Ai sensi del KCDPA, il trattamento di dati personali sensibili (ad esempio geolocalizzazione precisa, dati biometrici, dati dei minori, dati sanitari, ecc.) richiede un consenso esplicito e inequivocabile — ad esempio tramite un banner cookie o un centro preferenze. Sei conforme?
Il Kentucky Consumer Data Protection Act (KCDPA), in vigore dal 1° gennaio 2026, è la prima legge completa sulla protezione dei dati dello Stato. Impone obblighi di governance e trasparenza dei dati alle entità che operano nel Kentucky o che si rivolgono ai suoi residenti, ed è modellata sul quadro normativo del CDPA della Virginia.
Gli obblighi previsti dal KCDPA includono: minimizzazione dei dati, trasparenza, misure di sicurezza tecniche e organizzative, non discriminazione, consenso preventivo per i dati sensibili e valutazioni d’impatto sulla protezione dei dati (DPIA) per i trattamenti ad alto rischio.
Per rispettare il KCDPA Kentucky, occorre adottare le seguenti misure:
Aggiornare l’informativa sulla privacy:
Aggiornare le informative sulla privacy e sui cookie, includendo finalità, categorie di dati, terze parti coinvolte e modalità di opt-out.
Implementare la gestione del consenso:
Introdurre banner per il consenso ai cookie e flussi di opt-out per ottenere un consenso chiaro ed esplicito, fornire ai consumatori meccanismi per esercitare i propri diritti e registrare consensi e opt-out.
Condurre valutazioni:
Effettuare valutazioni d’impatto sulla protezione dei dati (DPIA) per trattamenti sensibili, attività di profilazione, pubblicità mirata o vendita di dati.
Gestire i terzi:
Stipulare accordi di trattamento dei dati con fornitori e responsabili del trattamento.
Queste azioni sono necessarie per conformarsi al KCDPA.
Le aziende che operano nello Stato o che si rivolgono ai residenti del Kentucky.
Le organizzazioni che trattano i dati di ≥ 100.000 consumatori del Kentucky, oppure di ≥ 25.000 consumatori e che ricavano oltre il 50% dei propri ricavi dalla vendita di dati, sono soggette al KCDPA.
Sono escluse: le entità governative, le imprese regolamentate dal GLBA, i fornitori soggetti all’HIPAA, le organizzazioni non profit, le istituzioni di istruzione superiore, le piccole aziende di telecomunicazioni/servizi pubblici, gli utilizzi legati alle forze dell’ordine, i dati sanitari, FERPA, FCRA e altri dati soggetti a regolamentazioni simili.
I consumatori del Kentucky godono dei seguenti diritti:
I consumatori possono accedere ai propri dati personali e confermarne il trattamento.
I consumatori possono richiedere la correzione di inesattezze.
I consumatori possono richiedere la cancellazione dei propri dati personali.
I consumatori hanno il diritto di trasferire, scaricare o trasmettere le proprie informazioni in un formato utilizzabile.
I consumatori possono opporsi alla vendita dei propri dati personali, alla pubblicità mirata e al profilazione che produca effetti giuridici o significativi.
Le aziende hanno 45 giorni di tempo per conformarsi (prorogabili di ulteriori 45 giorni).
I cookie possono raccogliere dati personali o sensibili.
L’uso di cookie non sensibili (ad esempio per fini analitici) è consentito con un meccanismo di opt-out, mentre il trattamento di dati sensibili tramite cookie richiede un consenso esplicito tramite opt-in.
Le organizzazioni che non rispettano il KCDPA possono incorrere in sanzioni fino a 7.500 USD per ogni violazione.
È previsto un periodo di sanatoria di 30 giorni, ma le sanzioni possono essere applicate qualora i problemi non vengano risolti.
L’applicazione della normativa è affidata al Procuratore Generale del Kentucky.
In Kentucky non esiste un diritto d’azione privata per i consumatori.
Per verificare che il proprio approccio alla protezione dei dati sia in linea con le migliori pratiche e conforme al KCDPA Kentucky, le organizzazioni dovrebbero:
Audit:
Condurre un audit dei dati per identificare tutti i cookie e i tracker presenti sui propri siti web.
Categorizzare:
Classificare i cookie (ad es. necessari, preferenze, analitici, marketing).
Implementare la gestione del consenso:
Assicurarsi che i banner per il consenso siano implementati correttamente con scelte dettagliate, consentire agli utenti di revocare il consenso in qualsiasi momento e mantenere registri dei consensi.
Verificare i contratti con terze parti:
Rivedere le pratiche di condivisione dei dati con soggetti terzi.
Una piattaforma di gestione del consenso come CookieHub automatizza i banner per i cookie, la registrazione dei consensi, i flussi di opt-out e la gestione dei dati sensibili — semplificando così la conformità al KCDPA e la preparazione alle DPIA.
Il KCDPA si applica alle persone fisiche in contesti individuali o domestici nel Kentucky, non a quelli aziendali o lavorativi. La normativa riguarda i titolari e i responsabili del trattamento che soddisfano determinate soglie di volume di dati o di fatturato e che si rivolgono ai residenti del Kentucky.
"Any information linked or reasonably linkable to an identified or identifiable natural person," excluding deidentified or public data. Includes names, IPs, emails, purchase history, device fingerprints.
I dati sensibili comprendono: origine razziale/etnica, religione, salute, orientamento sessuale, cittadinanza, dati biometrici/genetici per l’identificazione, dati personali di minori noti e geolocalizzazione precisa (entro circa 533 m).
Il Procuratore Generale del Kentucky ha l’autorità esclusiva di applicazione; non esiste alcun diritto di azione privata per i consumatori.
Le categorie esenti includono: enti governativi, imprese regolamentate dalla GLBA/HIPAA, organizzazioni senza scopo di lucro, istituti di istruzione superiore, piccole aziende di telecomunicazioni/servizi pubblici, gestori di dati legati all’applicazione della legge o alla prevenzione delle frodi, e tipologie di dati regolamentati a livello federale (sanità, FERPA, FCRA, ecc.).
Consulta il testo integrale della legge HB 15 e le linee guida del Procuratore Generale per le definizioni ufficiali, le date di entrata in vigore e le regole di conformità.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
