La Ley de Protección de Datos Personales, B.E. 2562 (2019), o PDPA es una ley de protección de datos personales en Tailandia, que se publicó en un boletín del gobierno el 27 de mayo de 2019. Sin embargo, dado que la mayoría de las empresas tailandesas no estaban preparadas para la implementación de este reglamento debido a la complejidad del estatuto y las dificultades financieras. durante la pandemia de Covid-19, por lo tanto, el gobierno tailandés ha retrasado la aplicación de esta ley para después del 31 de mayo de 2022, lo que le da al sector empresarial más tiempo para preparar medidas suficientes para un adaptarse a la nueva legislación.

PDPA tiene como objetivo proteger la privacidad y los derechos de seguridad de las personas controlando el procesamiento de datos ilegal y desproporcionado en las actividades comerciales. El contenido de PDPA es en su mayoría similar al GDPR, la ley de protección de datos personales en Europa. Sin embargo, hay algunas disposiciones de PDPA que son diferentes de GDPR, como la definición de datos personales y la base legal para procesar datos personales. Los abogados de H&P en Tailandia han preparado este artículo sobre la Ley de Protección de Datos como una continuación del articulo que publicamos en Julio de 2020 sobre esta regulación.

¿Que son datos personales según PDPA?

Los “datos personales” según la PDPA se definen de forma amplia. Se refiere a cualquier información que pueda identificar directa o indirectamente a la persona, como el nombre, la dirección de correo electrónico, el número de teléfono, los antecedentes médicos o penales. Sin embargo, los datos personales no se limitan solo al texto. También incluye fotografías, audio, video, registros de camas de vigilancia o cualquier forma de información que pueda estar relacionada con una determinada persona. Esto significa que, si recibe esa información de su operación comercial, estará sujeto a PDPA. El propietario de los datos personales se denomina “Sujeto de datos”.

¿Qué es el tratamiento de datos personales?

El procesamiento de datos personales bajo PDPA cubre la recopilación, uso y divulgación de datos personales por parte del controlador de datos y el procesador de datos.

¿Quién está sujeto a la PDPA?

PDPA impone las responsabilidades a cualquier persona que procese los datos personales, que se denomina “Controlador de datos” y “Procesador de datos”.

Un controlador de datos es una persona o persona jurídica que tiene el poder de decidir cómo se procesarán los datos personales. Si la organización designa al empleado para procesar los datos personales, la organización todavía se considera un controlador de datos incluso si la empresa no toma ninguna medida por sí misma. La razón es que el empleado simplemente realiza actividades en nombre de su empleador, lo que significa que la empresa tiene pleno poder para gestionar los datos.

Otra parte controlada por PDPA es el procesador de datos. Se refiere al tercero que procesa datos personales en nombre del controlador de datos. Sin embargo, la definición no incluye al empleado del controlador de datos, ya que la persona en la organización del controlador de datos no se considera por separado como un tercero. El procesador de datos podría ser una persona o cualquier agencia externa que brinde servicios en relación con el procesamiento de datos. Por ejemplo, proveedor de servicios en la nube, proveedor de servicios de nómina.

El procesador de datos procesa los datos personales por orden del controlador de datos, por lo que el controlador de datos no estará protegido de ninguna responsabilidad derivada de la violación de la PDPA realizada por su procesador de datos. Por lo tanto, en opinión de los abogados del despacho H&P en Bangkok, si su organización o empresa subcontrata a una agencia externa para que se encargue de las actividades de procesamiento de datos, es posible que necesite un contrato integral para reducir el posible riesgo y garantizar que el procesador de datos tenga un sistema de seguridad adecuado para el procesamiento de datos.

¿Cuál es la base legal para procesar datos personales?

En general, el procesamiento de datos personales por cualquier parte que no sea el interesado está prohibido a menos que tenga una base legal para justificar su acción. La mayoría de las personas malinterpretan que todo procesamiento de datos necesita el consentimiento del interesado. No es cierto. Existen siete motivos legítimos por los que el responsable del tratamiento puede reclamar su actuación, dependiendo de la relación entre el responsable del tratamiento y los interesados o de la necesidad de tratar los datos.

Las bases legales bajo la sección 24 de PDPA incluyen la base del consentimiento, la base del interés vital, la base contractual, la base de la autoridad oficial, la base del interés legítimo, la base de la obligación legal y la base para la preparación de los documentos históricos y la investigación.

En la transacción comercial, la base legal que generalmente está relacionada es la “base de contratación”. La justificación bajo esta base es que la parte contratante necesita recopilar datos personales para cumplir con su obligación en virtud del contrato. Por ejemplo, desea obtener un préstamo del banco. El banco debe recopilar su información para asegurar su credibilidad. En este caso, el banco puede procesar legalmente sus datos sobre una base de contratación sin el requisito de “consentimiento explícito”. Sin embargo, aunque es posible que el banco no tenga que obtener su consentimiento. Pero bajo el “principio de transparencia”, el banco, como controlador de datos, debe informar al cliente sobre el procesamiento de dichos datos según lo impuesto por la sección 23 de la PDPA.

Otra base que suele utilizar el operador comercial es la “base del interés legítimo”. Bajo esta base, el controlador de datos podría procesar datos personales sin ninguna relación con el interesado para proteger su interés legítimo. Por ejemplo, tener CCTV o una cámara de vigilancia en el área pública para la seguridad de los controladores de datos. Esta base legal es relativamente flexible, pero incierta porque el responsable del tratamiento debe poder demostrar que su interés legítimo prevalece sobre los derechos fundamentales del interesado.

Sin embargo, la base anterior no es aplicable para procesar algunos datos específicos que se consideran datos confidenciales según la sección 26 de la PDPA, como los datos sobre origen racial, étnico, opiniones políticas, comportamiento religioso, sexual, antecedentes penales, datos de salud, datos genéticos datos, datos biométricos. Si procesa esos datos, siempre se requiere un “consentimiento explícito”, excepto que su propósito recaiga dentro del alcance de la excepción bajo la sección 26, como para evitar un peligro para la vida del sujeto de datos cuando el sujeto de datos no puede dar su consentimiento.

¿Cómo preparar a su empresa en Tailandia para PDPA?

Bajo PDPA, el controlador de datos y el procesador de datos deben implementar medidas técnicas y organizativas suficientes para mantener la seguridad y privacidad de los datos personales procesados. Por ejemplo, disponer de un sistema informático eficaz, formar al personal responsable del tratamiento de los datos personales. Sin embargo, para tener las medidas adecuadas para su organización, debe verificar cuáles son los datos personales que puede recopilar de su cliente o empleado en su organización. Además, debe revisar si es necesario conservar esa información. Debe recopilar solo los datos que sean necesarios para usted. Si esos datos son necesarios, el siguiente paso que debe hacer es revisar cómo se procesará esa información, cómo se retiene en su empresa, el sistema para proteger esos datos es lo suficientemente seguro. ¿Cuánto tiempo lo conservará? ¿Sigue siendo necesario para su propósito? ¿Revelará esos datos a terceros? Además, si su organización procesa una gran escala de información confidencial, se le pedirá que designe al DPO.

Si necesita hablar con un abogado en Tailandia sobre la implementación de PDPA en su negocio, contáctenos en [email protected]