Kentucky
Lista de Verificación de Cumplimiento de la KCDPA: Ley de Privacidad de Kentucky

Cumplir con la Ley de Protección de Datos del Consumidor de Kentucky (KCDPA), KRS 367.3611 a 367.3629, significa confirmar si está cubierto, publicar un aviso de privacidad conforme, obtener el consentimiento expreso (opt-in) antes de procesar datos sensibles, construir flujos de trabajo de derechos del consumidor y exclusión, realizar evaluaciones de protección de datos, y firmar contratos con procesadores conformes a la KCDPA. La ley entró en vigor el 1 de enero de 2026, por lo que las empresas cubiertas ya están obligadas.
A partir de 2026, el Fiscal General de Kentucky hace cumplir la KCDPA de forma exclusiva conforme a KRS 367.3627, con un período de subsanación permanente de 30 días y sanciones civiles de hasta $7,500 por infracción depositadas en un fondo de privacidad del consumidor. No existe un derecho de acción privado, y debido a que la ley de Kentucky refleja de cerca la de Virginia, un programa ya preparado para Virginia necesita solo ajustes modestos.
Alcance jurisdiccional: Esto cubre la Ley de Protección de Datos del Consumidor de Kentucky (KRS 367.3611 a 367.3629). Es información legal general, no asesoría legal.
Paso 1: Determine si Está Cubierto
La primera tarea es el análisis de aplicabilidad en KRS 367.3613. La KCDPA alcanza a una persona que realiza actividades comerciales en Kentucky o se dirige a residentes de Kentucky y que, en un año calendario, controla o procesa los datos personales de al menos 100,000 consumidores, o de al menos 25,000 consumidores mientras obtiene más del 50 por ciento de sus ingresos brutos de la venta de datos personales.
Cuente únicamente a los "consumidores", que KRS 367.3611 define como residentes de Kentucky que actúan en un contexto individual. Los contactos de empleados y las relaciones comerciales entre empresas no cuentan para el umbral, por lo que una empresa debe limitar su conteo a los datos orientados al consumidor.
Luego, aplique el filtro de exenciones conforme a KRS 367.3613(2) y (3). Los organismos gubernamentales, las instituciones financieras cubiertas por la GLBA, las entidades cubiertas por HIPAA y sus asociados comerciales, las organizaciones sin fines de lucro y las instituciones de educación superior están exentas a nivel de entidad, y conjuntos de datos específicos como los de la FCRA, la FERPA y los datos de empleo están exentos a nivel de datos. Una empresa puede quedar total o parcialmente fuera de la ley, por lo que debe documentar el análisis antes de construir los controles.
Paso 2: Publique un Aviso de Privacidad Conforme
Si está cubierto, el aviso de privacidad es la obligación más visible. KRS 367.3617(3) exige un aviso de privacidad razonablemente accesible, claro y significativo con contenidos específicos.
El aviso debe enumerar las categorías de datos personales que procesa el controlador, el propósito del procesamiento y cómo los consumidores pueden ejercer sus derechos conforme a KRS 367.3615, incluido cómo apelar una decisión. También debe indicar las categorías de datos personales compartidos con terceros y las categorías de esos terceros que reciben los datos.
Existe una divulgación adicional para la venta de datos y la publicidad dirigida. Conforme a KRS 367.3617(4), si un controlador vende datos personales o los procesa para publicidad dirigida, debe divulgar esa actividad de manera clara y visible, así como la forma en que un consumidor puede optar por no participar.

Paso 3: Obtenga el Consentimiento Expreso para los Datos Sensibles
Los datos sensibles activan la regla más estricta de la ley. Conforme a KRS 367.3617(1)(e), un controlador no puede procesar datos sensibles sin obtener primero el consentimiento del consumidor.
Los datos sensibles conforme a KRS 367.3611 incluyen los datos que revelan el origen racial o étnico, las creencias religiosas, un diagnóstico de salud mental o física, la orientación sexual, o el estatus de ciudadanía o inmigración, además de los datos genéticos o biométricos utilizados para identificar a una persona, los datos de un menor conocido y los datos de geolocalización precisa. Mapee dónde reside cada categoría en sus sistemas antes del lanzamiento.
El consentimiento debe ser un acto afirmativo claro que sea otorgado libremente, específico, informado e inequívoco. Para los datos recopilados de un menor conocido, el controlador debe cumplir en cambio con la ley federal Children's Online Privacy Protection Act, y KRS 367.3613(4) considera que el consentimiento parental conforme a COPPA es suficiente para las obligaciones de consentimiento parental de la ley.
Paso 4: Construya Flujos de Trabajo de Derechos del Consumidor y Exclusión
Los controladores cubiertos necesitan un proceso operativo para gestionar los derechos en KRS 367.3615. Los consumidores pueden confirmar y acceder, corregir, eliminar, obtener una copia portable, y optar por no participar en la publicidad dirigida, la venta de datos y el perfilado.
Establezca el plazo en 45 días. KRS 367.3615(3) exige una respuesta sin demora indebida y dentro de 45 días, con una extensión permitida de 45 días adicionales si notifica al consumidor a tiempo. Las respuestas son gratuitas hasta dos veces al año por consumidor, y solo puede cobrar o rechazar las solicitudes excesivas, repetitivas, técnicamente inviables o manifiestamente infundadas, con la carga de la prueba sobre usted.
Establezca un proceso de apelación visible conforme a KRS 367.3615(4) con un plazo de respuesta de 60 días, y proporcione una vía para contactar al Fiscal General si niega una apelación. Conforme a KRS 367.3617(5), no puede obligar a un consumidor a crear una nueva cuenta para ejercer sus derechos. Tenga en cuenta que la KCDPA no exige respetar una señal de exclusión universal como el Control Global de Privacidad, por lo que sus propios métodos de exclusión claramente divulgados satisfacen la ley, aunque un programa multiestatal puede optar por respetar las señales de forma voluntaria. La guía de derechos del consumidor bajo la KCDPA detalla la mecánica de las solicitudes.
Paso 5: Realice Evaluaciones de Protección de Datos
La KCDPA exige evaluaciones de riesgo documentadas para el procesamiento de mayor riesgo. KRS 367.3621(1) enumera las actividades que activan una evaluación de impacto de protección de datos.
Esas actividades son la publicidad dirigida, la venta de datos personales, el procesamiento de datos sensibles, el perfilado que presente un riesgo razonablemente previsible de trato injusto o daño sustancial, y cualquier procesamiento que presente un riesgo elevado de daño. Cada evaluación debe sopesar los beneficios del procesamiento frente a los riesgos para los consumidores, mitigados por las salvaguardas.
El momento importa: KRS 367.3621(8) establece que el requisito de evaluación se aplica a las actividades de procesamiento creadas o generadas a partir del 1 de junio de 2026. El Fiscal General puede exigir una evaluación relevante para una investigación conforme a KRS 367.3621(3), y las evaluaciones son confidenciales conforme a la exención de registros abiertos en KRS 367.3621(4). Una sola evaluación puede cubrir un conjunto comparable de operaciones de procesamiento similares.

Paso 6: Establezca Contratos con Procesadores Conformes a la KCDPA
Si un procesador maneja datos personales en su nombre, KRS 367.3619 exige un contrato por escrito que regule el procesamiento. El contrato debe establecer las instrucciones de procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos, la duración, y los derechos y obligaciones de ambas partes.
El contrato también debe exigir que el procesador mantenga a su personal bajo un deber de confidencialidad, elimine o devuelva todos los datos personales al finalizar los servicios según las instrucciones del controlador, y ponga a disposición la información necesaria para demostrar el cumplimiento. El procesador debe permitir evaluaciones razonables, o arreglar una evaluación independiente, y debe transferir estas obligaciones a cualquier subcontratista mediante un contrato por escrito.
Ambas partes mantienen su propia responsabilidad. KRS 367.3619(3) establece que el contrato no exime al controlador ni al procesador de los deberes vinculados a su rol, y determinar si una parte es controlador o procesador depende de los hechos.
Paso 7: Comprenda el Cumplimiento, la Subsanación y las Sanciones
La KCDPA es aplicada únicamente por el Fiscal General. KRS 367.3627(1) otorga al Fiscal General la autoridad exclusiva de investigar e iniciar acciones, y KRS 367.3627(4) deja claro que no existe un derecho de acción privado.
Antes de demandar, el Fiscal General debe otorgar un aviso por escrito de 30 días que identifique las presuntas infracciones. Si el controlador o procesador subsana la infracción dentro de esos 30 días y proporciona una declaración por escrito de que la infracción ha sido subsanada y no volverá a ocurrir, no procede ninguna acción de daños conforme a KRS 367.3627(2). Este período de subsanación de 30 días es permanente, sin fecha de vencimiento, lo que distingue a Kentucky de los estados que permiten que sus plazos de subsanación venzan.
Si la infracción no se subsana, el Fiscal General puede solicitar sanciones civiles de hasta $7,500 por cada infracción continua conforme a KRS 367.3627(3), además de los costos de investigación y honorarios conforme a KRS 367.3627(5). Las sanciones se depositan en el fondo de privacidad del consumidor creado por KRS 367.3629, una cuenta administrada por el Fiscal General utilizada para financiar el cumplimiento. Para el trasfondo legal y el enfoque de "clon de Virginia", consulte la guía ¿Qué es la KCDPA?.
| Área de cumplimiento | Sección de la KCDPA | Requisito clave |
|---|---|---|
| Aplicabilidad | KRS 367.3613 | 100,000 consumidores, o 25,000 más el 50% de ingresos por venta de datos |
| Aviso de privacidad | KRS 367.3617(3) | Divulgar categorías de datos, propósitos, derechos, compartición |
| Datos sensibles | KRS 367.3617(1)(e) | Consentimiento expreso antes del procesamiento |
| Solicitudes del consumidor | KRS 367.3615 | Respuesta de 45 días; apelación de 60 días |
| Evaluaciones | KRS 367.3621 | Documentar el riesgo para el procesamiento de alto riesgo (a partir del 1 de junio de 2026) |
| Contratos con procesadores | KRS 367.3619 | Confidencialidad, eliminación, auditorías, transferencia de obligaciones |
| Cumplimiento | KRS 367.3627 | Exclusivo del Fiscal General; subsanación de 30 días; hasta $7,500 por infracción |
More Kentucky Laws
- Kentucky AI Meeting Recording Laws
- Kentucky Alimony Laws
- Kentucky At-Will Employment Laws
- Kentucky Car Accident Laws
- Kentucky Car Seat Laws
- Kentucky Child Custody Laws
- Kentucky Child Support Laws
- Kentucky Common Law Marriage Laws
- Kentucky Deepfake Laws
- Kentucky Divorce Laws
- Kentucky Dog Bite Laws
- Kentucky Emancipation Laws
- Kentucky Expungement Laws
- Kentucky Hit and Run Laws
- Kentucky Landlord-Tenant Laws
- Kentucky Lemon Laws
Guías relacionadas
Preguntas frecuentes
¿Cómo sé si mi empresa debe cumplir con la KCDPA?
Conforme a KRS 367.3613, está cubierto si realiza actividades comerciales en Kentucky o se dirige a sus residentes y, en un año calendario, controla o procesa los datos personales de al menos 100,000 consumidores de Kentucky, o de al menos 25,000 consumidores mientras obtiene más del 50 por ciento de sus ingresos brutos de la venta de datos personales. Cuente únicamente a los consumidores que actúan en un contexto individual, luego aplique las exenciones de entidad y de datos.
¿Qué debe incluir un aviso de privacidad de la KCDPA?
Conforme a KRS 367.3617(3), el aviso de privacidad debe indicar las categorías de datos personales procesados, los propósitos del procesamiento, cómo los consumidores ejercen y apelan sus derechos, las categorías de datos compartidos con terceros y las categorías de esos terceros. Si vende datos o realiza publicidad dirigida, KRS 367.3617(4) exige una divulgación clara y visible, y un método de exclusión.
¿La KCDPA exige consentimiento para los datos sensibles?
Sí. KRS 367.3617(1)(e) exige el consentimiento expreso antes de procesar datos sensibles, los cuales, conforme a KRS 367.3611, incluyen el origen racial o étnico, las creencias religiosas, los diagnósticos de salud, la orientación sexual, el estatus migratorio, los identificadores genéticos o biométricos, los datos de un menor conocido y la geolocalización precisa. Para un menor conocido, debe seguir la ley federal Children's Online Privacy Protection Act.
¿La KCDPA exige respetar las señales de exclusión universal?
No. La KCDPA no exige el reconocimiento de un mecanismo de exclusión universal como el Control Global de Privacidad. Conforme a KRS 367.3617, debe proporcionar y divulgar sus propios métodos de exclusión para la publicidad dirigida, la venta de datos y el perfilado, pero no existe un deber legal de respetar una señal universal del navegador, lo que coincide con el modelo de Virginia que Kentucky siguió.
¿Cuándo se requieren las evaluaciones de protección de datos de la KCDPA?
Conforme a KRS 367.3621, debe realizar y documentar una evaluación para la publicidad dirigida, la venta de datos, el procesamiento de datos sensibles, el perfilado de alto riesgo y cualquier procesamiento de riesgo elevado. KRS 367.3621(8) establece que el requisito de evaluación se aplica a las actividades de procesamiento creadas o generadas a partir del 1 de junio de 2026. El Fiscal General puede exigir las evaluaciones relevantes durante una investigación.
¿Qué debe incluir un contrato con un procesador de la KCDPA?
Conforme a KRS 367.3619, el contrato debe establecer las instrucciones de procesamiento, la naturaleza y el propósito, el tipo de datos y la duración, y exigir que el procesador mantenga la confidencialidad, elimine o devuelva los datos al finalizar los servicios, demuestre el cumplimiento, permita evaluaciones razonables, y transfiera las mismas obligaciones a los subcontratistas mediante un contrato por escrito.
¿Cuáles son las sanciones por infringir la KCDPA?
Conforme a KRS 367.3627, el Fiscal General puede solicitar sanciones civiles de hasta $7,500 por cada infracción continua, además de los costos de investigación y honorarios, tras un período de subsanación de 30 días que es permanente. Las sanciones se destinan al fondo de privacidad del consumidor conforme a KRS 367.3629. No existe un derecho de acción privado, por lo que solo el Fiscal General puede hacer cumplir la ley.
¿Existe un período de subsanación bajo la KCDPA?
Sí, y no vence. Conforme a KRS 367.3627(2), el Fiscal General debe otorgar un aviso por escrito de 30 días antes de demandar, y si la empresa subsana la infracción y proporciona una declaración por escrito de que ha sido subsanada y no volverá a ocurrir, no procede ninguna acción de daños. A diferencia de otros estados, el período de subsanación de 30 días de Kentucky no tiene fecha de vencimiento a partir de 2026.
Fuentes y referencias
- Kentucky HB 15 (2024): Ley de Protección de Datos del Consumidor de Kentucky (Texto del Proyecto de Ley Promulgado)(apps.legislature.ky.gov).gov
- KRS 367.3613: Aplicación, Limitaciones y Exenciones(apps.legislature.ky.gov).gov
- KRS 367.3615: Proceso de Solicitud y Apelación de Derechos del Consumidor(apps.legislature.ky.gov).gov
- KRS 367.3617: Limitaciones del Controlador, Aviso de Privacidad y Métodos de Exclusión(apps.legislature.ky.gov).gov
- KRS 367.3619: Obligaciones del Procesador y Requisitos del Contrato Controlador-Procesador(apps.legislature.ky.gov).gov
- KRS 367.3621: Requisitos de Evaluación de Impacto de Protección de Datos(apps.legislature.ky.gov).gov
- KRS 367.3627: Cumplimiento del Fiscal General, Período de Subsanación y Sanciones Civiles(apps.legislature.ky.gov).gov
- KRS 367.3629: Fondo de Privacidad del Consumidor(apps.legislature.ky.gov).gov
- Fiscal General de Kentucky: Oficina de Privacidad de Datos y la KCDPA(ag.ky.gov).gov