Con la Ley de Protección de Datos de los Consumidores de Kentucky(KCDPA), Kentucky se une a la creciente lista de estados de EE.UU. que han aprobado una ley integral de protección de datos de los consumidores.
La KCDPA es similar a otras leyes de privacidad estatales de Estados Unidos, pero difiere en que no tiene umbrales monetarios para su ámbito legal, pero sí establece límites a la recogida de datos.
En esta guía, le explicaré todo lo que necesita saber sobre la KCDPA, incluidos sus requisitos, a quién protege y cómo afecta a consumidores y empresas.
- ¿Qué es la Ley de Protección de Datos de los Consumidores de Kentucky (KCDPA)?
- Términos clave y definiciones de la KCDPA
- ¿Qué cubre la Ley de Protección de Datos de los Consumidores de Kentucky?
- Requisitos de la Ley de Protección de Datos de los Consumidores de Kentucky
- Ley de Protección de Datos de los Consumidores de Kentucky frente a otros Estados: Similitudes y diferencias
- ¿Cómo afectará la KCDPA a los consumidores?
- ¿A quién se aplica la KCDPA?
- ¿Cómo afectará la KCDPA a las empresas?
- ¿Quién debe cumplir la nueva Ley de Protección de Datos de Kentucky?
- ¿Cómo pueden prepararse las empresas para la KCDPA?
- ¿Cómo se hará cumplir la KCDPA?
- Multas y sanciones en virtud de la Ley de Protección de Datos de los Consumidores de Kentucky
- ¿Cómo ayudará Termly a cumplir la KCDPA?
- ¿Existen otras leyes relacionadas con la privacidad en Kentucky?
- Resumen
¿Qué es la Ley de Protección de Datos de los Consumidores de Kentucky (KCDPA)?
La Ley de Protección de Datos de los Consumidores de Kentucky es la primera ley integral de protección de datos de los consumidores del Estado y la decimoquinta de Estados Unidos.
Su objetivo es dar a los residentes de Kentucky más control sobre cómo se recoge, procesa y utiliza su información personal en línea.
También esboza directrices y requisitos para las empresas que utilizan esta información y describe las sanciones por infringir la ley.
Fecha de entrada en vigor de la KCDPA
La KCDPA entrará en vigor el 1 de enero de 2026.
Términos clave y definiciones de la KCDPA
A continuación se definen varios términos clave de la KCDPA tal y como aparecen en el texto de la ley:
Estos términos se utilizan en esta guía de acuerdo con las definiciones de la KCDPA.
¿Qué cubre la Ley de Protección de Datos de los Consumidores de Kentucky?
La nueva ley de privacidad de datos de Kentucky cubre los datos personales de los residentes en Kentucky, pero los excluye:
- Información sanitaria protegida en virtud de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA)
- Registros sanitarios
- Registros identificativos de los pacientes
- Información privada identificable a efectos de la política federal de protección de los seres humanos conforme a 45 C.F.R. pt. 46
- Información y documentos creados a efectos de la Ley federal de Mejora de la Calidad de la Atención Sanitaria de 1986
- Producto del trabajo sobre seguridad del paciente a efectos de la Ley federal de Seguridad del Paciente y Mejora de la Calidad
Requisitos de la Ley de Protección de Datos de los Consumidores de Kentucky
A continuación, repasaré algunos de los principales requisitos que deben cumplir las empresas en virtud de la KCDPA.
Tratamiento lícito de datos personales
En virtud de la KCDPA, los responsables del tratamiento deben limitar la recogida de datos a lo que sea adecuado, pertinente y razonablemente necesario para alcanzar los fines para los que se tratan los datos, tal como se han comunicado al consumidor.
Para tratar datos más allá de este ámbito, debe obtener el consentimiento de los usuarios.
También se requiere el consentimiento para recopilar información personal sensible de consumidores de Kentucky o datos de niños conocidos.
Consentimiento
El consentimiento en virtud de la nueva ley de privacidad de datos de Kentucky se define como un acto afirmativo y claro que significa el acuerdo libremente dado, específico, informado e inequívoco de un consumidor y puede incluir:
- Una declaración escrita
- Una declaración electrónica
- Cualquier otra acción inequívoca
Solicitudes de consumidores autenticados
En virtud de la KCDPA, las empresas cubiertas están obligadas a ofrecer a los consumidores una o varias formas de presentar solicitudes autenticadas para hacer valer sus derechos a la intimidad.
Los responsables del tratamiento deben responder a las solicitudes en un plazo de 45 días, que puede prorrogarse otros 45 días en función de la complejidad y el número de solicitudes.
La información que responda a una solicitud de un consumidor debe ser gratuita hasta dos veces al año.
No obstante, se podrá cobrar al consumidor una tasa razonable que cubra los costes administrativos si las solicitudes son excesivas, repetitivas, técnicamente inviables o manifiestamente infundadas.
Obligaciones contractuales entre responsables y encargados del tratamiento
La KCDPA exige que tanto los responsables como los encargados del tratamiento firmen un contrato que establezca las siguientes obligaciones para recoger y tratar legalmente los datos personales:
- Establecer instrucciones claras para el tratamiento de los datos personales, su naturaleza y finalidad, el tipo de datos objeto de tratamiento, la duración del tratamiento y los derechos de ambas partes.
- Garantizar que cada una de las partes está sujeta a un deber de confidencialidad con respecto a los datos personales.
- Exigir al encargado del tratamiento que suprima o devuelva todos los datos personales al responsable del tratamiento previa solicitud, a menos que la ley exija su conservación.
- Exigir al encargado del tratamiento que coopere con las evaluaciones razonables realizadas por el responsable del tratamiento o por un evaluador designado para llevar a cabo evaluaciones de las políticas del encargado del tratamiento.
- Exigir al encargado del tratamiento que ponga a disposición del responsable del tratamiento toda la información que obre en su poder para demostrar el cumplimiento de la KCDPA.
- Exija a los subcontratistas que firmen un contrato con los mismos requisitos.
Evaluaciones de impacto de la protección de datos
La KCDPA exige que los responsables del tratamiento realicen y documenten evaluaciones de impacto de la protección de datos para participar en las siguientes actividades de tratamiento:
- Tratamiento de datos para publicidad dirigida
- Venta de datos personales
- Tratamiento de datos para la elaboración de perfiles
- Tratamiento de datos personales sensibles
- Tratamiento de datos que presentan un mayor riesgo de perjuicio para el consumidor
La evaluación debe identificar y sopesar los beneficios del tratamiento de datos frente a los posibles riesgos de perjudicar al responsable del tratamiento.
Se puede utilizar una única evaluación si aborda otras leyes con alcances y efectos razonablemente comparables a los de la KCDPA.
Requisitos de seguridad de los datos
En virtud de la nueva ley de privacidad de Kentucky, los responsables del tratamiento deben establecer, aplicar y mantener medidas razonables de seguridad administrativa, técnica y física de los datos para proteger la confidencialidad, integridad y accesibilidad de la información.
Las medidas de seguridad deben ser adecuadas al volumen y la naturaleza de los datos personales que recoge una empresa.
Ley de Protección de Datos de los Consumidores de Kentucky frente a otros Estados: Similitudes y diferencias
En EE.UU. existen otras leyes de privacidad a nivel estatal, entre ellas las siguientes:
- Ley de Protección del Consumidor de California (CCPA), modificada por la Ley de Derechos de Privacidad de California (CPRA) - actualmente en vigor
- Ley de Privacidad de Colorado (CPA) - actualmente en vigor
- Ley de Privacidad de Datos de Connecticut (CTDPA) - actualmente en vigor
- Ley de Privacidad de Datos Personales de Delaware (DPDPA) - actualmente en vigor
- Carta de Derechos Digitales de Florida (FDBR) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Iowa (Iowa CDPA) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Indiana (Indiana CDPA) - en vigor desde el 1 de enero de 2026
- Ley de Protección de Datos de los Consumidores de Minnesota (MCDPA) - en vigor desde el 31 de julio de 2025
- Ley de Privacidad de Datos en Línea de Maryland (MODPA) - en vigor desde el 1 de octubre de 2025
- Ley de Protección de Datos de los Consumidores de Montana (MCDPA) - actualmente en vigor
- Ley de Protección de Datos de Nebraska (NDPA) - actualmente en vigor
- Ley de Privacidad de Datos de New Hampshire (NHDPL) - actualmente en vigor
- Ley de Protección de Datos de Nueva Jersey (NJDPA) - actualmente en vigor
- Ley de Privacidad del Consumidor de Oregón (OCPA) - actualmente en vigor
- Ley de Protección de la Información de Tennessee (TIPA) - en vigor desde el 1 de julio de 2025
- Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) - actualmente en vigor
- Ley de Privacidad del Consumidor de Utah (UCPA) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) - actualmente en vigor
Compare la ley de privacidad de Kentucky con estas otras leyes de privacidad en la siguiente tabla.
| Legislación estatal | Consentimiento expreso para determinados tipos de tratamiento de datos | Consentimiento expreso para determinados tipos de tratamiento de datos | Debe presentar a los usuarios una política de privacidad (o aviso) | Requiere evaluaciones de protección de datos | Esboza la obligación contractual con terceros procesadores | Permite las demandas civiles o el derecho de acción privado | Debe respetar los controles globales de privacidad y la configuración de privacidad del navegador. |
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de Indiana | ✓ | ✓ | ✓ | ✓ | |||
| Iowa CDPA | ✓ | ✓ | ✓ | ||||
| MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
¿Cómo afectará la KCDPA a los consumidores?
La nueva ley de privacidad de datos de Kentucky afecta a los consumidores al concederles los siguientes derechos:
-
- Confirmar si un responsable del tratamiento está tratando sus datos personales
- Acceder a los datos personales recogidos sobre ellos
- Corregir inexactitudes en sus datos personales
- Borrar sus datos personales
- Obtener una copia portátil de sus datos cuando sea técnicamente factible.
- Exclusión voluntaria de la publicidad dirigida
- Exclusión voluntaria de la venta de datos personales
- Exclusión voluntaria de la elaboración de perfiles en relación con decisiones que produzcan efectos jurídicos o de importancia similar
¿A quién se aplica la KCDPA?
La KCDPA se aplica a los residentes de Kentucky que actúan en un contexto individual.
No se aplica a ninguna persona del Estado que actúe en un contexto comercial o laboral.
¿Cómo afectará la KCDPA a las empresas?
Además de los requisitos mencionados anteriormente en esta guía, la KCDPA también afecta a las políticas de privacidad y cookies de las empresas.
¿Cómo afectará la KCDPA a mi política de privacidad?
La KCDPA exige a los responsables del tratamiento que presenten a los consumidores un aviso de privacidad razonablemente accesible, claro y significativo que incluya los siguientes datos:
- Categorías de datos personales tratados por los responsables del tratamiento
- Finalidad del tratamiento
- Cómo pueden los consumidores ejercer sus derechos y detalles sobre cómo pueden recurrir una decisión del responsable del tratamiento en relación con una solicitud.
- Las categorías de datos personales que el responsable del tratamiento comparte con terceros
- Las categorías de los propios terceros
- Si el responsable del tratamiento vende datos personales a terceros o los procesa para publicidad selectiva
- Detalles sobre cómo el consumidor puede ejercer su derecho a excluirse de dicho tratamiento
En su política de privacidad, también debe establecer y describir una o varias vías seguras y fiables para que los consumidores presenten solicitudes para hacer valer sus derechos.
¿Cómo afectará el KCDPA a mi política de cookies?
La KCDPA afecta a las políticas de cookies porque, según esta ley, los consumidores tienen derecho a rechazar la publicidad dirigida y la venta de sus datos, lo que puede hacerse instalando cookies en los navegadores de los usuarios.
Debe asegurarse de que su política de cookies es exacta y está actualizada, y presentarla a los usuarios siguiendo las pautas de notificación marcadas por la ley.
Considere la posibilidad de incluir una cláusula en su política de privacidad que explique cómo utiliza las cookies u otros rastreadores y añadir un enlace directo a su página política de cookies.
¿Quién debe cumplir la nueva Ley de Protección de Datos de Kentucky?
Su empresa debe cumplir la KCDPA si realiza actividades comerciales en el estado o dirige sus productos y servicios a residentes en el mismo y cumple una de las siguientes condiciones durante un año natural:
- Trata y controla los datos personales de al menos 100.000 consumidores o
- Procesa y controla los datos personales de al menos 25.000 consumidores y obtiene el 50% de los ingresos brutos anuales de la venta de datos personales.
A diferencia de muchas otras leyes de privacidad de Estados Unidos, Kentucky no establece un umbral monetario.
¿Quién está exento de la KCDPA?
Las siguientes entidades están exentas de los requisitos de la KCDPA:
- Entidades políticas municipales y estatales
- Entidades financieras sujetas al Título V de la Ley Gramm-Leach-Bliley(GLBA)
- Entidades cubiertas por el Departamento de Sanidad y Servicios Humanos de Estados Unidos y la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA).
- Organizaciones sin ánimo de lucro
- Instituciones de enseñanza superior
- Fuerzas y cuerpos de seguridad en relación con presuntos actos delictivos o fraudulentos relacionados con los seguros
- Primeros intervinientes en caso de catástrofe
- Pequeñas empresas de telefonía
¿Cómo pueden prepararse las empresas para la KCDPA?
Para prepararse para la KCDPA, las empresas deben planificar la actualización de su política de privacidad para cumplir con todos los requisitos de notificación establecidos por la nueva ley.
Asegúrese de que su sitio política de cookies también está actualizado, especialmente si vende datos recogidos a través de cookies, utiliza cookies para realizar publicidad dirigida o recopila información sensible.
Ofrezca a sus usuarios una o varias formas de hacer valer sus derechos, como proporcionarles un banner de consentimiento y un formulario de Solicitud de Acceso del Sujeto a los Datos (DSAR).
Realizar evaluaciones de impacto de la protección de datos según sea necesario.
Por último, utilice contratos conformes con la normativa con los procesadores de datos con los que trabaje.
¿Cómo se hará cumplir la KCDPA?
El Fiscal General tiene la autoridad exclusiva para hacer cumplir las infracciones de la KCDPA.
Se enviará una notificación por escrito de las supuestas infracciones al responsable o encargado del tratamiento, que dispondrá de 30 días para subsanar la infracción y devolver la notificación por escrito.
No hacerlo adecuadamente dará lugar a multas.
Multas y sanciones en virtud de la Ley de Protección de Datos de los Consumidores de Kentucky
Las multas por infringir la KCDPA pueden alcanzar los 7.500 dólares por incidente.
Los consumidores no tienen derecho a emprender acciones privadas en virtud de esta ley.
¿Cómo ayudará Termly a cumplir la KCDPA?
Termly ayudará a simplificar el cumplimiento de leyes como la KCDPA al garantizar que nuestra Generador de política de privacidad incluye todas las cláusulas necesarias previstas por la ley antes de su entrada en vigor.
Nuestro generador formula preguntas sencillas sobre su empresa y sus actividades de tratamiento de datos, y luego elabora una política única y completa basada en sus respuestas.
También proporcionamos una plataforma gestión del consentimiento (CMP) que puede configurarse para cumplir todos los requisitos de exclusión voluntaria descritos en la KCDPA.
¿Existen otras leyes relacionadas con la privacidad en Kentucky?
Si bien la KCDPA es la primera ley integral de protección de la privacidad de los consumidores en el estado, existen varias otras leyes relacionadas con la privacidad en Kentucky, incluyendo las siguientes:
- Capítulo 365, Parte 365.732 de los Estatutos Revisados de Kentucky: Describe los requisitos de notificación de violación de datos de Kentucky.
- La Ley de Privacidad de la Información Genética: Ofrece a los consumidores un mayor control sobre el modo en que entidades externas recogen, utilizan y divulgan su material genético.
- Ley de Seguridad de los Datos de Seguros: Obliga a las aseguradoras a proteger los datos de los consumidores y a realizar evaluaciones de riesgos.
Resumen
Las empresas que entran en el umbral de la Ley de Protección de Datos de los Consumidores de Kentucky tienen hasta el 1 de enero de 2025 para prepararse para los requisitos de esta ley, que incluyen:
- Presentar a los usuarios una política de privacidad conforme.
- Proporcionar a los usuarios una o varias formas de hacer valer sus derechos, como un formulario DSAR y un banner de consentimiento.
- Utilizar contratos conformes con la normativa con cualquier procesador de datos o subcontratista.
- Realización de evaluaciones de impacto de la protección de datos para diversos tipos de tratamiento de datos de alto riesgo.
- Aplicar medidas de seguridad adecuadas para proteger los datos de accesos no autorizados o infracciones.
Facilite aún más el cumplimiento de la normativa utilizando nuestro Generador de Política de Privacidad y CMP para ayudarle a cumplir algunos de los requisitos de la KCDPA.
Más sobre el autor
Escrito por Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy es abogada especializada en privacidad con experiencia previa en privacidad y ciberseguridad en los sectores público y privado. Como antigua Westin Fellow en la IAPP, publicó varios artículos, libros blancos e infografías, y dirigió, coordinó y moderó seminarios web y paneles, todos ellos sobre privacidad y tecnología de la privacidad en Estados Unidos. Anokhy obtuvo su máster en la Universidad Carnegie Mellon y su doctorado en Derecho en la Universidad de Pittsburgh. Más sobre el autor
