Kentucky
Leyes de Notificación de Violación de Datos de Kentucky: Reglas y Plazos de Notificación (2026)

Conforme a KRS 365.732, las empresas de Kentucky que poseen o tienen licencia sobre información personal computarizada deben notificar a los residentes afectados después de una violación que involucre datos no encriptados, pero solo cuando sea razonablemente probable que la violación cause robo de identidad o fraude. La notificación debe realizarse sin demora injustificada. Los datos encriptados están exentos.
Si su empresa maneja datos personales pertenecientes a residentes de Kentucky, necesita comprender las reglas estatales de notificación de violación de datos. Una sola violación que afecte a miles de personas puede generar obligaciones de notificación que conllevan consecuencias legales para las empresas que no actúan con prontitud.
El marco de notificación de violación de Kentucky opera a través de dos estatutos independientes: uno para las entidades del sector privado y otro para las agencias gubernamentales. Ambos exigen la notificación sin demora injustificada, pero las reglas gubernamentales imponen requisitos más estrictos, incluido el reporte obligatorio a múltiples agencias estatales.
Para obtener una visión general del marco de privacidad más amplio de Kentucky, consulte la guía principal de Leyes de Privacidad de Datos de Kentucky.
Quién Debe Cumplir con KRS 365.732
La ley principal de notificación de violación de datos de Kentucky, KRS 365.732, se aplica a cualquier persona o entidad comercial que realiza actividades comerciales en Kentucky y que posee o tiene licencia sobre datos computarizados que incluyen información personal.
El estatuto cubre una amplia gama de entidades. Si mantiene registros computarizados que contienen información personal sobre residentes de Kentucky, independientemente de dónde esté ubicada físicamente su empresa, KRS 365.732 se aplica a usted.
Existen dos exenciones clave. Las entidades reguladas conforme a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) están exentas, al igual que las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA). En cambio, estas entidades siguen sus propios marcos federales de notificación de violación.
Las agencias estatales y los gobiernos locales también quedan excluidos de KRS 365.732 porque están cubiertos por los estatutos independientes de notificación de violación gubernamental en KRS 61.931 a 61.934.
Qué Califica como Información Personal
Conforme a KRS 365.732, la información personal se define como el nombre o la inicial del nombre y el apellido de una persona, en combinación con uno o más de estos elementos de datos:
- Número de Seguro Social
- Número de licencia de conducir
- Número de cuenta, número de tarjeta de crédito o número de tarjeta de débito combinado con cualquier código de seguridad, código de acceso o contraseña requerida que permitiría el acceso a la cuenta
Los datos deben estar en forma computarizada (electrónica). Los registros en papel no están cubiertos por este estatuto.
La información disponible públicamente que se pone lícitamente a disposición del público en general a través de registros gubernamentales no se considera información personal bajo esta ley.
Qué Genera una Obligación de Notificación
Una violación ocurre cuando existe una adquisición no autorizada de datos computarizados no encriptados y no redactados que compromete la seguridad, confidencialidad o integridad de la información personal.
Kentucky añade un matiz importante. La notificación solo es obligatoria cuando la violación realmente causa, o la entidad cree razonablemente que ha causado o causará, robo de identidad o fraude contra los residentes afectados. Si la entidad determina, mediante su investigación, que no es razonablemente probable que ocurra un daño, no se requiere notificación.
Este umbral de riesgo de daño otorga a las empresas cierta discreción. Sin embargo, esa discreción conlleva responsabilidad. Si una empresa evalúa incorrectamente el riesgo y no notifica, podría enfrentar exposición legal.
Excepción de buena fe. La ley establece que la adquisición de información personal por parte de un empleado o agente de la entidad no constituye una violación, siempre que la información no se utilice de manera indebida ni se divulgue de forma no autorizada adicional.
Puerto Seguro de Encriptación
El estatuto de Kentucky no se aplica a la información que está encriptada o redactada. Este es un puerto seguro sencillo: si encripta la información personal y ocurre una violación, no está obligado a enviar notificaciones conforme a KRS 365.732.
Esto incentiva a las empresas a adoptar la encriptación como una práctica estándar de protección de datos. Si su organización almacena información personal electrónicamente, la encriptación elimina uno de los riesgos legales más significativos asociados con una violación.
Plazo y Método de Notificación
Cuando se requiere la notificación, las empresas deben actuar en el tiempo más expedito posible y sin demora injustificada, de forma coherente con las medidas necesarias para determinar el alcance de la violación y restaurar la integridad razonable del sistema de datos.
Kentucky no establece un plazo específico en días. El estándar de "sin demora injustificada" otorga a las empresas tiempo para investigar, pero también significa que la demora innecesaria podría considerarse una infracción.
Demora por investigación policial. Si una agencia de las fuerzas del orden determina que la notificación obstaculizaría una investigación penal, la empresa puede retrasar la notificación hasta que las fuerzas del orden la autoricen.
Métodos de Notificación

Las empresas pueden proporcionar la notificación mediante:
- Notificación escrita enviada a la última dirección conocida de la persona afectada
- Notificación electrónica conforme a la ley federal Electronic Signatures in Global and National Commerce Act (E-SIGN Act)
Notificación Sustitutiva
Si la notificación directa costaría más de $250,000, afectaría a más de 500,000 personas, o la entidad no cuenta con información de contacto suficiente, está disponible la notificación sustitutiva. La notificación sustitutiva requiere los tres elementos siguientes:
- Notificación por correo electrónico a todas las personas afectadas para las cuales la entidad cuenta con una dirección de correo electrónico
- Publicación visible en el sitio web de la entidad
- Notificación a los principales medios de comunicación de alcance estatal

Notificación a las Agencias de Información Crediticia
Cuando una violación afecta a más de 1,000 residentes de Kentucky, la entidad también debe notificar a todas las agencias de información crediticia y burós de crédito de alcance nacional sin demora injustificada. Esta notificación debe describir el momento, la distribución y el contenido de los avisos enviados a las personas afectadas.
Poseedores de Datos Externos
Si una entidad mantiene información personal en nombre de otra empresa (el propietario o licenciatario de los datos), la entidad que mantiene los datos debe notificar al propietario o licenciatario de la violación tan pronto como sea razonablemente práctico después de descubrirla. El propietario o licenciatario de los datos asume entonces la responsabilidad de notificar a las personas afectadas.

Requisitos para Entidades Gubernamentales (KRS 61.931 a 61.934)
Kentucky sujeta a las agencias gubernamentales a un estándar diferente y más detallado a través de KRS 61.931 a 61.934, vigente desde el 1 de enero de 2015.
Definición Más Amplia de Información Personal
Los estatutos gubernamentales definen la información personal de forma más amplia que la ley del sector privado. Conforme a KRS 61.931, la información personal incluye el nombre o la inicial del nombre y el apellido de una persona, una marca personal, o una impresión o imagen biométrica o genética única, en combinación con:
- Número de Seguro Social
- Número de identificación fiscal que incorpora un número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta, número de tarjeta de crédito o número de tarjeta de débito con códigos de seguridad o contraseñas requeridas
- Otro número de identificación individual
Esta definición es más amplia que KRS 365.732 en dos aspectos: incluye los identificadores biométricos y genéticos como elementos que califican junto con el nombre, y añade los números de identificación fiscal como un elemento de datos cubierto.
Notificación Multiagencia Obligatoria
Cuando una agencia gubernamental experimenta una violación, debe notificar a múltiples entidades estatales:
- El Fiscal General
- El Auditor de Cuentas Públicas
- El Gabinete de Finanzas y Administración
- La Policía Estatal de Kentucky
- El Departamento de Bibliotecas y Archivos de Kentucky
- La Oficina de Tecnología del Estado
Este requisito de notificación multiagencia refleja la responsabilidad reforzada que se espera de las entidades gubernamentales que manejan datos de los ciudadanos.
Obligaciones de Contratistas Externos
Las empresas privadas que contratan con agencias estatales de Kentucky y manejan información personal enfrentan obligaciones específicas conforme a KRS 61.932.
Para los contratos ejecutados o enmendados a partir del 1 de enero de 2015, los contratistas deben implementar procedimientos de seguridad e investigación de violaciones al menos tan estrictos como los exigidos a la propia agencia gubernamental.
Cuando un contratista descubre una violación, debe notificar a la agencia contratante en el tiempo más expedito posible y sin demora injustificada, pero a más tardar 72 horas después de determinar que ocurrió la violación. La agencia contratante asume entonces la responsabilidad de notificar a las personas afectadas y al Fiscal General.
Demoras Aprobadas por el Fiscal General
Si una agencia gubernamental determina que las medidas necesarias para restaurar la integridad de su sistema de datos no se pueden implementar dentro del plazo de notificación requerido, la agencia puede solicitar una demora. Esa demora debe ser aprobada por escrito por la Oficina del Fiscal General.
Medidas Cautelares
Conforme a KRS 61.933, el Fiscal General puede solicitar medidas cautelares contra las entidades que no cumplan con los requisitos gubernamentales de notificación de violación.
Cumplimiento y Sanciones
Sector Privado (KRS 365.732)
KRS 365.732 no contiene sanciones específicas ni un mecanismo de cumplimiento dedicado. El estatuto tampoco crea un derecho de acción privado explícito.
Sin embargo, las partes perjudicadas pueden tener recurso a través de KRS 446.070, el estatuto general de compensación de Kentucky. KRS 446.070 establece que una persona perjudicada por la infracción de cualquier estatuto puede recuperar daños del infractor mediante una acción civil. Esto crea una vía potencial, aunque no probada en muchos contextos de violación de datos, para que las personas afectadas busquen daños.
El Fiscal General también puede iniciar acciones de cumplimiento a través de los estatutos generales de protección al consumidor de Kentucky.
Entidades Gubernamentales (KRS 61.931 a 61.934)
El Fiscal General tiene la autoridad explícita de solicitar medidas cautelares contra las entidades gubernamentales y sus contratistas que infrinjan los requisitos de notificación de violación. Esto le otorga al Fiscal General la facultad de exigir el cumplimiento mediante órdenes judiciales.
El Impacto de la KCDPA en la Respuesta a Violaciones de Datos

La Ley de Protección de Datos del Consumidor de Kentucky (KCDPA), que entró en vigor el 1 de enero de 2026, no reemplaza los estatutos existentes de notificación de violación. Sin embargo, añade una nueva capa de obligaciones de protección de datos que afectan la forma en que las empresas manejan la información personal antes, durante y después de una violación.
Bajo la KCDPA, codificada en KRS 367.3611 a 367.3629, las empresas que cumplen con los umbrales de aplicabilidad deben:
- Implementar prácticas razonables de seguridad de datos proporcionales al volumen y la sensibilidad de los datos que procesan
- Clasificar los datos biométricos, los datos genéticos, los datos de geolocalización precisa y otras categorías sensibles como datos que requieren consentimiento expreso (opt-in)
- Responder a las solicitudes de eliminación y acceso del consumidor dentro de 45 días
- Realizar evaluaciones de protección de datos para las actividades de procesamiento de alto riesgo
La KCDPA otorga al Fiscal General autoridad de cumplimiento exclusiva, con sanciones de hasta $7,500 por infracción tras un período de subsanación de 30 días. Aunque la KCDPA no modifica directamente KRS 365.732, una violación de datos que resulte de prácticas de seguridad inadecuadas podría generar acciones de cumplimiento bajo ambos marcos.
La Oficina de Privacidad de Datos del Fiscal General de Kentucky, creada para hacer cumplir la KCDPA, se puede contactar al (502) 892-8538.
Ley de Seguridad de Datos de Seguros
Kentucky también promulgó una ley de seguridad de datos específica para seguros en KRS 304.3-750 a 304.3-768. Los aseguradores, agentes y otras entidades de seguros con licencia deben notificar al Comisionado de Seguros sobre los eventos de ciberseguridad tan pronto como sea posible, pero a más tardar tres días hábiles después del evento, cuando la violación afecte a 250 o más residentes de Kentucky o perjudique materialmente las operaciones.
Las sanciones conforme a la ley de seguridad de datos de seguros pueden alcanzar los $10,000 por infracción para los aseguradores y de $1,000 a $2,000 para los agentes y ajustadores individuales.
Pasos a Seguir Después de una Violación en Kentucky
Si su empresa experimenta una violación de datos que involucra información personal de residentes de Kentucky, considere estos pasos:
- Contener la violación y asegurar sus sistemas para prevenir un mayor acceso no autorizado
- Investigar el alcance para determinar qué datos fueron comprometidos y cuántas personas están afectadas
- Evaluar el riesgo de daño para determinar si es razonablemente probable que la violación cause robo de identidad o fraude
- Notificar a las personas afectadas en el tiempo más expedito posible si el daño es probable
- Notificar a las agencias de información crediticia si más de 1,000 residentes de Kentucky están afectados
- Documentar su respuesta, incluidos los hallazgos de la investigación y el cronograma de notificación
- Contactar a las fuerzas del orden si la violación involucra actividad delictiva
Si es un contratista gubernamental, recuerde el plazo de notificación de 72 horas a la agencia contratante.
More Kentucky Laws
- Kentucky AI Meeting Recording Laws
- Kentucky Alimony Laws
- Kentucky At-Will Employment Laws
- Kentucky Car Accident Laws
- Kentucky Car Seat Laws
- Kentucky Child Custody Laws
- Kentucky Child Support Laws
- Kentucky Common Law Marriage Laws
- Kentucky Deepfake Laws
- Kentucky Divorce Laws
- Kentucky Dog Bite Laws
- Kentucky Emancipation Laws
- Kentucky Expungement Laws
- Kentucky Hit and Run Laws
- Kentucky Landlord-Tenant Laws
- Kentucky Lemon Laws
Fuentes y Referencias
Este artículo hace referencia a los estatutos de Kentucky y a publicaciones oficiales del gobierno estatal. Para el texto completo de los estatutos de notificación de violación, visite el sitio web de la Legislatura de Kentucky. Para obtener orientación al consumidor sobre violaciones de datos y robo de identidad, visite el sitio web del Fiscal General de Kentucky. Para obtener información sobre la KCDPA y la Oficina de Privacidad de Datos, consulte la página de la KCDPA del Fiscal General.
Este artículo proporciona información legal general sobre las leyes de notificación de violación de datos de Kentucky. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos actuales a través de fuentes oficiales del gobierno de Kentucky.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- KRS 365.732 - Notificación a las personas afectadas por una violación de seguridad informática(apps.legislature.ky.gov).gov
- KRS 61.931 - Definiciones para la notificación de violación gubernamental(apps.legislature.ky.gov).gov
- KRS 61.932 - Procedimientos de investigación de violaciones de agencias gubernamentales(apps.legislature.ky.gov).gov
- KRS 61.933 - Requisitos de notificación de violación gubernamental(apps.legislature.ky.gov).gov
- KRS 61.934 - Procedimientos de violación de las ramas legislativa y judicial(apps.legislature.ky.gov).gov
- Ley de Protección de Datos del Consumidor de Kentucky (KCDPA) - Orientación del Fiscal General(ag.ky.gov).gov
- Oficina de Privacidad de Datos de Kentucky(ag.ky.gov).gov
- Recursos sobre Robo de Identidad del Fiscal General de Kentucky(ag.ky.gov).gov
- KRS 446.070 - La sanción no impide la recuperación civil(apps.legislature.ky.gov).gov
- Información sobre HIPAA - HHS.gov(hhs.gov).gov
- Ley Gramm-Leach-Bliley - FTC(ftc.gov).gov
- Ley E-SIGN - FTC(ftc.gov).gov
- KRS Capítulo 365 - Comercio y Negocios(apps.legislature.ky.gov).gov
- KRS 304.3-760 - Notificación de eventos de ciberseguridad de seguros(apps.legislature.ky.gov).gov
- HB 15 - Texto del proyecto de ley de la Ley de Protección de Datos del Consumidor de Kentucky(apps.legislature.ky.gov).gov