Cargando...

Ley de Protección de Datos Personales de Tailandia (PDPA): todo lo que necesita saber

Deja un comentario / Por /
Actualizado el 31 de mayo de 2024

La Ley de Protección de Datos Personales (PDPA) es la principal normativa de protección de datos en Tailandia. Esta ley otorga a las personas varios derechos con respecto a sus datos personales y asigna varias responsabilidades a las empresas que manejan la información personal de los ciudadanos tailandeses.

Si hace negocios en Tailandia o maneja información personal de ciudadanos tailandeses, este artículo le ayudará a comprender la Ley de Protección de Datos Personales de Tailandia y cómo cumplirla.

Vamos a sumergirnos.

La Ley de Protección de Datos Personales de Tailandia (PDPA) es un conjunto integral de regulaciones emitidas por el gobierno tailandés para proteger la información personal de los ciudadanos tailandeses. La ley entró en vigor el 27 de mayo de 2019, con un período de gracia para las empresas hasta el 1 de junio de 2022.

Regula la recopilación, el uso y la divulgación de información personal de individuos por parte de organizaciones. El Comité de Protección de Datos Personales supervisará la aplicación de la ley y también es responsable de publicar pautas y estándares para que los procesadores de datos cumplan con la ley.

¿Cuáles son el alcance y las limitaciones del PDPA?

Alcance de la ley

La Ley de Protección de Datos Personales de Tailandia se aplica a la recopilación, uso o divulgación de datos personales por parte de un controlador de datos dentro de Tailandia, independientemente de si el procesamiento ocurre dentro del país.

También extiende su alcance más allá de las fronteras de Tailandia si los procesadores de datos recopilan, utilizan o divulgan datos personales de ciudadanos tailandeses para ofrecer bienes o servicios dentro de Tailandia o monitorear el comportamiento de personas dentro del país.

Limitaciones de la ley

La PDPA de Tailandia no se aplica si los datos personales son:

  • recopilados para uso personal o doméstico,
  • recolectados para la operación de las autoridades públicas para mantener la seguridad nacional,
  • utilizado para medios de comunicación, bellas artes, literatura o intereses públicos,
  • recopilados, utilizados o divulgados por la Cámara de Representantes, el Senado, el Parlamento o sus comités dentro de sus deberes y poderes,
  • utilizado para procedimientos judiciales, ejecuciones legales y otras operaciones de justicia penal,
  • recaudados por empresas de burós de crédito regidas por ley.

Definiciones clave según el PDPA de Tailandia

  • Información personal: Los datos personales se refieren a cualquier información relacionada con un individuo que pueda usarse para identificar directa o indirectamente a un individuo. Él excluye información relacionada con personas fallecidas.
  • Controlador de datos: Un Responsable del tratamiento se refiere a una persona jurídica que tiene el poder de tomar decisiones sobre la recopilación, el uso o la divulgación de datos personales.
  • Procesador de datos: A El Procesador de datos es una persona jurídica que recopila, utiliza o divulga datos personales en nombre del Controlador de datos.
  • Persona: Persona se refiere a cualquier persona viva.
  • Comité: El Comité se refiere al Comité de Protección de Datos Personales, que es responsable de la promulgación de la Ley de Protección de Datos Personales.
  • Oficial competente: Un funcionario competente se refiere a cualquier persona designada por el Ministro para implementar actos bajo la PDPA.
  • Secretario general: Secretario General se refiere al Secretario General del Comité de Protección de Datos Personales.
  • Ministro: El Ministro se refiere al Ministro de Gobierno que está a cargo en virtud de esta Ley.

¿Cuáles son los derechos de los interesados ​​según la PDPA?

La Ley de Protección de Datos Personales de Tailandia otorga los siguientes derechos a los interesados ​​con respecto al procesamiento de sus datos personales.

Derecho de acceso

Las personas tienen derecho a acceder y obtener copias de sus datos personales en poder de las organizaciones. También tienen derecho a saber cómo se obtuvieron sus datos si estos fueron recopilados sin su consentimiento.

Derecho a Recibir o Transferir Datos

Las personas tienen derecho a recibir o transferir sus datos personales en formato legible. También pueden solicitar a las organizaciones que proporcionen los datos personales directamente a otras organizaciones o a ellos mismos, si es técnicamente posible.

Derecho a oponerse

Las personas tienen derecho a oponerse a la recopilación, el uso o la divulgación de sus Datos personales en determinadas circunstancias, como cuando no se obtuvo el consentimiento o con fines de marketing directo.

Derecho a eliminar o anonimizar

Las personas tienen derecho a solicitar la eliminación o la anonimización de sus datos personales si se retira el consentimiento, ya no es necesario para el fin para el que fueron recopilados o si se recopilaron ilegalmente. También se puede realizar una Solicitud de eliminación si existe una objeción innegable por parte del individuo.

Derecho a restringir

Las personas tienen derecho a restringir el uso de sus datos personales en circunstancias específicas y a retirar su consentimiento para el procesamiento de datos personales.

Derecho a corregir

Las personas tienen derecho a garantizar que los datos personales que conservan las organizaciones sean precisos y estén actualizados. Pueden solicitar la corrección de sus datos personales.

¿Cuáles son los principios del PDPA de Tailandia?

Los siguientes son los principios fundamentales de la PDPA de Tailandia para las empresas que manejan datos personales de ciudadanos tailandeses.

Finalidad Limitación de la minimización de datos

Los Controladores de datos solo deben recopilar la información necesaria para el propósito legítimo para el que fueron previstos. Limitar el uso de datos personales a lo necesario para cumplir con la finalidad específica.

Informar a los usuarios sobre la recopilación de datos

Los Controladores de datos deben informar a los usuarios que recopilan sus datos personales, por qué los recopilan, durante cuánto tiempo se conservarán y quiénes tienen acceso a ellos.

Obtener el consentimiento de los usuarios

Los Responsables del tratamiento deben obtener el consentimiento previo de los interesados ​​antes de procesar sus datos personales. El consentimiento no es necesario para casos específicos, como por ejemplo para cumplir una obligación legal o contractual de proteger la vida de un individuo, para investigaciones científicas o históricas, o para otros fines legítimos.

Datos personales de los niños

Cuando traten datos personales de niños menores de 10 años, los responsables del tratamiento deberán obtener el consentimiento de sus padres o tutores legales. Para los menores de 10 años, se requiere el consentimiento de los padres o tutores para cualquier acto al que un menor no pueda dar su consentimiento según el código civil y comercial tailandés.

Datos personales sensibles

Los responsables del tratamiento deben obtener el consentimiento explícito de los usuarios para la recogida de datos personales sensibles como origen racial o étnico, opiniones políticas, datos de salud, etc.

Control sobre la recopilación de datos

Los Responsables del tratamiento deben recopilar datos personales directamente de los interesados. Sin embargo, la recopilación de otras fuentes está permitida bajo condiciones específicas y requiere informar al interesado con prontitud.

Transferencia de datos transfronteriza

Los Controladores de datos no pueden transferir los datos personales de ciudadanos tailandeses fuera del país a menos que:

  • el país extranjero tiene leyes de protección de datos similares equivalentes a la PDPA,
  • las personas interesadas han dado su consentimiento a la transferencia de datos,
  • la transferencia es necesaria para el cumplimiento de un contrato legal,
  • es para prevenir un peligro para la vida o la salud de alguien,
  • es necesario para la realización de actividades de interés público.

¿Cuáles son los Deberes y Responsabilidades del Comité de Protección de Datos Personales?

El Comité de Protección de Datos Personales es responsable de supervisar la promulgación de la Ley de Protección de Datos Personales en Tailandia.

A continuación se detallan las responsabilidades clave del Comité de Protección de Datos Personales:

  1. Crea un plan maestro: Crear un plan integral que se alinee con las políticas y estrategias nacionales para proteger los datos personales de las personas.
  2. Implementar el plan: Ayudar a las agencias gubernamentales y al sector privado en la implementación de las actividades descritas en el plan maestro.
  3. Establecer pautas para PDPA: Introducir directrices y regulaciones para la protección de datos personales y cumplir con la PDPA.
  4. Emitir reglas y notificaciones: Emitir notificaciones y normas para facilitar la implementación del PDPA.
  5. Regular la transferencia de datos transfronteriza: Determinar los requisitos para la protección de los datos personales transferidos al extranjero.
  6. Guía Responsables y Procesadores de Datos: Proporcionar orientación a los controladores y procesadores de datos para proteger los datos personales de los ciudadanos de Tailandia.
  7. Proporcionar recomendaciones al Gabinete: Proporcionar recomendaciones al Gabinete sobre la promulgación o implementación de leyes relacionadas con la Protección de Datos Personales.
  8. Revise las regulaciones PDPA: Recomendar al Gabinete que revise las regulaciones del PDPA cada cinco años.
  9. Proporcionar consultas a las agencias: Proporcionar servicios de consulta al gobierno y agencias privadas para garantizar el cumplimiento de la PDPA.
  10. Tomar decisiones sobre cuestiones de cumplimiento de PDPA: Analizar y tomar decisiones sobre las cuestiones que surjan de la promulgación del PDPA
  11. Promover la conciencia pública: Promover la conciencia pública sobre la protección de datos personales.
  12. Apoyar la investigación y el desarrollo: Brindar apoyo a la investigación y desarrollo de tecnologías relacionadas con la protección de datos personales.
  13. Otras funciones relacionadas: Realizar otras tareas según lo estipulado por la PDPA u otras leyes pertinentes.

¿Cómo cumplir con la PDPA para empresas?

A continuación se presentan algunas pautas generales para cumplir con la PDPA para su negocio:

  • Entender el acto: Comprender el alcance y los requisitos de la ley y su rol como Encargado del Tratamiento o Responsable del Tratamiento.
  • Minimizar la recopilación de datos: Realice una auditoría completa de sus prácticas de recopilación de datos. Luego, asegúrese de recopilar solo lo necesario para ese propósito.
  • Informar a los usuarios sobre la recopilación de datos: Informe a los usuarios que recopila sus datos, por qué los recopila, durante cuánto tiempo se conservarán y quiénes tienen acceso a ellos.
  • Obtener el consentimiento de los usuarios: Obtener el consentimiento explícito de los usuarios antes de recopilar, utilizar o divulgar sus datos personales. Además, proporcione opciones de control granulares para dar consentimiento y revele las consecuencias de no dar consentimiento.
  • Requisitos especiales de consentimiento: Al recopilar datos personales de niños, obtenga el consentimiento de los padres o tutores legales. Para datos personales sensibles como origen racial o étnico, opiniones políticas, datos de salud, etc., las empresas deben obtener el consentimiento adicional de los usuarios.
  • Permitir a los usuarios ejercer sus derechos: Informar a los usuarios sobre sus derechos sobre sus datos personales y prestarles asistencia para el ejercicio de sus derechos.
  • Regular la transferencia de datos transfronteriza: Al compartir datos con países extranjeros, asegúrese de que tengan regulaciones de protección de datos similares y que tengan un propósito legal para compartir los datos.
  • Implementar medidas de seguridad adecuadas: Tome las medidas de seguridad adecuadas para garantizar la seguridad de los datos personales de sus usuarios.
  • Evaluación de riesgos de impacto en la privacidad: Realice auditorías internas y evaluaciones de riesgos para identificar y mitigar cualquier riesgo potencial.
  • Mantener registros del procesamiento de datos: Mantenga registros de sus actividades de procesamiento de datos y pruebas de sus medidas de cumplimiento.
  • Revisa y actualiza tus prácticas: Revise y actualice periódicamente sus prácticas de recopilación de datos y manténgase actualizado con las últimas regulaciones.
  • Establezca un plan de respuesta a la violación de datos: Establezca un plan proactivo para abordar rápidamente las violaciones de datos. En caso de violación de datos, informe a las autoridades interesadas y a las personas afectadas.

¿Cuáles son las multas y sanciones por incumplimiento?

Si una organización no cumple con las directrices de la PDPA con fines ilegales, la pena podría ser una pena de prisión de hasta un año, una multa de hasta un millón de baht o ambas. Si la violación resulta en daño potencial, daño a re putación o humillación de otros, la organización puede enfrentarse a penas de prisión de hasta seis meses, una multa no superior a quinientos mil baht, o ambas.

Preguntas frecuentes sobre PDPA

¿Cuándo entró en vigor la PDPA?

La Ley de Protección de Datos Personales de Tailandia (PDPA) entró en vigor el 27 de mayo de 2019, con un período de gracia de un año. Sin embargo, debido a la pandemia de Covid-19, la vigencia de la ley se extendió hasta el 1 de junio de 2022.

¿Qué son los datos personales en la PDPA de Tailandia?

Datos Personales se refiere a cualquier información relacionada con una persona física identificada o identificable, como nombre, número de identificación, datos de contacto, datos biométricos, etc.

¿Qué es el PDPC?

El Comité de Protección de Datos Personales (PDPC) es el comité que regula e implementa la Ley de Protección de Datos Personales en Tailandia. El Comité ayuda a las empresas a cumplir con la ley y brinda recomendaciones a las agencias gubernamentales al implementar nuevas regulaciones.

¿Necesito obtener consentimiento para utilizar cookies?

Sí. Las cookies contienen información sobre los visitantes de su sitio, por lo que si utiliza cookies, debe obtener el consentimiento previo de sus visitantes. Puede utilizar una plataforma de gestión de consentimiento para obtener y gestionar el consentimiento de cookies en su sitio web.

Consulte nuestro plugin GDPR Cookie Consent, un CMP nativo para sitios web de WordPress.

Conclusión

La Ley de Protección de Datos Personales (PDPA) es la principal normativa de protección de datos en Tailandia. Regula las organizaciones que procesan información personal de ciudadanos tailandeses. La ley otorga varios derechos a las personas para proteger sus datos personales e implementa varias obligaciones a seguir por las empresas.

Esperamos que este artículo le haya proporcionado información sobre la PDPA de Tailandia y cómo cumplirla. Si esto le resulta útil, háganoslo saber en los comentarios.

Descargo de responsabilidad: Este artículo está destinado únicamente a fines informativos y no representa asesoramiento legal. No tenemos intención de obtener ningún tipo de relación abogado-cliente. Si buscas asesoramiento jurídico, te recomendamos contactar con un profesional.

Articulos relacionados

Subscribe
Notify of
guest

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments