El año pasado, Tailandia publicó la Ley de Protección de Datos Personales, B.E. 2562(2019) o “PDPA” en el Diario Oficial el 27 de mayo de 2019. Es decir entró en vigor en esa fecha, salvo lo dispuesto en el Capítulo II, Capítulo III, Capítulo V, Capítulo VI, Capítulo VII, y el artículo 95 y el artículo 96, que entrará en vigor el 28 de mayo de 2020.

No obstante, el Real Decreto sobre Entidades y Empresas No Sujetas a Ejecución del PDPA B.E. 2563, fue publicada posteriormente el 21 de mayo de 2020 debido a que el cumplimiento de las reglas, métodos y condiciones especificados por esta Ley son muy detallados y complicados.

Además, la tecnología avanzada también se vuelve esencial para la protección de los datos personales, ya que este es el objeto de esta Ley. En consecuencia, la mayoría del controlador de datos, incluidos los sectores gubernamentales y comerciales en Tailandia, no están listos para cumplir con PDPA.

El Real Decreto, por lo tanto, se promulgó para retrasar la implementación de PDPA. La siguiente es una lista de los Capítulos y las entidades comerciales exentas de PDPA por un período de tiempo específico según lo dispuesto por el Real Decreto que está en vigor desde el 27 de mayo de 2020 y finaliza el 31 de mayo de 2021:

Capítulos Exentos

Capítulo II: De la protección de datos personales, disposición general, recolección de datos personales, uso o divulgación de datos personales)

Capítulo III: Derechos del titular de los datos.

Capítulo V: Quejas

Capítulo VI: Responsabilidad Civil

Capítulo VII: Sanciones, responsabilidad penal, responsabilidad administrativa y

Sección 95: Para los datos personales que hayan sido recopilados previamente por un Controlador de datos antes de la fecha de vigencia de esta Ley, el Controlador de datos tendrá derecho a continuar recopilando y utilizando dichos Datos personales para los fines originales.

Negocios exentos

1 Autoridades gubernamentales.

2 Autoridades públicas extranjeras y organizaciones internacionales.

3 Fundaciones, asociaciones, organizaciones religiosas y organizaciones sin fines de lucro.

4 Negocios agrícolas.

5 Empresas industriales.

6 Negocios comerciales.

7 Empresas médicas y de salud pública.

8 Negocios de energía, vapor, agua y eliminación de desechos, incluidos sus negocios relacionados.

9 Empresas de construcción.

10 Empresas de reparación y mantenimiento.

11 Negocios de transporte, logística y almacenamiento.

12 Empresas turísticas.

13 Negocios de comunicación, telecomunicaciones, informática y digitales.

14 Negocios financieros, bancarios y de seguros.

15 Negocios inmobiliarios.

16 Negocios profesionales.

17 Negocio de servicios de gestión y apoyo.

18 Empresas científicas y tecnológicas, académicas de bienestar social y artísticas.

19 Empresas educativas.

20 Negocios de entretenimiento y recreación.

21 Negocio de seguridad.

22 Negocios de empresas familiares y comunitarias cuyas actividades no pueden clasificarse.

En opinión de los abogados de H&P, la ley de PDPA Tailandia se vio influenciada por el Reglamento General de Protección de Datos de la Unión Europea, cuyo objetivo es proteger los Datos Personales de cualquier efecto que surja del procesamiento de la información personal. El resumen de PDPA Tailandia es el siguiente:

Cumplimiento de la ley de PDPA Tailandia

Esta Ley se aplica a la recopilación, el uso o la divulgación de Datos personales por parte de un Controlador de datos o un Procesador de datos que se encuentre en el Reino de Tailandia, independientemente de si dicha recopilación, uso o divulgación se lleva a cabo en el Reino de Tailandia o no. Si un Controlador de datos o un Procesador de datos se encuentra fuera del Reino de Tailandia, esta Ley se aplicará a la recopilación, el uso o la divulgación de Datos personales de interesados que se encuentren en el Reino de Tailandia, donde las actividades de dichos Datos El controlador o el procesador de datos son la oferta de bienes o servicios a los interesados que se encuentran en el Reino de Tailandia, independientemente de si el pago lo realiza el interesado y el seguimiento del comportamiento del interesado, donde el comportamiento tiene lugar en el Reino de Tailandia.

En esta Ley, se entiende por Datos Personales cualquier información relativa a una persona, que permita la identificación de dicha persona, ya sea directa o indirectamente, pero sin incluir la información de las Personas fallecidas. En particular, Controlador de datos significa una persona o persona jurídica que tiene el poder y el deber de tomar decisiones con respecto a la recopilación, el uso o la divulgación de los Datos personales y Procesador de datos significa una Persona o persona jurídica que opera en relación con la recopilación, el uso o la divulgación de los Datos personales. uso o divulgación de los Datos personales de acuerdo con las órdenes dadas por o en nombre de un Controlador de datos.

La recopilación y divulgación de datos personales

El Controlador de datos no recopilará, usará ni divulgará Datos personales a menos que el interesado haya dado su consentimiento antes o en el momento de dicha recopilación, uso o divulgación. Una solicitud de consentimiento deberá hacerse explícitamente en una declaración escrita o a través de medios electrónicos que la PDPA haya especificado, por ejemplo, al solicitar el consentimiento del interesado, el Controlador de datos personales también deberá informar el propósito de la recopilación, uso o divulgación de los Datos Personales. Tal solicitud de consentimiento será presentado de manera que se distinga del otro asunto, en una forma y declaraciones fácilmente accesibles e inteligibles, utilizando un lenguaje claro y sencillo, y que no engañe o induzca a error al titular de los datos con respecto a tal propósito.

Tras el consentimiento, el interesado podrá retirar su consentimiento en cualquier momento. La retirada del consentimiento será tan fácil como dar el consentimiento. Si la solicitud de consentimiento del titular de los datos que no está de acuerdo con lo prescrito en esta Ley, no tendrá efecto vinculante para el titular de los datos y ya no permitirá que el Controlador de datos recopile, use o divulgue los Datos personales.

El Responsable del tratamiento deberá proporcionar las medidas de seguridad adecuadas para evitar la pérdida, el acceso, el uso, la alteración, la corrección o la divulgación no autorizados o ilícitos de los Datos personales, y dichas medidas deberán revisarse cuando sea necesario o cuando la tecnología haya cambiado para mantener de manera eficiente la seguridad y la protección adecuadas.

Sanción y Responsabilidad

Esta Ley establece las sanciones civiles, penales y administrativas de la siguiente manera.

La Responsabilidad Civil: El Responsable del Tratamiento o el Encargado del Tratamiento, cuya operación en relación con los Datos Personales viole o incumpla lo dispuesto en la presente Ley y cause perjuicios al interesado, deberá indemnizar al interesado por dichos perjuicios, independientemente de si dicha operación se realiza de forma intencionada o negligente. Además, el tribunal tendrá la facultad de ordenar al controlador de datos o al procesador de datos que pague daños punitivos además de la compensación real dictada por el tribunal según lo considere adecuado, pero que no exceda dos veces el monto de dicha compensación real.

La Responsabilidad Penal: Si el Responsable del Tratamiento utiliza o divulga Datos Personales sin el consentimiento del titular de los datos o de la persona física o jurídica que obtiene los Datos personales utiliza o divulga dichos Datos Personales para cualquier fin que no sea el previamente notificado al Responsable del Tratamiento. en la solicitud de obtener tales Datos Personales si causa a otra persona algún daño, menoscaba su reputación, o expone a esa otra persona a ser despreciada, odiada o humillada, será sancionada con pena privativa de libertad no mayor de seis meses , una multa que no exceda los quinientos mil baht, o ambas.

En el caso de que el infractor que comete el delito previsto en esta Ley sea una persona jurídica y el delito se realice como resultado de las instrucciones dadas por o del acto de cualquier director, gerente o persona, quien será responsable por tal acto del personas jurídicas, o en el caso en que dicha persona tenga el deber de instruir o realizar algún acto pero omita al instructor realizar tal actividad hasta que la persona jurídica cometa dicho delito, dicha persona también será castigada con la pena prescrita para tal delito.

La Responsabilidad Administrativa: El Responsable del Tratamiento o el Encargado del Tratamiento, que no se encuentre operativo en relación con los Datos Personales, infrinja o incumpla lo dispuesto en la presente Ley. Serán sancionados con una multa administrativa de un máximo de 5 millones de baht.

Si necesita hablar con un abogado en Tailandia sobre cumplimiento y protección de datos personales, comuníquese con los abogados de H&P en info@abogadotailandia.com

H&P or Herrera and Partners