La PIPA de 2011, protección de datos para Corea del Sur

La Ley de Protección de Datos Personales de 2011 (PIPA, por sus siglas en inglés) es una ley surcoreana de protección de datos. Aprobada originalmente en 2011, la ley fue modificada recientemente en 2020 para proporcionar derechos adicionales de protección de datos a los ciudadanos surcoreanos. En la misma línea que muchas otras leyes de privacidad de todo el mundo, la PIPA establece diversas restricciones a las personas, entidades empresariales y organizaciones que recopilan y procesan la información personal de los ciudadanos surcoreanos. A la inversa, la PIPA también establece varios derechos que se conceden a los ciudadanos surcoreanos en relación con la protección de datos, así como vías de recurso en caso de que un interesado considere que sus derechos han sido vulnerados.

¿Cuál es el ámbito de aplicación de la PIPA?

La PIPA se aplica a todos los “responsables del tratamiento de datos” dentro de Corea del Sur, ya sean particulares, entidades empresariales, terceros asociados u otras formas de organizaciones que recojan, accedan, procesen o divulguen información personal obtenida de ciudadanos surcoreanos. Por otra parte, mientras que muchas otras leyes de privacidad de datos de todo el mundo contienen disposiciones específicas sobre el ámbito territorial de la ley, la PIPA no especifica la jurisdicción de la ley en relación con los organismos y particulares que procesan la información personal de ciudadanos surcoreanos fuera de los límites físicos de Corea del Sur.

Sin embargo, la aplicabilidad territorial de la PIPA se afirma caso por caso en la práctica, ya que el gobierno surcoreano tiene en cuenta una serie de factores a la hora de determinar si una agencia o individuo concreto debe cumplir la ley, entre ellos si la empresa genera ingresos por hacer negocios en Corea del Sur o presta servicios específicamente dirigidos a ciudadanos surcoreanos. En cuanto al ámbito de aplicación material, la PIPA abarca el “tratamiento de datos personales”, definido como la “recogida, generación, registro, almacenamiento, conservación, procesamiento, edición, búsqueda, salida, rectificación, restauración, uso, suministro, divulgación o destrucción de datos personales o cualquier otra acción similar a cualquiera de las anteriores”.

¿Qué obligaciones impone la LOPD a los responsables del tratamiento de datos?

En virtud de la PIPA, los responsables del tratamiento de datos deben respetar una serie de principios en relación con el tratamiento de información personal. Entre estos principios figuran los siguientes

• Los responsables del tratamiento de datos deben especificar explícitamente la finalidad para la que se va a procesar la información personal, así como recopilar la información personal de forma lícita, justa y excluida en la medida mínima necesaria para la finalidad para la que se recopiló.
• Los responsables del tratamiento de datos deben procesar la información personal de forma adecuada en relación con los fines para los que se procesa la información personal, así como abstenerse de utilizar cualquier información personal para cualquier motivo distinto de estos fines.
• Los responsables del tratamiento de datos deben garantizar que toda la información personal en su poder es completa, exacta y está actualizada en la medida necesaria para los fines para los que se recopiló dicha información.
• Los responsables del tratamiento de datos son responsables de tratar la información personal de forma segura y de acuerdo con el método utilizado para el tratamiento de datos, el tipo de datos personales que se recogen y teniendo en cuenta la gravedad y los riesgos potenciales que podrían plantearse a los interesados como resultado de la recogida de datos.
• Los responsables del tratamiento de datos deben hacer pública su política de privacidad y cualquier otra información pertinente relacionada con la recogida y el tratamiento de datos personales, así como garantizar a los interesados el derecho a acceder a su información personal en caso de que lo soliciten.
• Los responsables del tratamiento deben tratar la información personal de los interesados de forma que se reduzcan al mínimo los riesgos de vulnerar la intimidad de dichos interesados. Si es posible que los responsables del tratamiento de datos cumplan los fines de la recogida de información personal mediante datos personales seudonimizados o anonimizados, los responsables del tratamiento de datos deben tratar los datos personales mediante anonimización siempre que sea posible, y mediante seudonimización, si es imposible cumplir los fines de la recogida de información personal mediante anonimización.
• Los responsables del tratamiento de datos deben ganarse la confianza de los interesados respetando y cumpliendo las responsabilidades y obligaciones establecidas en la PIPA y otras leyes surcoreanas relacionadas.

¿Cuáles son los derechos de los ciudadanos surcoreanos en virtud de la PIPA?

La PIPA otorga a los ciudadanos surcoreanos una serie de derechos en materia de datos personales. Entre ellos figuran los siguientes

• Derecho a ser informado– Al obtener el consentimiento de los interesados, los responsables del tratamiento de datos están obligados a notificar por escrito a los interesados la finalidad de la recogida y el uso de la información personal, los elementos específicos de información personal que se van a recoger, el periodo durante el cual se conservará dicha información personal y el derecho de los interesados a denegar su consentimiento a la recogida de datos, así como las desventajas que puedan derivarse de la denegación. Además, en caso de que los responsables del tratamiento prevean compartir la información personal de los interesados con terceros, también son responsables de notificar a dichos interesados los nombres de los terceros que tendrán acceso a su información personal, los elementos de información personal que se compartirán, los fines de los terceros para recopilar la información personal de los interesados, el periodo durante el cual el tercero utilizará y conservará la información personal, y el derecho de los interesados a denegar su consentimiento a la recopilación de datos, así como cualquier desventaja que pueda derivarse de la negativa.
• Derecho de acceso– En virtud de la PIPA, los interesados conservan el derecho a solicitar que un responsable del tratamiento de datos les conceda acceso a la información personal que dicho responsable posee. Sin embargo, existen circunstancias en las que puede denegarse este acceso, como cuando el acceso pudiera suponer un posible perjuicio para la vida de un tercero.
• Derecho de rectificación– Además del derecho del interesado a solicitar acceso a su información personal, también conserva el derecho a rectificar dicha información después de acceder a ella.
• Derecho de supresión– En caso de que se conceda a los interesados acceso a su información personal pero decidan no rectificarla, también tienen derecho a solicitar que se borre su información personal.
• Derecho a oponerse/excluirse: los responsables del tratamiento de datos deben permitir a los interesados oponerse a la recogida y tratamiento de su información personal en cualquier momento, así como responder a la solicitud de un interesado de suspender el tratamiento de su información personal una vez recogida.

¿Cuáles son las sanciones por infringir la PIPA?

Además de imponer restricciones a los responsables del tratamiento de datos y otorgar derechos a los interesados, la Ley de Protección de Datos Personales es aplicada por la Comisión de Protección de Datos Personales (PIPC). Cuando la PIPC constata que un determinado responsable del tratamiento de datos ha infringido la ley, dicho responsable está sujeto a diversas sanciones administrativas, incluidas multas, órdenes de corrección y recargos de penalización. Para ilustrar los posibles castigos que pueden imponerse como resultado de la violación de la PIPA, el 25 de noviembre de 2020, la PIPC impuso un recargo de 6.700 millones de KRW (aproximadamente 5.740.423 $) a una “empresa internacional de medios sociales por el suministro de información personal a un operador comercial de terceros sin el consentimiento de los interesados, y remitió el caso a una autoridad de investigación por violación de la PIPA”.

Con la enmienda de 2020 a la PIPA, Corea del Sur cuenta ahora con una protección de datos equiparable a la de otros países del mundo, como el Reglamento General de Protección de Datos de la UE o el Derecho de los Consumidores a la Información o CDR de Australia. Además, Corea del Sur se suma a la reciente tendencia de legislación sobre privacidad que sigue creciendo en todo el mundo, ya que la información y los datos personales se comparten a un ritmo nunca visto. Por ello, los ciudadanos surcoreanos pueden estar seguros de que disponen de medios para proteger la información personal que comparten con quienes manejan datos, así como para recibir justicia en caso de que se acceda a su información personal o se divulgue sin su consentimiento.