Ley de Protección de Información Personal de Corea del Sur (PIPA): descripción general

La Ley de Protección de Información Personal de Corea del Sur es una regulación integral de protección de datos que protege los datos personales de los residentes de Corea del Sur. En este artículo, daremos una descripción general de la ley y sus obligaciones.

La Ley de Protección de Información Personal de Corea del Sur entró en vigor el 30 de septiembre de 2011. La ley tenía como objetivo proteger los derechos de privacidad de los residentes de Corea del Sur y regular el procesamiento de sus datos personales.

Si está haciendo negocios con residentes de Corea del Sur o desea saber más sobre PIPA y cómo afecta los negocios, este artículo es para usted. Cubriremos todo lo que necesita saber sobre la regulación de protección de datos personales de Corea del Sur, sus principios, los derechos de los interesados, etc.

Entonces empecemos.

La Ley de Protección de Información Personal (PIPA) es la principal ley de protección de datos de Corea del Sur que protege los derechos de privacidad de los residentes de Corea del Sur. La ley se introdujo en 2011 y fue modificada dos veces, en 2021 y 2023, respectivamente.

La Ley de Protección de Información Personal exige obligaciones específicas para las organizaciones que manejan datos personales de surcoreanos. Requiere que los sitios web notifiquen previamente a los usuarios y obtengan su consentimiento antes de recopilar sus datos personales.

Con las nuevas modificaciones, los interesados ​​tendrán derecho a la portabilidad de sus datos y a ser excluidos de la toma de decisiones automatizada. También regula la transferencia transfronteriza de datos personales de residentes de Corea del Sur.

Lea también: Ley de Protección de Información Personal de China (PIPL)

• Informacion personal: La información personal se refiere a cualquier información relacionada con un individuo que pueda usarse para identificar directamente a un individuo, combinada con información adicional para identificar a un individuo o cualquier información seudonimizada que requiera datos adicionales para hacerla identificable.
• Seudonimización: La seudonimización se refiere al proceso de hacer que la información personal no sea identificable sin información adicional eliminando o reemplazando parte de la información.
• Procesando: El procesamiento se refiere a la recopilación, generación, conexión, interconexión, grabación, almacenamiento, retención, procesamiento de valor agregado, edición, búsqueda, salida, corrección, recuperación, uso, suministro, divulgación y destrucción de información personal y otras actividades similares.
• Sujeto de datos: Titular de los datos se refiere a cualquier individuo que pueda ser identificado a través de la información procesada y sea el sujeto de esa información.
• Fichero de datos personales: Un fichero de información personal se refiere a un conjunto de información personal organizada de manera sistemática.
• Responsable del tratamiento de datos personales: Controlador de información personal se refiere a cualquier individuo u organización que procesa información personal directa o indirectamente y organiza información personal como archivos de información personal.
• Institucion publica: Institución pública se refiere a instituciones nacionales como los órganos administrativos de la Asamblea Nacional, los tribunales, el Tribunal Constitucional, la Comisión Electoral Nacional y otros organismos administrativos y nacionales prescritos por Decreto Presidencial.
• Dispositivos de procesamiento de datos visuales: Los dispositivos de procesamiento de datos visuales son aquellos dispositivos que están prescritos por el Decreto Presidencial y se colocan en determinados lugares públicos para tomar imágenes y vídeos.
• Investigación científica: La investigación científica se refiere a la investigación que utiliza métodos científicos, como el desarrollo tecnológico, la investigación fundamental, la investigación aplicada y las investigaciones con financiación privada.

A continuación se detallan los 8 principios principales para el procesamiento de información personal según PIPA para controladores de información personal:

1. Indique claramente el propósito de la recopilación de datos y solo recopile los datos mínimos requeridos para ese propósito de manera legal y justa.
2. Procesar la información personal de forma adecuada y únicamente para el fin para el que fue destinada.
3. Asegúrese de que la información personal sea precisa, completa y esté actualizada.
4. Gestionar de forma segura el procesamiento de información personal y tomar las medidas adecuadas para proteger los datos de riesgos potenciales.
5. Divulgar al público la política de privacidad y la información relacionada sobre el procesamiento de información personal y garantizar que se respeten y protejan los derechos de los interesados.
6. Reducir el riesgo de infracción de la privacidad al procesar información personal.
7. Priorizar la anonimización o seudonimización para proteger la identidad de los interesados.
8. Obtener la confianza de los interesados ​​mediante el cumplimiento de las obligaciones previstas en la Ley.

La PIPA de Corea del Sur otorga los siguientes derechos a los interesados ​​para proteger su información personal:

• Derecho a ser informado: Los interesados ​​tienen derecho a ser informados del tratamiento de su información personal.
• Derecho a consentir: Los interesados ​​tienen derecho a decidir si dan o no su consentimiento para el procesamiento de información personal y decidir el alcance del consentimiento.
• Derecho a confirmar el tratamiento, acceder y obtener copias: Los interesados ​​tienen derecho a confirmar el tratamiento de sus datos personales y a acceder y obtener copias de sus datos.
• Derecho a suspender el tratamiento, rectificar, suprimir o destruir la información: Los interesados ​​tienen derecho a suspender o terminar el procesamiento de su información personal y corregir, eliminar o destruir la información procesada.
• Derecho a una reparación justa: Los interesados ​​tienen derecho a una reparación justa de cualquier daño potencial que surja del procesamiento de su información personal.

Estas son las obligaciones del estado y los gobiernos locales bajo PIPA:

• Desarrollar políticas para prevenir el uso indebido de la información personal y proteger la privacidad individual.
• Implementar medidas para salvaguardar los derechos de los interesados.
• Promover esfuerzos de autorregulación en materia de protección de datos por parte de los responsables del tratamiento de la información personal.
• Garantizar que los estatutos y ordenanzas municipales se promulguen o modifiquen para alinearse con los objetivos de la Ley.

La Comisión de Protección de Información Personal es la autoridad reguladora de la Ley de Protección de Información Personal. La Comisión está formada por nueve comisionados, incluidos un presidente y un vicepresidente.

El Presidente y el Vicepresidente son propuestos por el Primer Ministro, y los demás Comisionados son recomendados por varios organismos en función de su experiencia y conocimientos en protección de información personal.

A continuación se detallan los deberes y responsabilidades que caen bajo la jurisdicción de la Comisión de Protección de Información Personal:

• Mejorar las leyes sobre protección de información personal.
• Desarrollar e implementar políticas, sistemas o planes para proteger la información personal.
• Investigar infracciones de los derechos de los interesados ​​y aplicar las medidas adecuadas.
• Atender quejas, facilitar soluciones y mediar en disputas relacionadas con el procesamiento de información personal.
• Colaborar con organismos internacionales y agencias extranjeras en materia de protección de información personal.
• Realizar campañas de investigación, educación y concientización sobre leyes, políticas y sistemas de protección de información personal.
• Apoyar los avances en protección de información personal y formar expertos.
• Manejar los asuntos especificados en esta Ley y otros estatutos relevantes que caigan bajo la jurisdicción de la Comisión.

Circunstancias para la recopilación de información personal

Una organización puede recopilar y utilizar información personal si:

• obtienen el consentimiento de los interesados.
• hay una obligación legal.
• es necesario que una agencia gubernamental realice sus funciones
• es necesario para cumplir un contrato con la persona de la que se trata la información.
• se necesita con urgencia para proteger la vida, el cuerpo o la propiedad de alguien, y ellos mismos no pueden dar permiso.
• es necesario para los intereses legítimos del controlador, pero solo si está estrechamente relacionado con esos intereses y no daña los derechos de la persona en cierta medida.

Además, el responsable del tratamiento de la información personal debe informar a los interesados ​​sobre qué datos se recopilan, por qué se recopilan y durante cuánto tiempo se conservarán. También deben informarles de su derecho a negar el consentimiento y de las consecuencias de hacerlo.

Lea también: Preocupaciones por la privacidad y la IA generativa: todo lo que necesita saber

Para cumplir con la Ley de Protección de Información Personal (PIPA) de Corea del Sur, siga estas instrucciones:

• Comprender el alcance y requisitos de la ley.
• Designe a una persona o un equipo para supervisar el cumplimiento de la protección de datos dentro de su organización.
• Informar a las personas sobre cómo se maneja su información personal. Esto incluye proporcionar avisos de privacidad claros y de fácil acceso que expliquen los propósitos del procesamiento de datos, los derechos de las personas y cómo pueden ejercer esos derechos.
• Obtener el consentimiento explícito de las personas antes de recopilar, usar o compartir su información personal.
• Recopile únicamente la información personal que sea necesaria para los fines indicados y consérvela únicamente durante el tiempo que sea necesario.
• Implementar medidas técnicas y organizativas apropiadas para proteger la información personal contra el acceso, divulgación, modificación o eliminación no autorizados.
• Garantizar la exactitud de los datos personales de las personas físicas. Asimismo, permite a los usuarios solicitar la rectificación de sus datos.
• Proporcionar a los usuarios la opción de solicitar copias de sus datos personales almacenados en la organización.
• Si transfiere información personal fuera de Corea del Sur, asegúrese de que existan medidas de seguridad adecuadas para proteger los datos.
• Revise y actualice periódicamente sus políticas y procedimientos de protección de datos para garantizar el cumplimiento continuo de la PIPA.
• Lleve a cabo auditorías internas y evaluaciones de impacto para identificar y abordar posibles brechas de cumplimiento o vulnerabilidades de seguridad.
• Establecer un mecanismo de respuesta activo para abordar las violaciones de datos. Esto incluye notificar a las personas afectadas y a las autoridades pertinentes de acuerdo con los requisitos de la PIPA.

Lea también: Ley de Protección de Datos Personales de Singapur (PDPA): descripción general

La Ley de Protección de Información Personal tiene diferentes disposiciones de sanciones para diferentes incumplimientos e infracciones.

A continuación se detallan las sanciones y la infracción incluida:

1. Prisión con trabajos forzados de hasta 10 años o multa de hasta 100 millones de wones

• Alterar o borrar información personal para interrumpir las operaciones de una institución pública.
• Recopilar información personal de forma ilícita y lucrarse con el procesamiento de información personal por parte de terceros.

2. Prisión con trabajos forzados de hasta 5 años o multa de hasta 50 millones de wones

• Recopilar o compartir información personal sin consentimiento.
• Uso indebido de información personal con fines lucrativos o desleales.
• Tratamiento ilícito de información personal sensible.
• Mal uso de información personal seudonimizada.
• Mal manejo de información personal por parte de proveedores de servicios de información y comunicación.
• Recopilar información personal de niños menores de 14 años sin el consentimiento de su representante legal
• Dañar o alterar la información personal de las personas

3. Prisión con trabajos forzados de hasta 3 años o multa de hasta 30 millones de wones.

• Mal uso de dispositivos de procesamiento de datos visuales.
• Obtener ilegalmente g información personal con fines de lucro.
• Hacer mal uso de información confidencial adquirida durante el servicio.

4. Prisión con trabajos forzados de hasta 2 años o multa de hasta 20 millones de wones.

• No garantizar la seguridad de la información personal, lo que puede provocar pérdidas o daños.
• No destruir la información personal según sea necesario.
• No rectificar o borrar información personal y continuar usándola o compartiéndola.

La Ley de Protección de Información Personal de Corea del Sur es la principal regulación de protección de datos del país. La ley otorga varios derechos a los residentes de Corea del Sur para proteger su información personal.

También describe ciertos principios para las empresas que manejan la información personal de sus clientes. La Comisión de Protección de Información Personal sería responsable de regular la PIPA en Corea del Sur. La ley tiene diferentes disposiciones sobre sanciones por incumplimiento de la ley.

Esperamos que este artículo le haya ayudado a comprender la Ley de Protección de Información Personal de Corea del Sur. Si tiene alguna consulta, déjela en la sección de comentarios; Estaremos encantados de ayudarle.

Descargo de responsabilidad: Este artículo fue escrito basándose en una versión traducida de la Ley de Protección de Información Personal de Corea del Sur. Estaba destinado únicamente a fines informativos y no representa asesoramiento legal. No tenemos intención de obtener ningún tipo de relación abogado-cliente. Si buscas asesoramiento jurídico, te recomendamos contactar con un profesional.