Legge sulla protezione dei dati dei consumatori del Kentucky: Primo sguardo e sintesi

Con il Kentucky Consumer Data Protection Act(KCDPA), il Kentucky si unisce alla lista crescente di Stati americani che hanno approvato una legge completa sulla privacy dei dati dei consumatori.

Il KCDPA è simile ad altre leggi sulla privacy degli Stati Uniti, ma si differenzia per il fatto che non prevede soglie monetarie per la sua portata legale, ma delinea limiti alla raccolta dei dati.

In questa guida vi illustrerò tutto quello che c'è da sapere sul KCDPA, tra cui cosa richiede, chi protegge e come influisce su consumatori e imprese.

Che cos'è la legge sulla protezione dei dati dei consumatori del Kentucky (KCDPA)?

Il Kentucky Consumer Data Protection Act è la prima legge completa sulla privacy dei dati dei consumatori nello Stato e la quindicesima negli Stati Uniti.

Il suo scopo è quello di dare agli abitanti del Kentucky un maggiore controllo sulle modalità di raccolta, elaborazione e utilizzo online dei loro dati personali.

Inoltre, delinea le linee guida e i requisiti per le aziende che utilizzano queste informazioni e descrive le sanzioni in caso di violazione della legge.

Data di entrata in vigore del KCDPA

Il KCDPA entrerà in vigore il 1° gennaio 2026.

Termini e definizioni chiave del KCDPA

Di seguito sono riportati alcuni termini chiave del KCDPA definiti come appaiono nel testo della legge:

Questi termini sono utilizzati nella presente guida in linea con le definizioni del KCDPA.

Cosa prevede la legge sulla protezione dei dati dei consumatori del Kentucky?

La nuova legge sulla privacy del Kentucky copre i dati personali dei residenti del Kentucky, ma ne è esclusa:

• Informazioni sanitarie protette ai sensi dell'Health Insurance Portability and Accountability Act (HIPAA).
• Cartelle cliniche
• Documentazione identificativa del paziente
• Informazioni private identificabili ai fini della politica federale per la protezione dei soggetti umani ai sensi del 45 C.F.R. pt. 46
• Informazioni e documenti creati ai fini dell'Health Care Quality Improvement Act del 1986.
• Prodotto di lavoro per la sicurezza dei pazienti ai fini della legge federale sulla sicurezza dei pazienti e il miglioramento della qualità.

Requisiti della legge sulla protezione dei dati dei consumatori del Kentucky

Ora vi illustrerò alcuni dei principali requisiti che le aziende devono rispettare in base al KCDPA.

Trattamento lecito dei dati personali

Ai sensi del KCDPA, i responsabili del trattamento devono limitare la raccolta dei dati solo a ciò che è adeguato, pertinente e ragionevolmente necessario per raggiungere gli scopi per cui i dati sono trattati, come comunicato al consumatore.

Per trattare i dati al di là di questo ambito, è necessario ottenere il consenso degli utenti.

Il consenso è necessario anche per raccogliere informazioni personali sensibili da consumatori del Kentucky o dati di bambini conosciuti.

Consenso

Il consenso ai sensi della nuova legge sulla privacy del Kentucky è definito come un atto affermativo e chiaro che indica il consenso liberamente dato, specifico, informato e inequivocabile di un consumatore e può includere:

• Una dichiarazione scritta
• Una dichiarazione elettronica
• Qualsiasi altra azione non ambigua

Richieste di consumatori autenticati

In base al KCDPA, le aziende coperte sono tenute a presentare ai consumatori uno o più modi per presentare richieste autenticate di tutela dei loro diritti alla privacy.

I controllori devono rispondere alle richieste entro 45 giorni, che possono essere prorogati di altri 45 giorni, a seconda della complessità e del numero delle richieste.

Le informazioni che rispondono a una richiesta del consumatore devono essere gratuite fino a due volte l'anno.

Tuttavia, se le richieste sono eccessive, ripetitive, tecnicamente inattuabili o manifestamente infondate, al consumatore può essere addebitato un costo ragionevole a copertura dei costi amministrativi.

Obblighi contrattuali tra responsabili e incaricati del trattamento

Il KCDPA richiede ai responsabili del trattamento e agli incaricati del trattamento di sottoscrivere un contratto in cui sono indicati i seguenti obblighi per raccogliere e trattare legittimamente i dati personali:

• Stabilire istruzioni chiare per il trattamento dei dati personali, la loro natura e finalità, il tipo di dati soggetti al trattamento, la durata del trattamento e i diritti di entrambe le parti.
• Assicurarsi che ogni parte sia soggetta a un obbligo di riservatezza per quanto riguarda i dati personali.
• Richiedere all'incaricato del trattamento di cancellare o restituire tutti i dati personali al responsabile del trattamento su richiesta, a meno che la conservazione non sia richiesta dalla legge.
• Richiedere all'incaricato del trattamento di collaborare a ragionevoli valutazioni da parte del responsabile del trattamento o di un valutatore designato per condurre valutazioni delle politiche dell'incaricato del trattamento.
• Richiedere all'incaricato del trattamento di mettere a disposizione del responsabile del trattamento tutte le informazioni in suo possesso per dimostrare la conformità al KCDPA.
• Chiedete a tutti i subappaltatori di firmare un contratto che definisca gli stessi requisiti.

Valutazioni d'impatto sulla protezione dei dati

Il KCDPA richiede ai responsabili del trattamento di condurre e documentare valutazioni d'impatto sulla protezione dei dati per partecipare alle seguenti attività di trattamento:

• Elaborazione dei dati per la pubblicità mirata
• Vendita di dati personali
• Trattamento dei dati per finalità di profilazione
• Trattamento dei dati personali sensibili
• Elaborazione di dati che presentano un rischio elevato di danno per il consumatore

La valutazione deve identificare e soppesare i vantaggi del trattamento dei dati rispetto ai possibili rischi di danneggiare il responsabile del trattamento.

È possibile utilizzare un'unica valutazione se questa riguarda altre leggi con ambiti di applicazione ed effetti ragionevolmente comparabili a quelli del KCDPA.

Requisiti di sicurezza dei dati

I responsabili del trattamento ai sensi della nuova legge sulla privacy del Kentucky devono stabilire, attuare e mantenere ragionevoli misure di sicurezza amministrative, tecniche e fisiche dei dati per proteggere la riservatezza, l'integrità e l'accessibilità delle informazioni.

Le misure di sicurezza devono essere adeguate al volume e alla natura dei dati personali raccolti dall'azienda.

Legge sulla protezione dei dati dei consumatori del Kentucky rispetto ad altri Stati: Somiglianze e differenze

Negli Stati Uniti esistono diverse altre leggi sulla privacy a livello statale, tra cui le seguenti:

• California Consumer Protection Act (CCPA), come modificato dal California Privacy Rights Act (CPRA) - attualmente in vigore
• Legge sulla privacy del Colorado (CPA) - attualmente in vigore
• Legge sulla privacy dei dati del Connecticut (CTDPA) - attualmente in vigore
• Legge sulla privacy dei dati personali del Delaware (DPDPA) - attualmente in vigore
• Carta dei diritti digitali della Florida (FDBR) - attualmente in vigore
• Legge sulla protezione dei dati dei consumatori dello Iowa (Iowa CDPA) - attualmente in vigore
• Legge sulla protezione dei dati dei consumatori dell'Indiana (Indiana CDPA) - entrata in vigore il 1° gennaio 2026
• Legge sulla privacy dei dati dei consumatori del Minnesota (MCDPA) - in vigore dal 31 luglio 2025.
• Legge sulla privacy dei dati online del Maryland (MODPA) - in vigore dal 1° ottobre 2025
• Legge sulla privacy dei consumatori del Montana (MCDPA) - attualmente in vigore
• Nebraska Data Privacy Act (NDPA) - attualmente in vigore
• Legge sulla privacy dei dati del New Hampshire (NHDPL) - attualmente in vigore
• Legge sulla privacy dei dati del New Jersey (NJDPA) - attualmente in vigore
• Legge sulla privacy dei consumatori dell'Oregon (OCPA) - attualmente in vigore
• Legge sulla protezione delle informazioni del Tennessee (TIPA) - in vigore dal 1° luglio 2025
• Legge sulla privacy e la sicurezza dei dati del Texas (TDPSA) - attualmente in vigore
• Legge sulla privacy dei consumatori dello Utah (UCPA) - attualmente in vigore
• Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA) - attualmente in vigore

Confrontate la legge sulla privacy del Kentucky con questi altri atti legislativi sulla privacy nella tabella seguente.

Che impatto avrà il KCDPA sui consumatori?

La nuova legge sulla privacy del Kentucky ha un impatto sui consumatori, garantendo loro i seguenti diritti:

• • Confermare se un responsabile del trattamento sta trattando i loro dati personali
  • Accedere ai dati personali raccolti su di loro
  • Correggere le inesattezze dei propri dati personali
  • Cancellare i propri dati personali
  • Ottenere una copia portatile dei propri dati, quando tecnicamente possibile.
  • Opt-out di pubblicità mirata
  • Opt-out dalla vendita di dati personali
  • Opt-out della profilazione a sostegno di decisioni che producono effetti legali o di analoga rilevanza

A chi si applica il KCDPA?

Il KCDPA si applica ai residenti del Kentucky che agiscono in un contesto individuale.

Non si applica a chiunque nello Stato agisca in un contesto commerciale o lavorativo.

Che impatto avrà il KCDPA sulle imprese?

Oltre ai requisiti citati in precedenza in questa guida, il KCDPA influisce anche sulle politiche di privacy e sui cookie delle aziende.

In che modo il KCDPA influisce sulla mia politica sulla privacy?

Il KCDPA richiede che i responsabili del trattamento presentino ai consumatori un'informativa sulla privacy ragionevolmente accessibile, chiara e significativa che includa i seguenti dettagli:

• Le categorie di dati personali trattati dai responsabili del trattamento
• Lo scopo del trattamento
• Come i consumatori possono esercitare i loro diritti e i dettagli su come possono ricorrere contro la decisione del responsabile del trattamento in merito a una richiesta
• Le categorie di dati personali che il responsabile del trattamento condivide con terzi
• Le categorie dei terzi stessi
• Se il responsabile del trattamento vende i dati personali a terzi o li elabora per pubblicità mirate
• Informazioni sulle modalità con cui il consumatore può esercitare il proprio diritto di non partecipare a tale trattamento

Nella vostra politica sulla privacy, dovete anche stabilire e descrivere uno o più modi sicuri e affidabili per i consumatori di presentare richieste di intervento sui loro diritti.

In che modo il KCDPA influisce sulla mia politica sui cookie?

Il KCDPA influisce sulle politiche sui cookie perché i consumatori, in base a questa legge, hanno il diritto di rifiutare la pubblicità mirata e la vendita dei loro dati, cosa che può essere fatta installando i cookie sui browser degli utenti.

Dovete assicurarvi che la vostra politica sui cookie sia accurata e aggiornata e presentarla agli utenti seguendo le linee guida di notifica delineate dalla legge.

Considerate la possibilità di inserire nella vostra informativa sulla privacy una clausola che spieghi come utilizzate i cookie o altri tracker e di aggiungere un link attivo alla vostra informativa sui cookie.

Chi deve rispettare la nuova legge sulla privacy del Kentucky?

La vostra azienda deve conformarsi al KCDPA se svolge la propria attività o rivolge i propri prodotti e servizi ai residenti dello Stato e soddisfa una delle seguenti condizioni durante un anno solare:

• Tratta e controlla i dati personali di almeno 100.000 consumatori o
• Tratta e controlla i dati personali di almeno 25.000 consumatori e ricava il 50% del fatturato annuo lordo dalla vendita di dati personali.

A differenza di molte altre leggi sulla privacy degli Stati Uniti, il Kentucky non stabilisce una soglia monetaria.

Chi è esente dal KCDPA?

Le seguenti entità sono esenti dai requisiti del KCDPA:

• Città ed enti politici statali
• Istituti finanziari soggetti al Titolo V del Gramm-Leach-Bliley Act(GLBA)
• Entità coperte disciplinate dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti e dall'Health Insurance Portability and Accountability Act (HIPAA).
• Organizzazioni non profit
• Istituti di istruzione superiore
• Agenzie di polizia in relazione a sospetti atti criminali o fraudolenti legati all'assicurazione.
• I primi soccorritori in caso di eventi catastrofici
• Piccole utenze telefoniche

Come possono le aziende prepararsi al KCDPA?

Per prepararsi al KCDPA, le aziende devono pianificare l'aggiornamento della loro politica sulla privacy per soddisfare tutti i requisiti di notifica delineati dalla nuova legge.

Assicuratevi che anche la vostra politica sui cookie sia aggiornata, soprattutto se vendete i dati raccolti attraverso i cookie, se utilizzate i cookie per effettuare pubblicità mirata o se raccogliete informazioni sensibili.

Offrite ai vostri utenti uno o più modi per far valere i loro diritti, ad esempio fornendo loro un banner di consenso e un modulo di richiesta di accesso ai dati(DSAR).

Eseguire le valutazioni d'impatto sulla protezione dei dati, se necessario.

Infine, utilizzate contratti conformi con i responsabili del trattamento dei dati con cui lavorate.

Come verrà applicato il KCDPA?

Il Procuratore generale ha l'autorità esclusiva di far rispettare le violazioni del KCDPA.

Il responsabile del trattamento o l'incaricato del trattamento riceverà una notifica scritta delle presunte violazioni e avrà 30 giorni di tempo per rimediare alla violazione e inviare una notifica scritta.

In caso di inadempienza si incorre in sanzioni pecuniarie.

Multe e sanzioni ai sensi della legge sulla protezione dei dati dei consumatori del Kentucky

Le multe per le violazioni del KCDPA possono raggiungere i 7.500 dollari per incidente.

I consumatori non hanno un diritto di azione privata ai sensi di questa legge.

In che modo Termly può contribuire alla conformità con il KCDPA?

Termly contribuirà a semplificare la conformità a leggi come il KCDPA, assicurando che il nostro generatore di informativa sulla privacy includa tutte le clausole necessarie previste dalla legge prima della sua entrata in vigore.

Il nostro generatore pone semplici domande sulla vostra azienda e sulle sue attività di trattamento dei dati, quindi elabora una politica unica e completa sulla base delle vostre risposte.

Forniamo anche una gestione del consenso platform (CMP) che può essere configurata per soddisfare tutti i requisiti di opt-out descritti nel KCDPA.

Esistono altre leggi sulla privacy in Kentucky?

Sebbene il KCDPA sia la prima legge completa sulla protezione della privacy dei consumatori nello Stato, in Kentucky esistono diverse altre leggi sulla privacy, tra cui le seguenti:

• Capitolo 365, Parte 365.732 del Kentucky Revised Statutes: Descrive i requisiti di notifica delle violazioni di dati del Kentucky.
• La legge sulla privacy delle informazioni genetiche: Dà ai consumatori un maggiore controllo sulle modalità di raccolta, utilizzo e divulgazione dei loro materiali genetici da parte di enti esterni.
• Legge sulla sicurezza dei dati assicurativi: Richiede ai vettori assicurativi di proteggere i dati dei consumatori e di effettuare valutazioni del rischio.

Riassunto

Le aziende che rientrano nella soglia della legge sulla protezione dei dati dei consumatori del Kentucky hanno tempo fino al 1° gennaio 2025 per prepararsi a soddisfare i requisiti di questa legge, che includono:

• Presentare agli utenti un'informativa sulla privacy conforme.
• Fornire agli utenti uno o più modi per agire sui loro diritti, come un modulo DSAR e un banner di consenso.
• Utilizzare contratti conformi con eventuali responsabili del trattamento dei dati o subappaltatori.
• Esecuzione di valutazioni d'impatto sulla protezione dei dati per vari tipi di trattamento dei dati a rischio elevato.
• Implementare misure di sicurezza adeguate per proteggere i dati da accessi non autorizzati o violazioni.

Semplificate ulteriormente la conformità utilizzando il nostro generatore di informativa sulla privacy e CMP per aiutarvi a soddisfare alcuni dei requisiti del KCDPA.

Per saperne di più su chi scrive

Scritto da Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy è un avvocato specializzato in privacy con precedenti esperienze in materia di privacy e cybersecurity nel settore pubblico e privato. In qualità di ex Westin Fellow presso l'iAPP, ha pubblicato diversi articoli, white paper e infografiche e ha condotto, coordinato e moderato webinar e panel, tutti riguardanti la privacy e la tecnologia della privacy negli Stati Uniti. Anokhy ha conseguito un master presso la Carnegie Mellon University e un dottorato in giurisprudenza presso l'università di Pittsburgh. Per saperne di più su chi scrive