Kentucky es conocido por su Derby, pero el panorama de la privacidad de datos en Estados Unidos ha sido como una carrera de caballos entre estados. Kentucky aprobó la Ley de Privacidad de Datos del Consumidor de Kentucky (KY CDPA), convirtiéndose en el decimocuarto estado en aprobar una ley de privacidad de datos.
La legislatura de Kentucky aprobó Proyecto de ley de la Cámara de Representantes 15 el 4 de abril de 2024, que el gobernador Andy Beshar firmó. La KCDPA entrará en vigor el 1 de enero de 2026.
¿Qué es la Ley de Privacidad de Datos del Consumidor KY HB 15 (KCDPA)?
La KY HB 15 no es una simple ley de privacidad de datos; es una legislación integral y sólida promulgada por Kentucky. La KCDPA está diseñada para proteger la información personal de los residentes de Kentucky y garantizar que las empresas implementen medidas rigurosas de protección de datos. Es un ejemplo de transparencia, rendición de cuentas y derechos del consumidor, que establece directrices y requisitos claros en todo el estado.
Lo que las empresas necesitan saber sobre la KCDPA
La KCDPA es fundamental para proteger la privacidad de los residentes de Kentucky. La ley otorga a las personas derechos sobre su... información personal y exige a las empresas transparencia en el uso, la recopilación y el procesamiento de datos. Estas nuevas medidas de privacidad mejoradas ofrecen a los consumidores mayor control sobre sus datos.
La KCDPA introduce varias disposiciones esenciales que refuerzan la privacidad y la seguridad de los datos en Kentucky. A continuación, se presentan algunos aspectos críticos de la ley:
¿Quién debe cumplir?
La CDPA de Kentucky se aplica a las empresas que recopilan, utilizan o comparten información personal de los residentes de Kentucky. Las empresas están sujetas a la Ley HB 15 de Kentucky si:
Realiza negocios en Kentucky o produce productos o servicios para residentes de Kentucky, ya sea:
- Controla o procesa la información personal de al menos 100.000 kY consumidores, excluyendo los datos personales procesados para completar una transacción.
- Controla o procesa los datos personales de al menos 25.000 consumidores de KY, y el controlador obtiene 50% de ingresos brutos por la venta de información personal.
Preparación para el cumplimiento de la KCDPA
El cumplimiento de la KCDPA es crucial para las empresas que operan en Kentucky. La ley puede conllevar multas, sanciones y daños a la reputación importantes si las organizaciones no cumplen con la legislación. A continuación, se presentan algunas consideraciones clave para lograr el cumplimiento:
Confidencialidad
La ley de Kentucky requiere que las organizaciones brinden a los consumidores una información "accesible, clara y significativa". aviso de privacidad, que incluye:
- Las categorías de datos personales tratados
- La finalidad del tratamiento de los datos
- Las categorías de terceros a los que podrá revelar los datos personales
- Las categorías de datos que puede divulgar
- La información sobre cómo los consumidores pueden ejercer sus derechos y apelar decisiones.
Minimización de datos
La legislación exige que las empresas limiten la recopilación de datos personales a lo que se considere “adecuado, relevante y razonablemente necesario”, a menos que hayan obtenido el consentimiento del consumidor.
Seguridad y protección de datos
Las organizaciones deben establecer y mantener prácticas de seguridad de datos para proteger los datos personales y evitar el acceso no autorizado.
Protección de datos y evaluaciones de riesgos
Actualmente, la KCDPA se refiere a sus evaluaciones de protección de datos (DPA) como evaluaciones de impacto sobre la protección de datos (EIPD)Similar al RGPD. Las empresas deben llevar a cabo un Acuerdo de Protección de Datos (APD) sobre los datos personales procesados, creados o generados a partir del 1 de junio de 2026 que puedan perjudicar a los consumidores y suponer un mayor riesgo, como el tratamiento de datos sensibles, la elaboración de perfiles, la venta de datos y la publicidad dirigida.
Cumplimiento y multas de la KCDPA
El Procurador General (PG) tiene la autoridad exclusiva para hacer cumplir la Ley. El Procurador General puede iniciar una acción legal y solicitar una indemnización por daños y perjuicios de hasta $7,500 por cada infracción continuada. La organización debe recibir una notificación por escrito de las posibles infracciones y tendrá un plazo de 30 días para subsanarlas.
Derechos del consumidor de Kentucky
La KCDPA otorga a los residentes de Kentucky derechos específicos sobre su información personal, que incluyen:
- El derecho a confirmar si una empresa está procesando o no datos personales del consumidor
- El derecho a acceso datos personales a menos que la confirmación y el acceso revelen un secreto comercial
- El derecho a correcto inexactitudes en los datos personales del consumidor
- El derecho a borrar datos personales sobre el consumidor
- El derecho a portabilidad de datos en el que el consumidor debe poder obtener una copia de sus datos personales
- El derecho a no participar del tratamiento de datos personales con fines de publicidad dirigida, venta de datos personales o elaboración de perfiles para la aplicación de decisiones que produzcan efectos jurídicos o de similar importancia para el consumidor
- El derecho a no ser discriminado para ejercer cualquier derecho del consumidor.
- Además, las empresas no deben procesar datos sensibles relativos a un consumidor sin obtener el consentimiento, ni procesar datos sensibles recopilados de un niño; los datos de los niños deben procesarse de conformidad con la ley federal. Ley de Protección de la Privacidad Infantil en Línea (COPPA)
Las empresas deben responder al consumidor sin demora, pero en todos los casos dentro de los cuarenta y cinco (45) días siguientes a la recepción de la solicitudLa información proporcionada en respuesta a una solicitud del consumidor debe proporcionarse de forma gratuita, hasta dos veces al año por consumidor.
Proceso de apelaciones
Las empresas deben desarrollar un proceso para que los consumidores puedan apelar la denegación de una solicitud dentro de un plazo razonable tras recibir la decisión. El proceso de apelación debe estar disponible en un formato similar al de las solicitudes de derechos de datos para iniciar acciones. Dentro de los sesenta (60) días de recibir una apelaciónUna empresa debe informar al consumidor por escrito de cualquier acción adoptada en respuesta a la apelación, incluida una explicación escrita de los motivos de las decisiones.
Cómo BigID ayuda a las organizaciones a cumplir con la Ley de Privacidad de Datos del Consumidor de Kentucky
BigID permite a las organizaciones prepararse de forma proactiva para la KCDPA y lograr el cumplimiento de una Plataforma patentada de automatización de la privacidad con reconocimiento de identidadCon BigID, las empresas pueden:
- Identificar todos los datos: Descubrir y clasificar datos para crear un inventario, mapear flujos de datos y obtener visibilidad sobre toda la información personal y confidencial sujeta a los requisitos de la KCDPA.
- Aplicar políticas: Remediar el riesgo basado en políticas con controles y flujos de trabajo para tomar medidas según los requisitos de KCDPA.
- Automatizar la gestión de derechos de datos: Gestione automáticamente las solicitudes de privacidad, las preferencias y el consentimiento, incluida la exclusión voluntaria de la venta de datos, la publicidad dirigida y la elaboración de perfiles de usuario.
- Minimizar datos: Aplicar prácticas de minimización de datos identificando, categorizando y supresión de datos personales innecesarios o excesivos para gestionar eficazmente el ciclo de vida de los datos.
- Implantar controles de protección de datos: Automatice los controles de protección de datos para hacer cumplir el acceso a los datos y otras medidas de seguridad, que son cruciales para salvaguardar los datos y cumplir con la KCDPA.
- Evaluar el riesgo: Automatice las evaluaciones de impacto de la privacidad, los informes de inventario de datos y flujos de trabajo de remediación Identificar y remediar los riesgos para mantener el cumplimiento.
Programe una demostración 1:1 para ver cómo BigID puede acelerar su cumplimiento con KCDPA.
Autor
