Ley de Protección de Datos de Carácter Personal, B.E. 2019 (2019), o PDPA, es la ley de protección de datos personales en Tailandia, que se publicó en un boletín del gobierno el 27 de mayo de 2019. Sin embargo, como la mayoría de las empresas no estaban preparadas para implementar esta regulación debido a la complejidad del estatuto y la dificultad financiera durante la pandemia de Covid-19. El gobierno tailandés, por lo tanto, ha pospuesto la entrada en vigor de esta Ley para después del 31 de mayo de 2022, dando al sector empresarial más tiempo para preparar medidas suficientes para un cambio próximo.
PDPA tiene como objetivo proteger los derechos de privacidad y seguridad de las personas mediante el control del procesamiento de datos ilegal y desproporcionado en las actividades comerciales. Los contenidos de PDPA son en su mayoría similares a GDPR, la ley de protección de datos personales en Europa. Sin embargo, existen algunas disposiciones de PDPA que son diferentes de GDPR, como la definición de datos personales y la base legal para procesar datos personales. Los abogados de H&P han elaborado este artículo sobre PDPA como continuación del artículo que publicamos en julio de 2020 sobre la misma normativa.
¿QUE SON LOS DATOS PERSONALES SEGUN LA PDPA?
“Datos personales” bajo PDPA se define ampliamente. Se refiere a cualquier información que pueda identificar directa o indirectamente a la persona, como el nombre, la dirección de correo electrónico, el número de teléfono, los antecedentes médicos o penales. Sin embargo, los datos personales no se limitan únicamente al texto. También incluye fotografías, audio, video, registros de CCTV o cualquier forma de información que pueda estar relacionada con una determinada persona. Esto significa que, si recibe esa información de su operación comercial, estará sujeto a PDPA. El titular de los datos personales se denomina “Sujeto de los Datos”.
¿QUE SIGNIFICA TRATAMIENTO DE DATOS PERSONALES?
El procesamiento de datos personales bajo PDPA cubre la recopilación, el uso y la divulgación de datos personales por parte del controlador de datos y el procesador de datos.
¿QUIEN ESTA SUJETO A LA LEY DE PDPA?
PDPA impone las responsabilidades a cualquier persona que procese los datos personales, que se denomina “Controlador de datos” y “Procesador de datos”.
Un controlador de datos es una persona física o jurídica que tiene el poder de decidir cómo se procesarán los datos personales. Si la organización designa al empleado para que procese los datos personales, la organización sigue siendo considerada como responsable del tratamiento, incluso si la empresa no toma ninguna medida por sí misma. La razón es que el empleado simplemente realiza actividades en nombre de su empleador, lo que significa que la empresa sigue teniendo pleno poder para administrar los datos.
Otra parte controlada por PDPA es el procesador de datos. Se refiere al tercero que procesa datos personales en nombre del controlador de datos. Sin embargo, la definición no incluye al empleado del controlador de datos ya que la persona en la organización del controlador de datos no se considera por separado como un tercero. El procesador de datos puede ser una persona o cualquier agencia externa que preste servicios en relación con el procesamiento de datos. Por ejemplo, proveedor de servicios en la nube, proveedor de servicios de nómina.
El procesador de datos procesa datos personales por orden del controlador de datos, por lo que el controlador de datos no estará protegido de ninguna responsabilidad derivada de la violación de PDPA realizada por su procesador de datos. Por lo tanto, en opinión de los abogados de H&P, si su organización subcontrata a una agencia externa para que se encargue de las actividades de procesamiento de datos, es posible que necesite un contrato integral para reducir el posible riesgo y garantizar que el procesador de datos tenga un sistema de seguridad adecuado para el procesamiento de datos.
¿CUAL ES EL FUNDAMENTO LEGAL PARA PROCESAR DATOS PERSONALES?
En general, el procesamiento de datos personales por cualquier parte que no sea el interesado está prohibido a menos que tenga una base legal para justificar su acción. La mayoría de las personas malinterpretan que todo procesamiento de datos necesita el consentimiento del interesado. No es cierto. Existen siete motivos legítimos que el responsable del tratamiento puede alegar sobre su actuación, en función de la relación entre el responsable del tratamiento y los interesados o de la necesidad de tratar los datos.
Las bases legales bajo la sección 24 de la PDPA incluyen la base del consentimiento, la base del interés vital, la base contractual, la base de la autoridad oficial, la base del interés legítimo, la base de la obligación legal y la base para la preparación de los documentos históricos y la investigación.
En la operación comercial, la base legal que suele estar involucrada es la “base de contratación”. La justificación bajo esta base es que la parte contratante necesita recopilar datos personales para cumplir con su obligación en virtud del contrato. Por ejemplo, desea obtener un préstamo del banco. El banco debe recopilar su información para asegurar su credibilidad. En este caso, el banco puede tratar legalmente sus datos en régimen de contratación sin el requisito de “consentimiento explícito”. Sin embargo, aunque es posible que el banco no esté obligado a obtener su consentimiento. Pero según el “principio de transparencia”, el banco, como controlador de datos, debe informar al cliente sobre el procesamiento de dichos datos tal como lo impone la sección 23 de la PDPA.
Otra base que es comunmente utilizado por el operador comercial es “base de interés legítimo”. Bajo esta base, el controlador de datos podría procesar datos personales sin ninguna relación con el titular de los datos para proteger su interés legítimo. Por ejemplo, tener CCTV en el área pública para la seguridad de los controladores de datos. Esta base legal es relativamente flexible, pero incierta porque el controlador de datos debe poder probar que su interés legítimo prevalece sobre los derechos fundamentales del interesado.
Sin embargo, la base anterior no es aplicable para el procesamiento de algunos datos específicos que se consideran datos confidenciales según la sección 26 de PDPA, como los datos sobre origen racial, étnico, opiniones políticas, religión, comportamiento sexual, antecedentes penales, datos de salud, datos genéticos. .datos, datos biométricos. Si procesa esos datos, siempre se requiere el “consentimiento explícito”, excepto que su propósito se encuentre dentro del alcance de la excepción de la sección 26, como para evitar un peligro para la vida del sujeto de datos cuando el sujeto de datos no pueda dar su consentimiento.
¿COMO PREPARAR SU EMPRESA PARA LA PDPA?
Bajo PDPA, el controlador de datos y el procesador de datos deben implementar medidas técnicas y organizativas suficientes para mantener la seguridad y privacidad de los datos personales procesados. Por ejemplo, disponer de un sistema informático eficaz, capacitar al personal responsable del tratamiento de los datos personales. Sin embargo, para tener las medidas adecuadas para su organización, debe verificar cuáles son los datos personales que puede recopilar de su cliente o empleado en su organización. Además, debe revisar si esa información es necesaria para retener. Debe recopilar solo los datos necesarios para usted. Si esos datos son necesarios, el siguiente paso que debe hacer es revisar cómo se procesará esa información, cómo se retendrá en su empresa, el sistema para proteger esos datos es lo suficientemente seguro. ¿Cuánto tiempo lo guardará? ¿Sigue siendo necesario para su propósito? ¿Revelará esos datos a un tercero? Además, si su organización procesa una gran cantidad de información confidencial, se le pedirá que designe al RPD.
Si necesita consultar con un abogado en Tailandia sobre la implementación de PDPA en su negocio, contáctenos en info@abogadotailandia.com