Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act
A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

Guía de Privacidad PDPA de Singapur: Tus Derechos Bajo la Ley de Protección de Datos Personales
La Ley de Protección de Datos Personales de Singapur (PDPA) está vigente desde 2014, pero muchos singapurenses aún desconocen los derechos que les otorga. En una ciudad-estado donde prácticamente cada transacción — desde tomar un taxi hasta comprar bubble tea — implica alguna forma de recopilación de datos, entender tus derechos de privacidad no es opcional. Es esencial.
La PDPA regula cómo las organizaciones recopilan, usan, divulgan y almacenan tus datos personales. Es aplicada por la Comisión de Protección de Datos Personales (PDPC), que tiene el poder de investigar quejas, emitir directivas e imponer sanciones económicas de hasta S$1 millón por infracción.
Qué Cubre la PDPA
Datos Personales Bajo la PDPA
Los datos personales se definen como cualquier dato que pueda identificar a una persona, ya sea por sí solo o combinado con otra información. Esto incluye:
| Tipo | Ejemplos |
|---|---|
| Identificadores | Número NRIC, FIN, número de pasaporte |
| Información de contacto | Número de teléfono, correo electrónico, dirección |
| Datos financieros | Números de cuenta bancaria, datos de tarjeta de crédito, ingresos |
| Datos laborales | Cargo, empleador, salario, evaluaciones de desempeño |
| Datos de salud | Historial médico, recetas, reclamaciones de seguro |
| Datos biométricos | Huellas dactilares, datos de reconocimiento facial |
| Identificadores digitales | Direcciones IP, IDs de dispositivo, historial de navegación |
| Imágenes y grabaciones | Grabaciones de CCTV, fotos, grabaciones de voz |
Qué No Cubre
La PDPA no se aplica a:
- Agencias gubernamentales (regidas por el Manual de Instrucciones del Gobierno)
- Fines personales o domésticos (tu lista de contactos personal)
- Información de contacto comercial usada con fines comerciales
- Datos de personas fallecidas (más de 10 años después del fallecimiento)
Tus 5 Derechos Clave Bajo la PDPA
1. Derecho al Consentimiento
Las organizaciones deben obtener tu consentimiento antes de recopilar, usar o divulgar tus datos personales. Debes ser informado del propósito de la recopilación y tu consentimiento debe ser voluntario. Puedes retirar el consentimiento en cualquier momento, aunque la organización puede informarte de las consecuencias.
Consejo práctico: Si una tienda te pide tu NRIC para unirte a un programa de fidelidad, puedes negarte. Deben proporcionar el servicio sin exigir datos personales innecesarios.
2. Derecho de Acceso
Puedes solicitar acceso a tus datos personales en poder de cualquier organización, así como información sobre cómo se han usado o divulgado en el último año. La organización debe responder en un plazo de 30 días.
Consejo práctico: Puedes escribir a cualquier empresa y preguntarles qué datos personales tienen sobre ti. Están legalmente obligados a decírtelo.
3. Derecho de Corrección
Si tus datos personales en poder de una organización son inexactos o incompletos, tienes derecho a solicitar su corrección. La organización debe corregir los datos y enviar la versión corregida a cualquier otra organización con la que se hayan compartido en el último año.
4. Derecho a Retirar el Consentimiento
Puedes retirar tu consentimiento para que una organización recopile, use o divulgue tus datos personales en cualquier momento. La organización debe cumplir en un plazo razonable e informarte de las consecuencias (como la imposibilidad de proporcionar ciertos servicios).
5. Derecho a la Portabilidad de Datos (Enmienda 2021)
La Obligación de Portabilidad de Datos, introducida en la enmienda de 2021 de la PDPA, te permite solicitar que tus datos sean transmitidos a otra organización en un formato de uso común. Esto se aplica a datos proporcionados por ti y en formato electrónico.
Las Reglas de Recopilación del NRIC
Una de las directrices más impactantes de la PDPA afecta la recopilación del NRIC. Desde septiembre de 2019:
| Situación | ¿Pueden Recopilar Tu NRIC Completo? |
|---|---|
| Apertura de cuenta bancaria | Sí — legalmente requerido |
| Registro hospitalario | Sí — legalmente requerido |
| Registros laborales | Sí — legalmente requerido |
| Registro de visitantes de edificio | No — usar últimos 4 caracteres o ID alternativo |
| Programa de fidelidad comercial | No — usar identificadores alternativos |
| Registro de sorteos | No — usar identificadores alternativos |
| Membresía de gimnasio | No — usar identificadores alternativos |
Qué hacer: Si un servicio no esencial te pide tu NRIC completo, puedes negarte y citar las Directrices de Asesoramiento de la PDPA sobre números NRIC.
El Registro de No Llamar (DNC)
La PDPA estableció el Registro de No Llamar (DNC) de Singapur, que te permite excluirte de llamadas de telemarketing, SMS y fax. Puedes registrar tus números en dnc.gov.sg.
| Registro | Protección |
|---|---|
| Registro de No Llamar | Bloquea llamadas de telemarketing |
| Registro de No SMS | Bloquea SMS de telemarketing |
| Registro de No Fax | Bloquea faxes de telemarketing |
Las organizaciones enfrentan sanciones de hasta S$10.000 por cada mensaje de marketing no autorizado.
Cómo Presentar una Queja ante la PDPA
Si crees que una organización ha manejado incorrectamente tus datos personales:
Paso 1: Contacta Directamente a la Organización
Escribe al Oficial de Protección de Datos (DPO) de la organización. Cada organización cubierta por la PDPA debe designar un DPO. Indica claramente qué ocurrió y qué quieres que hagan al respecto.
Paso 2: Presenta una Queja ante la PDPC
Si la organización no responde satisfactoriamente en 30 días, presenta una queja ante la PDPC en pdpc.gov.sg. Incluye:
- Tus datos personales
- Los datos de la organización
- Descripción del incidente
- Evidencia (capturas de pantalla, correos, correspondencia)
- Qué resolución buscas
Paso 3: Investigación de la PDPC
La PDPC evaluará la queja y puede iniciar una investigación. Los posibles resultados incluyen:
- Directiva a la organización para detener la práctica de datos
- Directiva para destruir datos recopilados indebidamente
- Sanción económica de hasta S$1 millón
- Decisión de aplicación pública (publicada en el sitio web de la PDPC)
Casos Notables de Aplicación de la PDPA
| Año | Organización | Infracción | Sanción |
|---|---|---|---|
| 2019 | SingHealth | 1,5 millones de registros de pacientes filtrados | S$250.000 |
| 2019 | IHiS (proveedor IT) | Medidas de seguridad fallidas en filtración de SingHealth | S$750.000 |
| 2020 | Integrated Health Information Systems | Divulgación no autorizada de datos | S$50.000 |
| 2021 | Diversas PYMES | Recopilación indebida de NRIC | Advertencias y directivas |
| 2022 | Múltiples organizaciones | Filtraciones de datos por seguridad inadecuada | Diversas sanciones |
Consejos Prácticos de la PDPA para la Vida Diaria
- Lee las políticas de privacidad antes de registrarte en servicios — conoce qué datos se recopilan
- Usa el Registro DNC para detener mensajes de marketing no deseados
- Solicita la eliminación de datos de servicios que ya no uses
- Sabe cuándo rechazar la recopilación del NRIC — cita las directrices de la PDPA
- Reporta las filtraciones de datos que descubras a la PDPC
- Pide el contacto del DPO cuando una organización recopile tus datos
- Ejerce tus derechos de acceso para saber qué datos tienen las empresas sobre ti
Comparte Datos Personales de Forma Segura
Bajo la PDPA, las organizaciones deben proteger tus datos. Pero tú también tienes un rol en proteger tu propia información. Cuando necesites compartir datos personales — tu NRIC para una solicitud bancaria, datos financieros para una transacción o registros médicos para una referencia — evita enviarlos en texto plano por WhatsApp.
Usa LOCK.PUB para crear un enlace protegido con contraseña y autodestructivo que contenga tu información sensible. El destinatario ingresa la contraseña para verlo y los datos desaparecen tras la expiración establecida. Esto minimiza el riesgo de que tus datos personales queden expuestos por cuentas de mensajería comprometidas o robo de dispositivos.
Conclusión
La PDPA te otorga derechos reales y ejecutables sobre tus datos personales en Singapur. Lo más importante: tienes derecho a saber qué datos recopilan las organizaciones sobre ti, derecho a rechazar la recopilación innecesaria y derecho a presentar quejas cuando tus datos son mal gestionados.
Ejerce estos derechos activamente. Rechaza la recopilación innecesaria del NRIC, regístrate en el Registro DNC, solicita la eliminación de datos de servicios que no uses y, cuando necesites compartir información personal, usa LOCK.PUB para hacerlo de forma segura. La privacidad no es un lujo — es un derecho protegido por la ley de Singapur.
Palabras clave
También te puede interesar
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
Notificación de brechas de datos en Singapur: La regla de los 3 días
Entiende los requisitos de notificación obligatoria de brechas de datos en Singapur bajo la PDPA. La regla de 3 días, criterios y pasos a seguir.
Nombramiento de DPO en Singapur: Lo que toda empresa debe saber
Todas las organizaciones en Singapur deben nombrar un DPO. Requisitos PDPA, responsabilidades, cualificaciones y opciones de externalización.
Crea tu enlace protegido con contraseña ahora
Crea enlaces protegidos, notas secretas y chats cifrados de forma gratuita.
Comenzar Gratis