Ley tailandesa de Protección de Datos Personales (PDPA)

La Ley de Protección de Datos Personales de Tailandia o PDPA para abreviar es una ley integral de privacidad de datos que fue aprobada por el gobierno tailandés en 2019. Como una de las muchas naciones de todo el mundo en implementar leyes de protección de datos personales tras la aprobación del Reglamento General de Protección de Datos de la UE o GDPR, la PDPA es la primera ley consolidada de protección de datos que se aprueba en el país de Tailandia. Como tal, la PDPA impone diversos requisitos y restricciones sobre cómo las empresas, organizaciones y particulares pueden proceder a recopilar, procesar, utilizar y divulgar los datos personales o la información de los ciudadanos tailandeses.

¿Cuál es el ámbito de aplicación de la PDPA?

La PDPA se aplica a cualquier “persona física o jurídica que recoja, utilice o divulgue los datos personales de una persona física (y viva), con ciertas excepciones (por ejemplo, la excepción de la actividad doméstica)”. Además, la PDPA también incluye a los responsables o encargados del tratamiento de datos que recojan, utilicen o divulguen datos personales de personas físicas residentes en Tailandia. Es más, la PDPA también contiene disposiciones relativas a la aplicabilidad extraterritorial sobre entidades y organizaciones empresariales fuera de Tailandia en las siguientes circunstancias:

• Cuando las actividades de recogida, uso y divulgación de datos o información personales estén relacionadas con la oferta de bienes o servicios a interesados que residan en Tailandia, independientemente de que los pagos sean efectuados directamente por dichos interesados.
• Cuando las actividades de recogida, uso y divulgación de datos o información personales estén relacionadas con la supervisión del comportamiento de un interesado, cuando dicho comportamiento tenga lugar en Tailandia.

¿Cómo se define el término “datos personales” en la PDPA?

Según la PDPA, los datos personales se clasifican en dos categorías distintas: “datos personales generales” y “datos personales sensibles”. Ambos tipos de datos tienen diferentes requisitos y exenciones en virtud de la PDPA. Además, la PDPA también proporciona definiciones específicas para los términos “responsable del tratamiento” y “encargado del tratamiento”, mientras que otras formas de datos, como los datos sanitarios o los datos biométricos, no son aplicables en virtud de la PDPA. Las definiciones que ofrece la PDPA son las siguientes:

• Datos personales generales- “Cualquier información relativa a una persona física, que permita la identificación de dicha persona, ya sea directa o indirectamente, pero sin incluir información de personas fallecidas”.
• Datos personales sensibles-“: Cualquier dato personal relativo al origen racial o étnico, opiniones políticas, culto, creencias religiosas o filosóficas, comportamiento sexual, antecedentes penales, datos de salud, discapacidad, información sindical, datos genéticos, datos biométricos, o de cualquier dato que pueda afectar al interesado en la misma forma que será prescrita por el PDPC”.
• Responsable del tratamiento de datos– “Una persona física o jurídica que opera en relación con la recogida, uso o divulgación de los datos personales en virtud de las órdenes dadas por o en nombre de un responsable del tratamiento de datos personales, por lo que dicha persona física o jurídica no es un responsable del tratamiento de datos personales”.
• Encargado del tratamiento– “Persona física o jurídica que tiene el poder y las obligaciones de tomar decisiones relativas a la recogida, uso o divulgación de los datos personales”.

¿Cuáles son los requisitos de la PDPA para las empresas dentro y fuera de Tailandia?

La PDPA establece una serie de requisitos y restricciones que deben cumplir los particulares, las entidades empresariales y las organizaciones, tanto dentro como fuera de Tailandia. Estos requisitos incluyen:

• Notificación del tratamiento de datos – Los responsables del tratamiento de datos están obligados a informar a los interesados antes o en el momento de la recogida de todos los detalles requeridos, es decir, la finalidad de la recogida, excepto en los casos en que un interesado ya conozca o haya sido informado de tales detalles.
• Registros de tratamiento de datos– Los responsables y encargados del tratamiento de datos están obligados a mantener registros de todas las actividades de tratamiento de datos, que pueden ser en formato electrónico o escrito. Estos registros de tratamiento deben presentarse tanto a los interesados como a la Oficina del CPPD.
• Evaluación del impacto de la protección de datos– Los responsables del tratamiento de datos deben reconocer el nivel de riesgo y gravedad asociado a los datos personales que recopilan, utilizan y divulgan, y las formas en que estos riesgos podrían afectar negativamente a los derechos y libertades de las personas físicas.
• Nombramiento de un delegado de protección de datos – En virtud de la PDPA, las entidades y organizaciones empresariales también están obligadas a nombrar a un delegado de protección de datos o DPO en determinadas circunstancias. Por ejemplo, el nombramiento de un DPA es obligatorio si la actividad principal de un controlador o procesador de datos es recoger, utilizar o divulgar los datos personales sensibles de los interesados.
• Notificaciones de violaciones de datos – Los responsables del tratamiento de datos deben notificar a la Oficina del CPD las violaciones de datos sin demora y, cuando sea factible, en un plazo de 72 horas a partir del momento en que tengan conocimiento de dicha violación. En los casos en que sea probable que una violación de datos plantee daños o riesgos significativos para los interesados asociados, los responsables del tratamiento de datos también están obligados a notificar a dichos interesados, así como a proporcionar medidas correctivas en relación con la violación sin demora indebida.
• Conservación de datos– Al recoger los datos personales de los interesados, los responsables del tratamiento están obligados a informar a dichos interesados, antes o en el momento de la recogida, del periodo de tiempo durante el cual se conservarán sus datos. Si no es posible proporcionar a los interesados un periodo de tiempo específico, debe especificarse el periodo previsto de conservación de los datos, de acuerdo con una norma específica de conservación de datos.
• Datos de menores– Al recoger datos de interesados menores de 20 años, los responsables del tratamiento de datos pueden tener que obtener el consentimiento paterno para los menores de entre 0 y 10 años, obtener el consentimiento de los menores que tengan más de 10 años pero menos de 20 para un acto en el que los menores se consideren competentes para dar su consentimiento, y obtener el consentimiento paterno para los menores que tengan más de 10 años pero menos de 20 para actos en los que los menores no se consideren competentes para dar su consentimiento.
• Categorías especiales de datos personales– Al recoger datos personales sensibles de los interesados, los responsables del tratamiento están obligados a obtener el consentimiento explícito de dichos interesados, a menos que se aplique una exención. En este sentido, los responsables del tratamiento sólo están autorizados a recoger datos personales relacionados con antecedentes penales cuando dicha recogida sea gestionada por una autoridad oficial autorizada o esté prescrita de otro modo por otras disposiciones de la APDP.
• Controlador y procesador– Cuando controlan y procesan datos personales, los controladores y procesadores de datos son responsables de establecer acuerdos para delimitar las actividades llevadas a cabo por ambas partes respectivas. Dicho acuerdo debe establecer las obligaciones específicas de los encargados del tratamiento de acuerdo con las disposiciones de la LOPD.

¿Cuáles son los derechos de los interesados en virtud de la PDPA y cómo se hacen valer?

En virtud de la LOPD, los interesados tienen una serie de derechos en relación con los datos personales y la información que facilitan a los responsables y encargados del tratamiento. Estos derechos incluyen:

• El derecho a ser informado.
• Derecho de acceso.
• Derecho de rectificación.
• Derecho de supresión.
• Derecho de oposición o exclusión voluntaria.
• Derecho a la portabilidad de los datos.
• Derecho a no ser objeto de decisiones automatizadas.
• Derecho a retirar el consentimiento.
• Derecho a presentar una denuncia.

En cuanto a la aplicación y las sanciones relacionadas con la violación de la PDPA, la ley es aplicada por la Oficina del PDPC, y los controladores o procesadores de datos que incumplan la PDPA están sujetos a responsabilidades civiles que incluyen daños punitivos, además de otras sanciones penales y administrativas. Estas sanciones incluyen multas monetarias de hasta 5 millones de THB (160.214 dólares), así como sanciones penales que pueden incluir hasta 1 año de prisión, una multa de hasta un millón de THB (32042 dólares), o ambas cosas.

Aunque muchas normativas de privacidad de datos de todo el mundo son menos restrictivas que el ampliamente conocido Reglamento General de Protección de Datos o GDPR de la UE, la PDPA es en muchos aspectos una de las normativas de privacidad más estrictas en términos de aplicación extraterritorial. Como tal, los ciudadanos tailandeses tienen la tranquilidad de que sus derechos de datos personales no se infringen, incluso tratando con personas, entidades comerciales y organizaciones que no están físicamente ubicadas dentro de Tailandia. De este modo, los derechos de privacidad de los datos de los ciudadanos tailandeses pueden defenderse en todo momento.