Según estudios recientes, 162 países han promulgado leyes de protección de datos. En Tailandia, esa ley es la Ley de Protección de Datos Personales(PDPA).
La PDPA tailandesa se aplica a las empresas tanto dentro como fuera del país y otorga a las personas derechos sobre cómo se recogen y utilizan sus datos personales.
En esta guía, aprenderá todo lo que necesita saber sobre la ley de protección de datos de Tailandia, incluido a quién se aplica, qué exige y las sanciones por infringirla.
- ¿Qué es la Ley tailandesa de Protección de Datos Personales (PDPA)?
- Términos clave y definiciones de la PDPA de Tailandia
- ¿Qué cubre la Ley tailandesa de Protección de Datos Personales?
- Requisitos de la Ley tailandesa de Protección de Datos Personales
- La PDPA tailandesa frente a las leyes mundiales de protección de datos: Similitudes y diferencias
- ¿Cómo afecta la PDPA tailandesa a los consumidores?
- ¿Cómo afecta la PDPA tailandesa a las empresas?
- ¿Quién debe cumplir la PDPA tailandesa?
- ¿Cómo pueden las empresas cumplir la PDPA tailandesa?
- ¿Cómo se aplica la PDPA tailandesa?
- Multas y sanciones en virtud de la Ley tailandesa de protección de datos personales
- ¿Cómo ayuda Termly al cumplimiento de la PDPA en Tailandia?
- ¿Existen otras leyes relacionadas con la privacidad en Tailandia?
- Resumen
¿Qué es la Ley tailandesa de Protección de Datos Personales (PDPA)?
La Ley tailandesa de Protección de Datos Personales es la principal ley de protección de datos de los consumidores que protege a las personas en Tailandia.
Describe los derechos que tienen las personas sobre su información personal, esboza las directrices específicas que deben seguir las entidades para recopilar y utilizar legalmente la información de los consumidores y enumera las sanciones por infringir esos requisitos.
¿Cuándo entró en vigor la PDPA tailandesa?
Firmada en 2019, la Ley de Protección de Datos Personales de Tailandia entró oficialmente en vigor el 1 de junio de 2022.
Términos clave y definiciones de la PDPA de Tailandia
Para ayudarle a entender cómo cumplir la PDPA tailandesa, hemos incluido a continuación las definiciones de algunos términos clave tal y como aparecen en la traducción inglesa de la ley:
¿Qué cubre la Ley tailandesa de Protección de Datos Personales?
La PDPA tailandesa cubre la información personal de las personas físicas en Tailandia.
También cubre la recogida y el tratamiento de datos personales por responsables o encargados del tratamiento con sede en Tailandia, independientemente de la procedencia de los datos recogidos.
Requisitos de la Ley tailandesa de Protección de Datos Personales
Son varios los requisitos que deben cumplir las empresas que se acojan a la PDPA tailandesa.
Bases jurídicas para el tratamiento de datos
Según la PDPA tailandesa, las entidades pueden tratar legalmente datos personales por los siguientes motivos:
Consentimiento
Según la ley tailandesa de protección de datos, el consentimiento debe darse explícitamente por escrito o por vía electrónica cuando sea posible.
Al solicitar el consentimiento del usuario, una entidad cubierta debe proporcionar una notificación o revelación sobre el tratamiento de datos.
En ese caso, el usuario debe aceptar libremente el tratamiento por su propia voluntad y conservar el derecho a retirar fácilmente su consentimiento en cualquier momento.
Nombramiento de un responsable de la protección de datos (RPD)
La PDPA tailandesa exige que las entidades designen a un responsable de la protección de datos que se encargue de:
- Asesoramiento a las entidades para el cumplimiento de la PDPA tailandesa;
- Investigar si el responsable y/o el encargado del tratamiento cumplen plenamente la ley;
- Coordinarse con las autoridades reguladoras que velan por el cumplimiento de la ley, según sea necesario; y
- Mantener la confidencialidad de todos los datos personales adquiridos mientras se trabaja como RPD.
Los responsables y encargados del tratamiento también deben facilitar a los usuarios la información de contacto de su RPD.
Obligaciones de conservación de datos
Las entidades deben informar a los usuarios sobre el tiempo que conservan los datos en el momento de su recogida o antes.
Si no puede proporcionar una fecha, la entidad debe explicar el proceso utilizado para determinar cuánto tiempo se conservarán los datos.
Tratamiento de categorías especiales de datos personales
Para tratar categorías especiales de datos -como la información personal sensible-, la entidad debe obtener el consentimiento explícito del interesado.
No obstante, los responsables del tratamiento podrán recabar información relacionada con antecedentes penales si así lo autoriza una autoridad oficial.
Obligaciones contractuales
Los responsables del tratamiento y los encargados del tratamiento con arreglo a la PDPA de Tailandia deben celebrar un acuerdo contractual que obligue a ambas partes a cumplir todos los requisitos establecidos por la ley.
Parte del acuerdo debe incluir el mantenimiento de registros de datos personales y actividades y el cumplimiento de las normas establecidas por el Comité de Protección de Datos Personales (PDPC).
La PDPA tailandesa frente a las leyes mundiales de protección de datos: Similitudes y diferencias
Existen varias leyes de protección de datos en todo el mundo, entre ellas las siguientes:
- La Ley de Protección de la Intimidad de los Consumidores de California(CCPA)
- El Reglamento general de protección de datos (rgpd)
- Ley de Protección de Datos Personalesde Argentina (APDP de Argentina)
- Ley General de Protección de Datos de Brasil(LGPD)
- Ley canadiense de Protección de Datos Personales y Documentos Electrónicos(PIPEDA)
- Ley sudafricana de Protección de Datos Personales(POPIA)
- Ley australiana de Protección de la Intimidad de 1988(Ley de Protección de la Intimidad)
- Ley de Privacidad de Nueva Zelanda 2020
Puede comparar la PDPA tailandesa con las demás leyes mundiales sobre privacidad en la tabla siguiente.
| Ley de protección de datos | Requiere consentimiento expreso*. | Obliga a publicar una política de privacidad | Describe las obligaciones contractuales con terceros | Responsabiliza a las empresas de la seguridad de los datos | Tiene requisitos específicos para las transferencias internacionales de datos | Exige directrices adicionales para las categorías de información sensible (especial) |
| Tailandia PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Argentina PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CCPA | ✓ | ✓ | ✓ | ✓ | ||
| RGPD | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| LGPD | ✓ | ✓ | ✓ | ✓ | ✓ | |
| PIPEDA | ✓ | ✓ | ✓ | |||
| POPIA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Ley de Protección de la Intimidad de 1988 | ✓ | ✓ | ✓ | ✓ | ||
| Ley de Privacidad 2020 | ✓ | ✓ | ✓ | ✓ | ✓ |
*Con algunas excepciones para algunas leyes.
¿Cómo afecta la PDPA tailandesa a los consumidores?
La PDPA tailandesa afecta a los consumidores al concederles ciertos derechos sobre cómo se recogen y utilizan sus datos personales, entre ellos el derecho a:
- Acceder a sus datos personales
- Obtener una copia portátil de sus datos
- Rectificar datos incompletos sobre ellos
- Suprimir o hacer que un responsable del tratamiento desidentifique su información
- Exclusión voluntaria de determinadas actividades de tratamiento de datos, incluida la mercadotecnia directa
- Retirar el consentimiento en cualquier momento
- Presentar una reclamación ante una autoridad de datos
Los usuarios también tienen derecho a ser informados de qué datos se recogen sobre ellos, por qué se recogen y cuál es el periodo de conservación de esos datos.
¿A quién se aplica la PDPA tailandesa?
La Ley de Protección de Datos Personales se aplica a los datos de cualquier persona física viva en Tailandia.
Sin embargo, cualquier dato recogido y utilizado en un contexto doméstico o personal está exento.
¿Cómo afecta la PDPA tailandesa a las empresas?
La PDPA tailandesa afecta a las empresas de más formas que las bases legales y los requisitos de conservación de datos mencionados anteriormente: también afecta a las políticas de privacidad y cookies.
¿Cómo afecta la PDPA tailandesa a mi política de privacidad?
Según la PDPA tailandesa, las empresas deben informar a los particulares sobre los siguientes detalles antes o en el momento de la recogida de datos:
- El objetivo de la recogida de datos
- Período de conservación
- Derechos de las personas sobre sus datos
Una forma sencilla de cumplir estas directrices es presentar a sus usuarios una política de privacidad que cumpla estos requisitos de notificación.
Una vez que los particulares ya han sido informados de la recogida, no es necesario volver a presentarles dicho aviso.
¿Cómo afecta la PDPA tailandesa a mi sitio web política de cookies?
La PDPA de Tailandia afecta a su política de cookies porque los usuarios protegidos por la ley tienen derecho a ser informados de la recogida de datos en el momento de la recogida o antes, y las cookies de Internet recogen datos personales de los usuarios.
Debe asegurarse de que sus usuarios sepan qué cookies utiliza su sitio web, para qué sirven y por qué las utiliza antes de colocarlas en sus navegadores.
Para cumplir este requisito, debe presentar a sus usuarios un sitio web preciso política de cookies.
¿Quién debe cumplir la PDPA tailandesa?
Toda empresa tailandesa que recopile y procese datos personales debe cumplir la Ley de Protección de Datos Personales.
Las empresas de fuera de Tailandia que ofrecen bienes o servicios a particulares del país y controlan su comportamiento en línea también deben cumplir la ley, independientemente de que se produzca una transacción financiera.
¿Quién está exento de la PDPA tailandesa?
Las siguientes entidades están exentas de cumplir la PDPA tailandesa:\
¿Cómo pueden las empresas cumplir la PDPA tailandesa?
Para cumplir con la PDPA tailandesa, las empresas deben actualizar sus políticas de privacidad y de cookies para cumplir todos los requisitos de informar adecuadamente a los usuarios sobre la recopilación de datos.
La implantación de una plataformagestión del consentimiento con un banner de consentimiento correctamente configurado le permite cumplir los requisitos de inclusión y exclusión voluntarias establecidos por la ley.
Por último, para facilitar la recepción y respuesta a las solicitudes de los usuarios para hacer valer sus derechos, ponga en su sitio web un formulario de Solicitud de Acceso del Sujeto a los Datos (DSAR).
¿Cómo se aplica la PDPA tailandesa?
En Tailandia, la PDPA es aplicada por el Comité de Protección de Datos Personales (PDPC).
El PDPC también redacta y publica subreglamentos y directrices para la ley.
Pueden determinar cómo deben interpretar las entidades el cumplimiento de la APDP, emitir notificaciones a quienes infrinjan la ley y establecer normas o directrices futuras.
Multas y sanciones en virtud de la Ley tailandesa de protección de datos personales
Violar la PDPA tailandesa puede acarrear multas de hasta 5 millones de THB (145.000 dólares) y sanciones penales.
Las empresas también podrían verse obligadas a cesar toda actividad de tratamiento de datos.
¿Cómo ayuda Termly al cumplimiento de la PDPA en Tailandia?
Termly ofrece una plataformagestión del consentimiento ( CMP) que las empresas pueden configurar para cumplir los requisitos de consentimiento de entrada y salida exigidos por la PDPA tailandesa.
Nuestro equipo también está trabajando en la actualización de nuestro Generador de Política de Privacidad para que incluya la información necesaria para cumplir con los requisitos de notificación establecidos por la ley de privacidad de Tailandia.
Nuestro generador, verificado por nuestro equipo jurídico y nuestros expertos en privacidad de datos, formula preguntas sencillas sobre su empresa y sus actividades de tratamiento de datos y elabora una política exclusiva basada en sus respuestas.
Vuelva a visitarnos para saber cuándo estarán disponibles estas actualizaciones.
¿Existen otras leyes relacionadas con la privacidad en Tailandia?
Aunque la PDPA es la ley más importante de Tailandia en materia de privacidad de datos, existen otros textos legislativos, como los siguientes:
Resumen
La Ley de Protección de Datos Personales de Tailandia es una ley integral que da a los ciudadanos del país más control sobre cómo se recogen, procesan y utilizan sus datos.
Si está sujeto a la PDPA, actualice su política de privacidad para cumplir los requisitos de notificación establecidos por la ley.
Con recursos como nuestro Generador Generador de Política de Privacidad el cumplimiento de la legislación sobre protección de datos nunca ha sido tan fácil.
Más sobre el autor
Escrito por Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy es abogada especializada en privacidad con experiencia previa en privacidad y ciberseguridad en los sectores público y privado. Como antigua Westin Fellow en la IAPP, publicó varios artículos, libros blancos e infografías, y dirigió, coordinó y moderó seminarios web y paneles, todos ellos sobre privacidad y tecnología de la privacidad en Estados Unidos. Anokhy obtuvo su máster en la Universidad Carnegie Mellon y su doctorado en Derecho en la Universidad de Pittsburgh. Más sobre el autor
