estado en promulgar una ley integral de privacidad de datos del consumidor. La KCDPA entró en vigor el 1 de enero de 2026.
Para obtener una visión general del marco de privacidad más amplio de Kentucky, consulte la guía principal de Leyes de Privacidad de Datos de Kentucky.
Cómo Define la KCDPA los Datos Biométricos
La KCDPA define los datos biométricos conforme a KRS 367.3611 como los datos generados por mediciones automáticas de las características biológicas de una persona que se utilizan para identificar a una persona específica. El estatuto enumera estos ejemplos:
- Huellas dactilares
- Impresiones de voz
- Retinas oculares
- Iris
- Otros patrones o características biológicas únicas
La ley traza un límite claro en torno a lo que no califica. Una fotografía física o digital, una grabación de video o audio, o los datos generados a partir de esas grabaciones, no son datos biométricos, a menos que dichos datos se generen específicamente para identificar a una persona específica.
Esta definición sigue el enfoque utilizado en la ley de privacidad de Connecticut y en otros varios estatutos estatales integrales de privacidad. Es más restringida que la definición utilizada en la BIPA de Illinois, que cubre un conjunto más amplio de identificadores biométricos sin las mismas exclusiones.
La KCDPA también excluye de la definición de datos biométricos la información recopilada, utilizada o almacenada para el tratamiento médico, el pago o las operaciones conforme a HIPAA.

Clasificación de Datos Sensibles y Consentimiento
Bajo la KCDPA, los datos biométricos procesados con el propósito de identificar de manera única a una persona califican como "datos sensibles". Esta es la categoría de protección más alta de la ley.
Otras categorías de datos sensibles conforme a KRS 367.3611 incluyen:
- Datos que revelen el origen racial o étnico
- Creencias religiosas
- Diagnósticos de salud mental o física
- Orientación sexual
- Estatus de ciudadanía o inmigración
- Datos genéticos procesados para identificación
- Datos de geolocalización precisa
- Datos personales recopilados de un menor conocido de menos de 13 años
Requisito de consentimiento. Los controladores deben obtener el consentimiento expreso (opt-in) del consumidor antes de procesar datos sensibles, incluidos los datos biométricos. Esto significa que una empresa no puede recopilar su huella dactilar, su impresión facial o un escaneo de iris con fines de identificación sin antes solicitar y recibir su consentimiento afirmativo.
Este consentimiento debe ser otorgado libremente, específico, informado e inequívoco. Una cláusula oculta en un acuerdo de términos de servicio no cumple con este estándar.
Quién Debe Cumplir
La KCDPA se aplica a las entidades que realizan actividades comerciales en Kentucky o que producen productos o servicios dirigidos a residentes de Kentucky y que cumplen con alguno de estos umbrales:
- Procesan los datos personales de 100,000 o más consumidores de Kentucky durante un año calendario, o
- Procesan los datos personales de 25,000 o más consumidores de Kentucky y obtienen más del 50% de sus ingresos brutos de la venta de datos personales
El término "venta" bajo la KCDPA cubre únicamente los intercambios por contraprestación monetaria. Esta es una definición más restringida que las leyes de estados como California, que también cubren los intercambios no monetarios.
Exenciones Clave
La KCDPA excluye de su alcance varias categorías de entidades y tipos de datos:
Exenciones de entidades:
- Las entidades cubiertas por HIPAA y sus asociados comerciales
- Las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Las organizaciones sin fines de lucro
- Las instituciones de educación superior
- Las agencias gubernamentales
Exenciones de datos:
- Datos regulados conforme a HIPAA
- Datos regidos por la Ley de Informes Crediticios Justos (FCRA)
- Datos cubiertos por la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Datos bajo la Ley de Protección de la Privacidad del Conductor (DPPA)
- Datos regulados conforme a la Ley de Crédito Agrícola

Exención de datos de empleados. La KCDPA excluye de la definición de "consumidor" a las personas que actúan en un contexto comercial o laboral. Los datos procesados sobre una persona que solicita empleo, está empleada, o actúa como agente o contratista independiente de un controlador, procesador o tercero, están exentos cuando se utilizan en el contexto de ese rol.
Esto significa que si su empleador recopila sus huellas dactilares para un sistema de control de asistencia o utiliza el reconocimiento facial para el acceso a un edificio, la KCDPA no se aplica a esa recopilación. Kentucky no cuenta con una ley independiente que regule el uso de datos biométricos por parte de los empleadores.
Derechos del Consumidor Sobre los Datos Biométricos
Debido a que los datos biométricos son datos personales sensibles bajo la KCDPA, los consumidores de Kentucky cuentan con estos derechos conforme a KRS 367.3615:
Derecho a confirmar y acceder. Puede preguntar a cualquier empresa cubierta si está procesando sus datos biométricos y solicitar acceso a esos datos.
Derecho a corregir. Si una empresa posee datos biométricos inexactos sobre usted, puede solicitar una corrección.
Derecho a eliminar. Puede solicitar que una empresa elimine los datos biométricos que posee sobre usted.
Derecho a la portabilidad de datos. Puede obtener una copia de sus datos biométricos en un formato portable y fácilmente utilizable.
Derecho a optar por no participar. Puede optar por no participar en el procesamiento de sus datos personales para la publicidad dirigida, la venta de datos personales o la elaboración de perfiles que produzca efectos legales o de importancia similar.
Derecho a la no discriminación. Las empresas no pueden penalizarlo por ejercer cualquiera de estos derechos negándole bienes o servicios, cobrándole precios diferentes o brindándole una calidad de servicio distinta.
Las empresas deben responder a las solicitudes de derechos del consumidor dentro de 45 días. Pueden extender este plazo 45 días adicionales cuando sea razonablemente necesario, pero deben notificar al consumidor de la extensión y el motivo de la misma.
Evaluaciones de Protección de Datos
Los controladores que procesan datos sensibles, incluidos los datos biométricos, deben realizar evaluaciones de protección de datos bajo la KCDPA. Estas evaluaciones se aplican a las actividades de procesamiento creadas o generadas a partir del 1 de junio de 2026.
Una evaluación de protección de datos debe sopesar los beneficios del procesamiento frente a los riesgos potenciales para el consumidor, incluidos los riesgos de:
- Trato injusto o engañoso, o impacto dispar ilegal
- Daño financiero, físico o reputacional
- Intrusión en la soledad o el aislamiento
- Otros daños sustanciales
El Fiscal General de Kentucky puede solicitar estas evaluaciones durante una investigación. Se consideran confidenciales y están exentas de inspección pública conforme a la Ley de Registros Públicos Abiertos de Kentucky.
Notificación de Violación y Datos Biométricos
Independientemente de la KCDPA, la ley de notificación de violación de datos de Kentucky en KRS 365.732 exige que las empresas notifiquen a las personas afectadas cuando una violación de seguridad compromete su información personal no encriptada.
La definición de información personal de Kentucky para efectos de notificación de violación incluye el nombre de una persona en combinación con una impresión o imagen biométrica o genética única. Esto significa que si una violación de datos expone datos biométricos vinculados a su nombre, la entidad que posee esos datos debe notificarle.
La obligación de notificación se aplica a cualquier entidad que realiza actividades comerciales en Kentucky y que posee o tiene licencia sobre datos computarizados que contienen información personal de residentes de Kentucky. No existe un umbral mínimo de tamaño para este requisito.
La ley de Kentucky no especifica un plazo exacto para la notificación. En cambio, exige la notificación en el tiempo más expedito posible, sin demora injustificada, de forma coherente con las necesidades de las fuerzas del orden y de cualquier investigación.
Cumplimiento y Sanciones

El Fiscal General de Kentucky tiene autoridad de cumplimiento exclusiva sobre la KCDPA. No existe un derecho de acción privado, lo que significa que los consumidores individuales no pueden presentar demandas contra las empresas por infracciones de la KCDPA.
El proceso de cumplimiento funciona de la siguiente manera:
- La Oficina de Privacidad de Datos del Fiscal General identifica una posible infracción
- La oficina notifica a la empresa por escrito, identificando las disposiciones específicas que presuntamente se han infringido
- La empresa cuenta con 30 días para subsanar la presunta infracción
- Si la empresa subsana la infracción y proporciona una declaración por escrito de que no incurrirá en infracciones adicionales, el Fiscal General no toma ninguna acción
- Si la empresa no subsana la infracción, el Fiscal General puede iniciar una acción civil con sanciones de hasta $7,500 por infracción
El período de subsanación de 30 días es permanente. A diferencia de las leyes de privacidad de otros estados, la disposición de subsanación de la KCDPA no vence, lo que brinda a las empresas una oportunidad continua de corregir infracciones antes de enfrentar sanciones.
Los consumidores pueden presentar quejas ante la Oficina de Privacidad de Datos del Fiscal General de Kentucky. Se puede contactar a la oficina al (502) 892-8538.

Cómo Se Compara Kentucky con Otros Estados
El enfoque de Kentucky respecto a la privacidad biométrica se encuentra en un punto intermedio entre los estados de EE. UU.:
Más sólido que los estados sin protecciones. Muchos estados todavía carecen de protecciones específicas de datos biométricos. La clasificación de Kentucky de los datos biométricos como datos sensibles que requieren consentimiento la coloca por delante de estados como Georgia, que no cuenta con un estatuto dedicado de privacidad biométrica ni con una ley integral de privacidad vigente.
Más débil que las leyes dedicadas de privacidad biométrica. Estados como Illinois, Texas y Washington cuentan con estatutos independientes de privacidad biométrica con requisitos específicos de aviso, consentimiento, calendarios de retención y destrucción de datos. La BIPA de Illinois incluye un derecho de acción privado que ha generado litigios y acuerdos significativos.
Similar a otros estados con leyes integrales de privacidad. El enfoque de Kentucky refleja de cerca el de estados como Connecticut, Indiana, Montana y Tennessee, todos los cuales clasifican los datos biométricos como datos sensibles dentro de sus marcos integrales de privacidad del consumidor y exigen el consentimiento expreso para su procesamiento.
More Kentucky Laws
- Kentucky AI Meeting Recording Laws
- Kentucky Alimony Laws
- Kentucky At-Will Employment Laws
- Kentucky Car Accident Laws
- Kentucky Car Seat Laws
- Kentucky Child Custody Laws
- Kentucky Child Support Laws
- Kentucky Common Law Marriage Laws
- Kentucky Deepfake Laws
- Kentucky Divorce Laws
- Kentucky Dog Bite Laws
- Kentucky Emancipation Laws
- Kentucky Expungement Laws
- Kentucky Hit and Run Laws
- Kentucky Landlord-Tenant Laws
- Kentucky Lemon Laws
Fuentes y Referencias
Este artículo hace referencia a los estatutos de Kentucky y a publicaciones oficiales del gobierno estatal. Para el texto completo de la KCDPA, visite el sitio web de la Legislatura de Kentucky. Para obtener orientación sobre los derechos del consumidor y la presentación de quejas, visite la Oficina de Privacidad de Datos del Fiscal General de Kentucky.
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Kentucky. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos actuales a través de fuentes oficiales del gobierno de Kentucky.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Protección de Datos del Consumidor de Kentucky (HB 15)(apps.legislature.ky.gov).gov
- KRS 367.3611 - Definiciones de la KCDPA(apps.legislature.ky.gov).gov
- KRS 367.3615 - Derechos del Consumidor(apps.legislature.ky.gov).gov
- KRS 365.732 - Notificación de Violación(apps.legislature.ky.gov).gov
- KCDPA Capítulo 72 de las Leyes (Proyecto de Ley Promulgado)(apps.legislature.ky.gov).gov
- Fiscal General de Kentucky - Derechos del Consumidor bajo la KCDPA(ag.ky.gov).gov
- Fiscal General de Kentucky - Oficina de Privacidad de Datos(ag.ky.gov).gov
- KRS 367.3613 - Aplicación y Limitaciones(apps.legislature.ky.gov).gov