Según el KCDPA, el tratamiento de datos personales sensibles (por ejemplo, geolocalización precisa, datos biométricos, datos de menores, datos de salud, etc.) requiere un consentimiento claro y afirmativo — por ejemplo, a través de un banner de cookies o un centro de preferencias. ¿Cumples con la normativa?
La Kentucky Consumer Data Protection Act (KCDPA), que entra en vigor el 1 de enero de 2026, es la primera ley integral de privacidad del estado. Impone requisitos de gobernanza y transparencia de datos a las entidades que operan en Kentucky o que dirigen sus actividades a residentes de Kentucky, y está diseñada siguiendo el marco normativo de la CDPA de Virginia.
Las obligaciones bajo el KCDPA incluyen: minimización de datos, transparencia, salvaguardas técnicas y organizativas, no discriminación, consentimiento previo para el tratamiento de datos sensibles y evaluaciones de impacto en la protección de datos (DPIA) para los tratamientos de alto riesgo.
Toma las siguientes acciones como parte del cumplimiento del KCDPA Kentucky:
Actualizar la política de privacidad:
Actualizar las políticas de privacidad y cookies incluyendo propósito, categorías de datos, terceros implicados y métodos de opt-out.
Implementar la gestión del consentimiento:
Implementar banners de consentimiento de cookies y flujos de opt-out para obtener un consentimiento claro y afirmativo, ofrecer a los consumidores mecanismos para ejercer sus derechos y registrar los consentimientos y opt-outs.
Realizar evaluaciones:
Llevar a cabo Evaluaciones de Impacto en la Protección de Datos (DPIA) para tratamientos sensibles, elaboración de perfiles, publicidad dirigida o venta de datos.
Gestionar a terceros:
Firmar acuerdos de tratamiento de datos con proveedores y procesadores.
Debes tomar estas acciones para cumplir con el KCDPA.
Las empresas que operan dentro del estado o que se dirigen a los residentes de Kentucky.
Las organizaciones que procesan datos de ≥ 100.000 consumidores de Kentucky o de ≥ 25.000 consumidores y que obtienen más del 50 % de sus ingresos de la venta de datos están sujetas al KCDPA.
Excepciones incluyen: entidades gubernamentales, empresas reguladas por la GLBA, proveedores cubiertos por la HIPAA, organizaciones sin fines de lucro, instituciones de educación superior, pequeñas empresas de telecomunicaciones/servicios públicos, usos relacionados con la aplicación de la ley, datos de salud, FERPA, FCRA y otros datos regulados de forma similar.
Los consumidores de Kentucky tienen derecho a:
Los consumidores pueden acceder a sus datos personales y confirmar su tratamiento.
Los consumidores pueden solicitar la corrección de inexactitudes.
Los consumidores pueden solicitar que sus datos personales sean eliminados.
Los consumidores tienen derecho a portar, descargar o transmitir su información en un formato utilizable.
Los consumidores pueden optar por no permitir la venta de sus datos personales, la publicidad dirigida y la elaboración de perfiles que produzcan efectos legales o significativos.
Las empresas disponen de 45 días para cumplir (prorrogables por otros 45 días).
Las cookies pueden recopilar datos personales o sensibles.
El uso de cookies no sensibles (por ejemplo, con fines analíticos) está permitido mediante opt-out, mientras que el tratamiento de datos sensibles a través de cookies requiere un consentimiento expreso mediante opt-in.
Las organizaciones que no cumplan con el KCDPA pueden enfrentarse a multas de hasta 7.500 USD por cada infracción.
Existe un plazo de subsanación de 30 días, pero se pueden imponer sanciones en los casos en que los problemas no se resuelvan.
El cumplimiento es supervisado y aplicado por el Fiscal General de Kentucky.
En Kentucky, los consumidores no tienen derecho a una acción legal privada.
Para comprobar que tu enfoque de la privacidad de datos está en línea con las mejores prácticas y cumple con el KCDPA Kentucky, las organizaciones deben:
Auditoría:
Realizar una auditoría de datos para identificar todas las cookies y rastreadores en sus sitios web.
Categorizar:
Clasificar las cookies (por ejemplo: necesarias, de preferencias, analíticas, de marketing).
Implementar la gestión del consentimiento:
Asegurarse de que los banners de consentimiento estén correctamente implementados con opciones granulares, permitir a los usuarios retirar el consentimiento en cualquier momento y mantener registros de los consentimientos.
Revisar contratos con terceros:
Analizar las prácticas de intercambio de datos con terceros.
Una plataforma de gestión de consentimientos como CookieHub automatiza los banners de cookies, el registro de consentimientos, los flujos de opt-out y la gestión de datos sensibles — simplificando así el cumplimiento del KCDPA y la preparación para las DPIA.
El KCDPA se aplica a personas físicas en contextos individuales o domésticos en Kentucky, no a los contextos empresariales o laborales. La regulación cubre a responsables y encargados del tratamiento que cumplan con ciertos umbrales de volumen de datos o ingresos y que se dirijan a residentes de Kentucky.
“Cualquier información vinculada o razonablemente vinculable a una persona física identificada o identificable”, excluyendo los datos desidentificados o públicos. Incluye nombres, direcciones IP, correos electrónicos, historial de compras y huellas digitales de dispositivos.
Los datos sensibles incluyen: origen racial/étnico, religión, salud, orientación sexual, ciudadanía, datos biométricos/genéticos para identificación, datos personales de menores conocidos y geolocalización precisa (aproximadamente dentro de 533 m).
El Fiscal General de Kentucky tiene autoridad exclusiva para hacer cumplir la ley; no existe un derecho de acción privada para los consumidores.
Las categorías exentas incluyen: entidades gubernamentales, empresas reguladas por la GLBA/HIPAA, organizaciones sin fines de lucro, instituciones de educación superior, pequeñas empresas de telecomunicaciones/servicios públicos, manejadores de datos relacionados con la aplicación de la ley o la prevención de fraudes, y tipos de datos regulados a nivel federal (salud, FERPA, FCRA, etc.).
Consulta la legislación completa HB 15 y las directrices del Fiscal General para definiciones oficiales, fechas de entrada en vigor y normas de cumplimiento.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
