Kentucky
Derechos del Consumidor bajo la KCDPA: Guía de Derechos de Privacidad de Kentucky

Bajo la Ley de Protección de Datos del Consumidor de Kentucky (KCDPA), KRS 367.3615, los residentes de Kentucky tienen derecho a confirmar y acceder a sus datos personales, corregir inexactitudes, eliminar sus datos, obtener una copia portable y optar por no participar en la publicidad dirigida, la venta de datos personales y la elaboración de perfiles que produzca efectos legales o de importancia similar. Un controlador cubierto debe responder a una solicitud verificada sin demora indebida y, en todos los casos, dentro de 45 días.
A partir de 2026, estos derechos son aplicados exclusivamente por el Fiscal General de Kentucky bajo KRS 367.3627; no existe un derecho de acción privado. Si un controlador niega una solicitud, KRS 367.3615(4) otorga al consumidor una apelación interna y una vía para presentar una queja ante la Oficina de Privacidad de Datos del Fiscal General.
Alcance jurisdiccional: Esto cubre la Ley de Protección de Datos del Consumidor de Kentucky (KRS 367.3611 a 367.3629). Es información legal general, no asesoría legal.
Los cinco derechos fundamentales bajo la KCDPA
KRS 367.3615(2) establece los derechos que un controlador cubierto debe respetar cuando recibe una solicitud autenticada del consumidor. La estructura sigue de cerca la ley de Virginia, por lo que los derechos reflejan el paquete de privacidad estatal ya estandarizado.
El primer derecho es confirmar y acceder. Un consumidor puede pedirle a un controlador que confirme si está procesando los datos personales del consumidor y que acceda a esos datos, a menos que hacerlo requiera que el controlador revele un secreto comercial.
El segundo derecho es la corrección. Un consumidor puede pedirle al controlador que corrija inexactitudes en los datos personales, tomando en cuenta la naturaleza de los datos y los propósitos del procesamiento. El tercer derecho es la eliminación: un consumidor puede pedirle al controlador que elimine los datos personales proporcionados por el consumidor u obtenidos sobre él.
El cuarto derecho es la portabilidad. Un consumidor puede obtener una copia de los datos personales que proporcionó previamente, en un formato portable y, cuando sea técnicamente viable, fácilmente utilizable que le permita transmitir los datos a otro controlador sin obstáculos. El quinto derecho es la exclusión, que se cubre por separado a continuación.
El derecho de exclusión (opt-out): tres actividades de procesamiento
El derecho de exclusión bajo KRS 367.3615(2)(e) es el derecho más utilizado en la práctica. Permite a un consumidor optar por no participar en tres actividades de procesamiento distintas, y un controlador debe detener cada una de ellas a solicitud.
La primera es la publicidad dirigida. Bajo KRS 367.3611, esto significa mostrar anuncios seleccionados con base en datos personales obtenidos de las actividades del consumidor a través de sitios web o aplicaciones no afiliadas a lo largo del tiempo. La publicidad propia (first-party) y la publicidad contextual están excluidas.
La segunda es la venta de datos personales, que KRS 367.3611 define como el intercambio de datos personales por una contraprestación monetaria a un tercero. La definición de Kentucky es la versión más restringida de "contraprestación monetaria", no el estándar más amplio de "contraprestación monetaria u otra contraprestación de valor" que usan algunos estados.
La tercera es la elaboración de perfiles en apoyo de decisiones que produzcan efectos legales o de importancia similar, como decisiones sobre préstamos, vivienda, seguros, educación, empleo, atención médica o acceso a necesidades básicas. Un controlador que venda datos o realice publicidad dirigida debe revelar claramente esa actividad y la forma de optar por no participar bajo KRS 367.3617(4).

El plazo de respuesta de 45 días
KRS 367.3615(3)(a) establece el plazo de respuesta. Un controlador debe actuar sobre una solicitud del consumidor sin demora indebida y, en todos los casos, dentro de 45 días de haberla recibido.
El controlador puede extender el período de respuesta una vez, por 45 días adicionales, cuando sea razonablemente necesario dada la complejidad y el número de solicitudes. Para usar la extensión, el controlador debe informar al consumidor dentro de los primeros 45 días, junto con la razón de la demora.
Si un controlador decide no actuar sobre una solicitud, KRS 367.3615(3)(b) exige que informe al consumidor dentro de esos mismos 45 días, con la justificación e instrucciones sobre cómo apelar. La información debe proporcionarse gratuitamente hasta dos veces al año por consumidor bajo KRS 367.3615(3)(c); solo las solicitudes excesivas, repetitivas, técnicamente inviables o manifiestamente infundadas pueden dar lugar a una tarifa razonable o a un rechazo, y el controlador tiene la carga de probar que la solicitud encaja en esa categoría.
Autenticación y la regla de no exigir una cuenta nueva
Un controlador solo tiene que atender una solicitud que pueda autenticar. KRS 367.3615(3)(d) establece que si un controlador no puede autenticar una solicitud usando esfuerzos comercialmente razonables, no necesita cumplir y puede pedirle al consumidor información adicional razonablemente necesaria para verificar su identidad.
Dicho esto, la KCDPA limita hasta dónde puede llegar un controlador. Bajo KRS 367.3617(5), un controlador no puede exigirle a un consumidor que cree una cuenta nueva para ejercer sus derechos, aunque sí puede exigirle que use una cuenta existente.
La ley también protege a los consumidores que no tienen cuenta o cuyos datos no pueden vincularse a ellos. KRS 367.3623 aclara que un controlador no está obligado a reidentificar datos desidentificados o seudonimizados, ni a conservar datos en forma identificable, solo para atender una solicitud. Los derechos se aplican a los datos que el controlador realmente posee en forma identificable.

El proceso de apelación
La KCDPA incorpora un remedio de dos pasos. Si un controlador se niega a actuar, el consumidor puede apelar esa negativa, y solo después de eso el asunto puede llegar al Fiscal General.
Bajo KRS 367.3615(4), un controlador debe establecer un proceso de apelación visible y similar a la forma en que los consumidores presentan solicitudes. Dentro de los 60 días de recibir una apelación, el controlador debe informar por escrito al consumidor sobre cualquier acción tomada o no tomada, con una explicación escrita de las razones.
Si se niega la apelación, el controlador debe darle al consumidor un mecanismo en línea, si está disponible, u otro método para contactar al Fiscal General y presentar una queja. La Oficina de Privacidad de Datos del Fiscal General de Kentucky opera esa recepción de quejas, por lo que una apelación denegada es la puerta de entrada a la aplicación estatal.
No hay demandas privadas: cómo se aplican realmente los derechos
La KCDPA otorga derechos a los consumidores, pero no una vía judicial. KRS 367.3627(4) establece que nada en la ley proporciona la base para, ni da lugar a, un derecho de acción privado. Un consumidor no puede demandar directamente a un controlador por una infracción.
La aplicación de la ley recae exclusivamente en el Fiscal General bajo KRS 367.3627(1). El Fiscal General investiga, emite avisos y presenta acciones en nombre del Estado de Kentucky, con sanciones civiles de hasta $7,500 por infracción.
Antes de demandar, el Fiscal General debe dar un aviso de subsanación (cure notice) de 30 días bajo KRS 367.3627(2). Ese período de subsanación es permanente, sin fecha de vencimiento. La conclusión práctica para los consumidores es que la vía de apelación y luego queja es el camino real: presente la solicitud, apele una negativa y escale a la Oficina de Privacidad de Datos si el controlador no cumple. La guía de lista de verificación de cumplimiento de la KCDPA cubre el lado empresarial de responder a estas solicitudes.
| Derecho | Sección de la KCDPA | Plazo de respuesta |
|---|---|---|
| Confirmar y acceder | KRS 367.3615(2)(a) | 45 días (una extensión de 45 días) |
| Corregir inexactitudes | KRS 367.3615(2)(b) | 45 días |
| Eliminar datos personales | KRS 367.3615(2)(c) | 45 días |
| Portabilidad de datos | KRS 367.3615(2)(d) | 45 días |
| Optar por no participar en publicidad, venta, perfilado | KRS 367.3615(2)(e) | 45 días |
| Apelar una negativa | KRS 367.3615(4) | 60 días |
Más Leyes de Kentucky
- Leyes de Grabación de Reuniones con IA de Kentucky
- Leyes de Pensión Alimenticia Conyugal de Kentucky
- Leyes de Empleo a Voluntad de Kentucky
- Leyes de Accidentes de Auto de Kentucky
- Leyes de Asientos de Auto para Niños de Kentucky
- Leyes de Custodia de Menores de Kentucky
- Leyes de Manutención Infantil de Kentucky
- Leyes de Matrimonio de Hecho de Kentucky
- Leyes sobre Deepfakes de Kentucky
- Leyes de Divorcio de Kentucky
- Leyes sobre Mordeduras de Perro de Kentucky
- Leyes de Emancipación de Kentucky
- Leyes de Eliminación de Antecedentes Penales de Kentucky
- Leyes de Choque y Fuga de Kentucky
- Leyes de Propietarios e Inquilinos de Kentucky
- Leyes del Limón de Kentucky
Guías relacionadas
Preguntas frecuentes
¿Qué derechos tienen los consumidores de Kentucky bajo la KCDPA?
Bajo KRS 367.3615, los consumidores de Kentucky pueden confirmar si un controlador está procesando sus datos personales y acceder a ellos, corregir inexactitudes, eliminar sus datos, obtener una copia portable, y optar por no participar en la publicidad dirigida, la venta de datos personales y la elaboración de perfiles que produzca efectos legales o de importancia similar. Los controladores deben responder dentro de 45 días y proporcionar un proceso de apelación.
¿Cuánto tiempo tiene una empresa para responder a una solicitud bajo la KCDPA?
Bajo KRS 367.3615(3)(a), un controlador debe responder sin demora indebida y dentro de 45 días de recibir la solicitud. Puede extender el plazo una vez por otros 45 días cuando sea razonablemente necesario, pero solo si informa al consumidor de la extensión y la razón dentro de los primeros 45 días.
¿Puedo optar por no participar en la venta de mis datos en Kentucky?
Sí. KRS 367.3615(2)(e) le da a los consumidores el derecho de optar por no participar en la venta de datos personales, junto con la publicidad dirigida y ciertos perfilados. Bajo KRS 367.3611, una venta significa intercambiar datos personales por una contraprestación monetaria a un tercero. Los controladores que venden datos deben revelar claramente cómo optar por no participar bajo KRS 367.3617(4).
¿Kentucky exige respetar una señal universal de exclusión?
No. La KCDPA no exige que los controladores reconozcan un mecanismo universal de exclusión como el Control de [Privacidad Global](/world-laws/world-data-privacy-laws). Bajo KRS 367.3617, los controladores deben proporcionar y revelar sus propios métodos de exclusión, pero no existe un deber legal de respetar una señal global del navegador a partir de 2026.
¿Cómo apelo si una empresa niega mi solicitud bajo la KCDPA?
Bajo KRS 367.3615(4), todo controlador cubierto debe ofrecer un proceso de apelación visible y similar a cómo se presentan las solicitudes. El controlador tiene 60 días para responder por escrito con sus razones. Si niega la apelación, debe darle una forma de contactar a la Oficina de Privacidad de Datos del Fiscal General de Kentucky y presentar una queja.
¿Puedo demandar a una empresa bajo la KCDPA?
No. KRS 367.3627(4) establece que la KCDPA no crea un derecho de acción privado, por lo que los consumidores no pueden demandar directamente a los controladores. La aplicación recae exclusivamente en el Fiscal General de Kentucky bajo KRS 367.3627, que puede buscar sanciones civiles de hasta $7,500 por infracción después de un período de subsanación de 30 días.
¿Hay una tarifa por ejercer mis derechos bajo la KCDPA?
Generalmente no. Bajo KRS 367.3615(3)(c), un controlador debe responder gratuitamente hasta dos veces al año por consumidor. Puede cobrar una tarifa razonable o negarse solo cuando una solicitud sea excesiva, repetitiva, técnicamente inviable o manifiestamente infundada, y el controlador tiene la carga de probar que la solicitud encaja en esa categoría.
¿Puede un controlador obligarme a crear una cuenta para ejercer mis derechos?
No. Bajo KRS 367.3617(5), un controlador no puede exigirle a un consumidor que cree una cuenta nueva para ejercer los derechos de la KCDPA, aunque sí puede exigirle que use una cuenta existente. Un controlador puede, sin embargo, pedir información adicional razonablemente necesaria para autenticar la solicitud bajo KRS 367.3615(3)(d).
Fuentes y referencias
- Kentucky HB 15 (2024): Ley de Protección de Datos del Consumidor de Kentucky (Texto Aprobado del Proyecto de Ley)(apps.legislature.ky.gov).gov
- KRS 367.3615: Solicitud de Derechos del Consumidor, Cumplimiento del Controlador y Proceso de Apelación(apps.legislature.ky.gov).gov
- KRS 367.3617: Limitaciones del Controlador, Aviso de Privacidad y Métodos de Exclusión(apps.legislature.ky.gov).gov
- KRS 367.3611: Definiciones (Venta de Datos Personales, Publicidad Dirigida, Perfilado)(apps.legislature.ky.gov).gov
- KRS 367.3623: Límites de los Derechos del Consumidor sobre Datos Desidentificados y Seudonimizados(apps.legislature.ky.gov).gov
- KRS 367.3627: Aplicación por el Fiscal General y Ausencia de Derecho de Acción Privado(apps.legislature.ky.gov).gov
- Fiscal General de Kentucky: Derechos de los Habitantes de Kentucky bajo la Ley de Protección de Datos del Consumidor de Kentucky(ag.ky.gov).gov
- Asamblea General de Kentucky: Página del Proyecto de Ley HB 15 (Sesión Ordinaria 2024)(apps.legislature.ky.gov).gov