Kentucky
¿Qué es la KCDPA? Privacidad de Datos del Consumidor de Kentucky

La Ley de Protección de Datos del Consumidor de Kentucky (KCDPA), codificada en KRS 367.3611 a 367.3629, es la ley integral de privacidad de datos del consumidor de Kentucky. Fue promulgada como el Proyecto de Ley 15 de la Cámara durante la sesión de 2024, firmada por el Gobernador Andy Beshear el 4 de abril de 2024, y entra en vigor el 1 de enero de 2026, otorgando a los residentes de Kentucky el derecho a acceder, corregir, eliminar y transferir sus datos personales, y a optar por no participar en su venta, la publicidad dirigida y ciertos perfilados.
A partir de 2026, el Fiscal General de Kentucky tiene autoridad de cumplimiento exclusiva y puede solicitar sanciones civiles de hasta $7,500 por infracción conforme a KRS 367.3627. La KCDPA está modelada de cerca según la Ley de Protección de Datos del Consumidor de Virginia, por lo que las empresas ya alineadas con el marco de Virginia encontrarán familiares las obligaciones de Kentucky.
Alcance jurisdiccional: Esto cubre la Ley de Protección de Datos del Consumidor de Kentucky (KRS 367.3611 a 367.3629). Es información legal general, no asesoría legal.
Qué es la KCDPA: Estatuto, Promulgación y Fecha de Vigencia
La Ley de Protección de Datos del Consumidor de Kentucky es la primera ley integral de privacidad de datos del consumidor de Kentucky. Está codificada en las Secciones 367.3611 a 367.3629 de los Estatutos Revisados de Kentucky, dentro del capítulo más amplio de protección al consumidor del estado. La Asamblea General la aprobó como el Proyecto de Ley 15 de la Cámara durante la sesión ordinaria de 2024.
El Gobernador Andy Beshear firmó el proyecto de ley el 4 de abril de 2024. La legislatura incorporó un largo período de transición: la ley no entra en vigor hasta el 1 de enero de 2026. A partir de 2026, esa fecha ya llegó, por lo que toda empresa cubierta está ahora plenamente sujeta a la KCDPA.
La ley se nombra a sí misma expresamente. La Sección 11 del HB 15 establece que la ley "puede citarse como la Ley de Protección de Datos del Consumidor de Kentucky", y la Sección 12 establece la fecha de vigencia del 1 de enero de 2026. La Asamblea General de 2025 posteriormente enmendó la ley mediante el Proyecto de Ley 473 de la Cámara (Capítulo 13), que ajustó las exenciones y los plazos, pero el marco central de derechos y cumplimiento se mantuvo intacto.
Para conocer en detalle las obligaciones del controlador y el procesador, las reglas del aviso de privacidad y los requisitos de evaluación de protección de datos, consulte la página principal de Leyes de Privacidad de Datos de Kentucky.
A Quién Cubre la KCDPA: los Umbrales
La prueba de aplicabilidad de la KCDPA se encuentra en KRS 367.3613. La ley se aplica a una persona que realiza actividades comerciales en Kentucky, o que produce productos o servicios dirigidos a residentes de Kentucky, y que durante un año calendario cumple con uno de dos criterios de volumen de datos.
El primer criterio es controlar o procesar los datos personales de al menos 100,000 consumidores. El segundo es controlar o procesar los datos de al menos 25,000 consumidores mientras se obtiene más del 50 por ciento de los ingresos brutos de la venta de datos personales.
No existe un umbral de ingresos independiente. A diferencia de leyes como la de California, que pueden incluir a una empresa únicamente por sus ingresos anuales, la KCDPA se basa exclusivamente en el volumen de consumidores y la proporción de ingresos por venta de datos. Una empresa pequeña que nunca supera los 100,000 consumidores y que no obtiene la mayor parte de sus ingresos de la venta de datos permanece fuera de la ley.
Un "consumidor" bajo KRS 367.3611 es una persona física que es residente de Kentucky y que actúa únicamente en un contexto individual. La definición excluye expresamente a una persona que actúa en un contexto comercial o laboral, por lo que los datos de la fuerza laboral y los de negocio a negocio quedan fuera de los derechos orientados al consumidor.

Las Exenciones de la KCDPA: Amplias Exclusiones a Nivel de Entidad
La KCDPA exime categorías completas de organizaciones a nivel de entidad conforme a KRS 367.3613(2), una estructura que excluye a muchas empresas independientemente de la cantidad de datos que posean. Varias de estas exenciones son amplias.
Los municipios, las agencias estatales y las subdivisiones políticas del estado están exentos. También lo están las instituciones financieras, sus afiliadas y los datos sujetos al Título V de la Ley federal Gramm-Leach-Bliley. Las entidades y los datos regidos por HIPAA están excluidos, al igual que las organizaciones sin fines de lucro y las instituciones de educación superior.
La ley también exime a ciertas empresas de servicios públicos, incluidas las pequeñas empresas telefónicas y algunas empresas de servicios públicos de propiedad municipal que no venden ni comparten datos personales con un procesador externo. Más allá de las exenciones a nivel de entidad, KRS 367.3613(3) excluye conjuntos de datos específicos, incluida la información de salud protegida, los datos regulados por la Ley federal de Informes Crediticios Justos, los registros educativos regidos por FERPA, y los datos de empleo y de solicitantes.
El efecto práctico es que la población cubierta por la KCDPA es más reducida de lo que sugieren únicamente los umbrales de volumen de consumidores. Una empresa debe evaluar su estatus conforme a KRS 367.3613 en lugar de asumir que está cubierta, ya que las exenciones se estructuran en torno a regímenes federales específicos y roles con licencia.
La Regla de Consentimiento Expreso para Datos Sensibles
Los datos sensibles conllevan una regla más estricta que los datos personales ordinarios. Conforme a KRS 367.3617(1)(e), un controlador no puede procesar datos sensibles relacionados con un consumidor sin obtener primero el consentimiento del consumidor. Este es un modelo de consentimiento expreso (opt-in): el estado predeterminado es la ausencia de procesamiento hasta que el consumidor otorgue su acuerdo afirmativo.
Los datos sensibles se definen en KRS 367.3611. Incluyen los datos personales que revelan el origen racial o étnico, las creencias religiosas, un diagnóstico de salud mental o física, la orientación sexual, o el estatus de ciudadanía o inmigración. También incluyen los datos genéticos o biométricos procesados para identificar de manera única a una persona, los datos personales recopilados de un menor conocido y los datos de geolocalización precisa.
El "consentimiento" bajo la KCDPA no es una casilla oculta. KRS 367.3611 lo define como un acto afirmativo claro que significa el acuerdo libremente otorgado, específico, informado e inequívoco de un consumidor para procesar datos personales. Para los datos sensibles recopilados de un menor conocido, el controlador debe seguir en cambio la ley federal Children's Online Privacy Protection Act. Debido a que la barrera de consentimiento se ubica frente a una categoría completa de datos, definir correctamente qué son los datos sensibles es una prioridad operativa para las empresas cubiertas.

El Clon de Virginia: Por Qué la KCDPA Resulta Familiar
La característica distintiva de la KCDPA no es una disposición novedosa, sino su semejanza casi idéntica con la Ley de Protección de Datos del Consumidor de Virginia, la primera de las leyes estatales modernas de privacidad. La legislatura de Kentucky copió de cerca la estructura de Virginia, desde las definiciones en KRS 367.3611 hasta el conjunto de derechos en KRS 367.3615 y el modelo de cumplimiento en KRS 367.3627.
Ese linaje importa para las empresas multiestatales. Una empresa que construyó su programa en torno a la ley de Virginia reconocerá el criterio de 100,000 consumidores de Kentucky, su regla de consentimiento expreso para datos sensibles, su plazo de respuesta de 45 días, sus deberes de evaluación de protección de datos, y su cumplimiento exclusivo del Fiscal General con un período de subsanación. La terminología de "controlador", "procesador", "consumidor" y "datos sensibles" es la misma.
Una consecuencia del modelo de Virginia es lo que la KCDPA deja fuera. La ley no exige que los controladores respeten un mecanismo de exclusión universal como la señal del navegador Control Global de Privacidad. KRS 367.3617 exige que los controladores divulguen y proporcionen sus propios métodos de exclusión, pero el estatuto no contiene ningún requisito de reconocer una señal global, una característica que varias leyes estatales más recientes añadieron, pero que Virginia y Kentucky no incluyeron.
Para conocer los derechos en sí y cómo invocarlos, consulte la guía de derechos del consumidor bajo la KCDPA.
KCDPA vs. CCPA: las Diferencias Clave
La KCDPA de Kentucky y la CCPA de California son frecuentemente comparadas por las empresas que operan a nivel nacional. La página de comparación de leyes estatales de privacidad de datos cubre el panorama multiestatal más amplio, pero varias diferencias entre la KCDPA y la CCPA de California destacan.
| Característica | Kentucky KCDPA | California CCPA/CPRA |
|---|---|---|
| Umbral de cobertura | 100,000 consumidores, O 25,000 consumidores más el 50% de ingresos por venta de datos | $25M de ingresos, O 100,000 consumidores, O 50% de ingresos por venta de datos |
| Criterio basado solo en ingresos | No; se basa en el volumen de consumidores y la proporción de ingresos por venta de datos | Sí; $25M de ingresos anuales por sí solos pueden incluir a una empresa |
| Modelo | Marco al estilo de Virginia (controlador y procesador) | Marco independiente de California (negocio y proveedor de servicios) |
| Datos sensibles | Se requiere consentimiento expreso (KRS 367.3617(1)(e)) | Derecho a limitar el uso; modelo de exclusión |
| Señal de exclusión universal | No exigida | Se exige respetar las señales de preferencia de exclusión |
| Derecho de acción privado | Ninguno (KRS 367.3627(4)) | Limitado, para ciertas violaciones de datos |
| Período de subsanación | Subsanación permanente de 30 días (KRS 367.3627(2)) | La disposición de subsanación se ha reducido con el tiempo |
La diferencia más significativa es la estructura de umbrales. California puede alcanzar a una empresa únicamente por sus ingresos, mientras que Kentucky se basa en el volumen de consumidores y la proporción de ingresos por venta de datos, por lo que una empresa de altos ingresos con pocos consumidores de Kentucky puede quedar fuera de la KCDPA.
La segunda diferencia importante es el modelo de exclusión. California exige que las empresas respeten las señales de preferencia de exclusión universal, mientras que Kentucky no lo hace. Una empresa cubierta por la KCDPA debe proporcionar sus propios métodos de exclusión, pero no está obligada a reconocer una señal global del navegador a partir de 2026.
More Kentucky Laws
- Kentucky AI Meeting Recording Laws
- Kentucky Alimony Laws
- Kentucky At-Will Employment Laws
- Kentucky Car Accident Laws
- Kentucky Car Seat Laws
- Kentucky Child Custody Laws
- Kentucky Child Support Laws
- Kentucky Common Law Marriage Laws
- Kentucky Deepfake Laws
- Kentucky Divorce Laws
- Kentucky Dog Bite Laws
- Kentucky Emancipation Laws
- Kentucky Expungement Laws
- Kentucky Hit and Run Laws
- Kentucky Landlord-Tenant Laws
- Kentucky Lemon Laws
Guías relacionadas
Preguntas frecuentes
¿Qué es la KCDPA?
La KCDPA, o Ley de Protección de Datos del Consumidor de Kentucky, es la ley integral de privacidad de datos del consumidor de Kentucky, codificada en KRS 367.3611 a 367.3629. Fue promulgada como el Proyecto de Ley 15 de la Cámara, firmada por el Gobernador Andy Beshear el 4 de abril de 2024, y entra en vigor el 1 de enero de 2026. Otorga a los residentes de Kentucky derechos sobre sus datos personales y exige que las empresas cubiertas sean transparentes sobre cómo los recopilan, usan y divulgan.
¿Cuándo entró en vigor la KCDPA?
La KCDPA entra en vigor el 1 de enero de 2026, más de un año y medio después de ser firmada el 4 de abril de 2024. El largo período de transición dio a las empresas cubiertas tiempo para desarrollar programas de privacidad antes de que comenzaran sus obligaciones. A partir de 2026, la fecha de vigencia ya llegó y toda empresa cubierta está plenamente sujeta a la ley.
¿Quién debe cumplir con la KCDPA?
Conforme a KRS 367.3613, la KCDPA se aplica a una empresa que realiza actividades comerciales en Kentucky o se dirige a residentes de Kentucky y que, en un año calendario, controla o procesa los datos personales de al menos 100,000 consumidores, o de al menos 25,000 consumidores mientras obtiene más del 50 por ciento de sus ingresos brutos de la venta de datos personales. No existe un criterio independiente basado únicamente en ingresos.
¿Es la KCDPA lo mismo que la ley de privacidad de Virginia?
Casi. La legislatura de Kentucky modeló la KCDPA de cerca según la Ley de Protección de Datos del Consumidor de Virginia, compartiendo las mismas definiciones, el mismo conjunto de derechos en KRS 367.3615, la misma regla de consentimiento expreso para datos sensibles, y el mismo cumplimiento exclusivo del Fiscal General con un período de subsanación. Una empresa ya alineada con el marco de Virginia encontrará familiares las obligaciones de Kentucky.
¿La KCDPA exige consentimiento para los datos sensibles?
Sí. Conforme a KRS 367.3617(1)(e), un controlador no puede procesar datos sensibles sin obtener primero el consentimiento del consumidor, un modelo de consentimiento expreso. Los datos sensibles conforme a KRS 367.3611 incluyen los datos que revelan el origen racial o étnico, las creencias religiosas, un diagnóstico de salud, la orientación sexual, o el estatus migratorio, además de los datos genéticos o biométricos utilizados para identificar a una persona, los datos de un menor conocido y la geolocalización precisa.
¿La KCDPA exige respetar una señal de exclusión universal?
No. La KCDPA no exige que los controladores reconozcan un mecanismo de exclusión universal como la señal del navegador Control Global de Privacidad. KRS 367.3617 exige que los controladores divulguen y proporcionen sus propios métodos de exclusión, pero el estatuto no contiene ningún requisito de respetar una señal de exclusión global, lo que coincide con el modelo de Virginia en el que se basó.
¿En qué se diferencia la KCDPA de la CCPA?
La KCDPA se basa en el volumen de consumidores y la proporción de ingresos por venta de datos, en lugar de ofrecer un criterio basado únicamente en ingresos como el umbral de $25 millones de California. Utiliza un modelo de consentimiento expreso para los datos sensibles, mientras que California utiliza un derecho a limitar. No exige respetar las señales de exclusión universal, mientras que California sí lo hace. Y no tiene derecho de acción privado, mientras que California permite uno limitado para ciertas violaciones.
¿Quién hace cumplir la KCDPA?
El Fiscal General de Kentucky tiene autoridad de cumplimiento exclusiva conforme a KRS 367.3627. No existe un derecho de acción privado. Antes de demandar, el Fiscal General debe otorgar un aviso por escrito de 30 días y una oportunidad de subsanación, y ese período de subsanación es permanente, sin fecha de vencimiento. Las sanciones civiles alcanzan hasta $7,500 por infracción y se depositan en un fondo de privacidad del consumidor conforme a KRS 367.3629.
Fuentes y referencias
- Kentucky HB 15 (2024): Ley de Protección de Datos del Consumidor de Kentucky (Texto del Proyecto de Ley Promulgado)(apps.legislature.ky.gov).gov
- Asamblea General de Kentucky: Página del Proyecto de Ley HB 15 (Sesión Ordinaria de 2024)(apps.legislature.ky.gov).gov
- KRS 367.3611: Definiciones para KRS 367.3611 a 367.3629(apps.legislature.ky.gov).gov
- KRS 367.3613: Aplicación, Limitaciones y Exenciones(apps.legislature.ky.gov).gov
- KRS 367.3615: Proceso de Solicitud y Apelación de Derechos del Consumidor(apps.legislature.ky.gov).gov
- KRS 367.3617: Limitaciones del Controlador y Consentimiento de Datos Sensibles(apps.legislature.ky.gov).gov
- KRS 367.3627: Cumplimiento del Fiscal General, Período de Subsanación y Sanciones Civiles(apps.legislature.ky.gov).gov
- KRS 367.3629: Fondo de Privacidad del Consumidor(apps.legislature.ky.gov).gov
- Fiscal General de Kentucky: Derechos de los Habitantes de Kentucky bajo la Ley de Protección de Datos del Consumidor de Kentucky(ag.ky.gov).gov