O que significa PDPA?
PDPA é a nova Lei de Proteção de Dados Pessoais BE2562 do Reino da Tailândia. Foi aprovado em 2019 e estava programado para entrar em vigor em 27 de maio de 2020.
No entanto, em maio de 2020, o gabinete tailandês aprovou uma diretiva real concedendo uma isenção de um ano de certas disposições da Lei de Proteção de Dados Pessoais 2019 (PDPA) até 31 de maio de 2021, quando a nova lei esteja totalmente implementada.
PDPA é a lei tailandesa de privacidade de dados mais abrangente até hoje. Ele amplia os direitos dos usuários cujos dados você coleta, o que significa ampliar também as suas obrigações.
É semelhante a outras leis de proteção de dados, como GDPR e CCPA?
O PDPA da Tailândia segue a tendência definida pelo GDPR. Ele tem muitas semelhanças com este regulamento, bem como com as leis de proteção de dados do Leste e Sudeste Asiático. Se sua empresa obedecer ao GDPR, também será fácil cumprir o PDPA. Leia mais sobre o PDPA da Tailândia vs. GDPR e quais são as principais diferenças.
A quem se aplica o PDPA?
O PDPA da Tailândia se aplica a:
- Empresas tailandesas que coletam ou processam dados pessoais na Tailândia de usuários de qualquer lugar do mundo
- Qualquer empresa de todo o mundo que coleta ou processa dados pessoais de cidadãos tailandeses para fins de:
- oferta de bens ou serviços aos titulares dos dados no território da Tailândia, independentemente de o pagamento ser feito por eles ou não
- monitoramento do comportamento do titular dos dados, quando o comportamento ocorre na Tailândia.
Quais são as penalidades por não conformidade?
Existem dois tipos de penalidades para a violação do PDPA da Tailândia: penalidades administrativas e criminais.
A maioria das violações leva a penalidades administrativas impostas pelo Comitê de Proteção de Dados Pessoais. Dependendo da gravidade da infração, as multas podem chegar a 5 milhões de baht, o que gira em torno de US $ 150 mil.
Para algumas violações, o PDPA prescreveu penalidades criminais, incluindo prisão de até um ano e multas de até 5 milhões de baht. Você pode enfrentar tais penalidades se:
- Divulgar a outra pessoa os dados pessoais obtidos durante o desempenho das funções ao abrigo desta Lei
- Divulgar dados pessoais confidenciais sem o consentimento do titular dos dados ou para uma finalidade diferente daquela que o consentimento foi dado para um benefício pessoal ou em um forma que possa causar-lhes danos, ou
- Transferir dados pessoais sensíveis para um país sem padrões adequados de proteção de dados pessoais para benefício pessoal ou de uma forma que possa causar danos aos titulares dos dados.
Além das penalidades, você é responsável pelos danos que o titular dos dados tenha sofrido devido ao seu não cumprimento da lei. Se for provado como o responsável, você terá que indenizá-los pelos danos. Leia mais sobre como você pode tornar seu site compatível com PDPA.
O que são dados pessoais?
De acordo com o Artigo 6 da lei, dados pessoais são quaisquer informações relativas a uma pessoa que, direta ou indiretamente, possibilitem a identificação dessa pessoa. Isso inclui nomes, endereço, endereço de e-mail, número de telefone, número de identificação ou outro número que identifique uma pessoa específica e outros.
Embora não haja uma definição explícita no PDPA, a lei implica que dados confidenciais são quaisquer dados pessoais relacionados a raça, origem étnica, opiniões políticas, culto, crenças religiosas ou filosóficas, comportamento sexual, antecedentes criminais, dados de saúde, deficiência, sindicato informações, dados genéticos, dados biométricos ou de quaisquer dados que possam afetar o titular dos dados da mesma maneira.
PDPA protege apenas indivíduos vivos. Exclui pessoas falecidas da proteção.
Preciso obter consentimento antes de coletar ou processar dados pessoais?
Sim, você deve obter o consentimento explícito do usuário antes de coletar ou processar seus dados. A solicitação deve ser apresentada de forma que a diferencie claramente dos demais conteúdos do site. Além disso, você deve informar o usuário sobre a finalidade da coleta ou processamento de dados de uma forma clara e não enganosa.
Isso significa que você precisa de um banner de cookies solicitando consentimento para o uso de cookies. Inserir um link para sua política de privacidade nesse banner é uma forma prática de informar os usuários sobre o propósito da coleta de dados.
E quanto ao consentimento de menores?
Ao obter o consentimento de um menor, você precisa obter o consentimento do menor e de seus pais.
Se o menor for uma criança com menos de 10 anos, você precisa do consentimento apenas dos pais.
Encontre sua Autoridade Nacional de Proteção de Dados online.
Nossa Política de Privacidade está em conformidade com o PDPA da Tailândia?
Uma política de privacidade em conformidade com o PDPA da Tailândia deverá conter pelo menos o seguinte:
- Informações sobre a finalidade de coleta, uso ou divulgação de dados pessoais
- Notificação se o usuário for obrigado a fornecer seus dados pessoais para conformidade com a lei ou contrato ou celebração de um contrato, se aplicáveis
- os dados pessoais a recolher e o período de retenção
- as categorias de pessoas ou entidades a quem os dados pessoais recolhidos podem ser divulgadas
- suas informações, endereço, e os detalhes do canal de contato ou o seu representante oficial ou proteção de dados, se for o caso, e
- a direitos do titular dos dados.
Este é o mínimo que qualquer política de privacidade deve cumprir. Se você quiser ser ainda mais transparente, pode adicionar mais informações.
Quais são os direitos dos meus visitantes e usuários?
Seus usuários têm o direito de:
- Ser informado sobre a finalidade da coleta e processamento de dados
- Retirar o consentimento dado para a coleta e processamento de seus dados pessoais
- Não discriminação por não dar consentimento para coleta e processamento de dados
- Acessar e obter uma cópia de seus dados
- Rejeitar a coleta, o uso e a divulgação de seus dados
- Restringir o uso de seus dados
- Corrigir seus dados
- Transferir seus dados para outro controlador de dados
- Ter seus dados apagados, destruídos ou tornados anônimos
Além disso, você deve garantir que os dados sejam precisos, atualizados, completos e não enganosos.
Se você não permitir que os usuários exerçam seus direitos sob o PDPA, eles têm o direito de fazer uma reclamação ao Comitê de Proteção de Dados Pessoais, o que pode resultar em penalidades para você.
Podemos transferir dados pessoais gratuitamente para o exterior?
Você pode transferir dados pessoais para países estrangeiros somente se o país de destino implementou padrões adequados de proteção de dados. Se você deseja transferir dados para um país inadequado, você deve obter o consentimento do titular dos dados para esse fim específico. Se você tiver dúvidas sobre se o seu país de destino implementou tais padrões, você deve solicitar que o Comitê decida.
Quando o controlador de dados e o processador de dados pertencem ao mesmo grupo empresarial, eles não precisam obter consentimento para a transferência de dados entre si.
Precisamos de um oficial de proteção de dados (DPO)?
Você precisa de um oficial de proteção de dados (DPO) apenas se atender a qualquer um dos seguintes requisitos:
- Você é uma autoridade pública
- Você coleta, usa ou divulga grandes quantidades de dados pessoais (o Comitê ainda não decidiu o que significa 'grande quantidade') e suas atividades requerem monitoramento regular dos dados pessoais ou do sistema.
- Sua atividade principal inclui a coleta, uso ou divulgação de dados pessoais confidenciais.
Quando o controlador de dados e o processador de dados pertencem ao mesmo grupo empresarial, eles podem nomear um DPO conjunto.
Quem impõe o PDPA?
O Comitê de proteção de dados pessoais impõe o PDPA. Tem o poder de impor sanções administrativas. Os processos penais decorrentes do não cumprimento desta lei, no entanto, são tratados pelas autoridades de acusação criminal e pelos tribunais.
Precisamos de um representante na Tailândia?
Você precisa nomear por escrito um representante localizado na Tailândia se for uma empresa estrangeira que coleta ou processa dados pessoais de cidadãos tailandeses para os fins de:
- A oferta de bens ou serviços a titulares de dados no território da Tailândia, independentemente de o pagamento é feito por eles ou não
- O monitoramento do comportamento do titular dos dados, quando o comportamento ocorre na Tailândia.
O representante deve ser autorizado a agir em seu nome sem qualquer limitação de responsabilidade em relação à coleta, uso ou divulgação dos dados pessoais de acordo com seus objetivos.
O que devemos fazer em caso de violação de dados?
Você deve notificar quaisquer violações de dados ao Escritório do Comitê de Proteção de Dados Pessoais sem demora e, se possível, dentro de 72 horas após ter tomado conhecimento disso, a menos que tal violação de dados pessoais provavelmente não cause risco aos direitos e liberdades dos titulares dos dados.
Se for provável que a violação cause risco aos direitos e liberdades dos titulares dos dados, você também deve notificar os titulares dos dados sem demora.
