Guía de privacidad PDPA en Tailandia: tus derechos bajo la Ley de Protección de Datos Personales

La Ley de Protección de Datos Personales de Tailandia (PDPA / พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) entró en vigor pleno en junio de 2022, otorgando a los residentes de Tailandia un control significativo sobre sus datos personales. A pesar de llevar varios años vigente, muchas personas en Tailandia aún desconocen qué derechos tienen o cómo ejercerlos.

Esta guía explica lo que la PDPA significa para ti como individuo y cómo tomar el control de tus datos personales.

Qué cubre la PDPA

La PDPA se aplica a cualquier organización — tailandesa o extranjera — que recopile, use o divulgue datos personales de personas en Tailandia. Esto incluye:

• Bancos e instituciones financieras
• Proveedores de telecomunicaciones (AIS, TRUE, DTAC)
• Plataformas de comercio electrónico (Shopee, Lazada)
• Empresas de redes sociales
• Hospitales y proveedores de atención médica
• Agencias gubernamentales
• Empleadores
• Cualquier sitio web o app que uses

Qué se considera datos personales

Tipo de datos	Ejemplos
Identificación (ข้อมูลระบุตัวตน)	Nombre, número de identificación nacional, número de pasaporte, datos de ThaiD
Información de contacto	Número de teléfono, correo electrónico, ID de LINE, dirección
Datos financieros (ข้อมูลการเงิน)	Cuentas bancarias, números de tarjeta de crédito, ID de PromptPay
Datos biométricos	Huellas dactilares, datos de reconocimiento facial, huellas de voz
Datos de salud (ข้อมูลสุขภาพ)	Historiales médicos, recetas, detalles del seguro de salud
Datos de ubicación	Datos GPS, historial de check-in, registros de viaje
Actividad online	Historial de navegación, historial de búsqueda, cookies
Datos de empleo	Salario, historial laboral, registros de desempeño

Tus derechos bajo la PDPA

1. Derecho a ser informado (สิทธิในการรับทราบ)

Antes de recopilar tus datos, las organizaciones deben informarte:

• Qué datos están recopilando
• Por qué los necesitan
• Cuánto tiempo los conservarán
• Con quién los compartirán
• Tus derechos respecto a esos datos

En la práctica: Este es el formulario de consentimiento o aviso de privacidad que ves al registrarte en servicios. Léelo — importa.

2. Derecho al consentimiento (สิทธิในการให้ความยินยอม)

Debes dar consentimiento claro antes de que se recopilen tus datos, excepto en casos limitados (obligación legal, interés vital, interés público o interés legítimo). También tienes derecho a:

• Retirar el consentimiento en cualquier momento
• Rechazar el consentimiento sin que se te niegue el servicio principal (las empresas no pueden negarte servicio solo porque rechazaste la recopilación de datos opcionales)

3. Derecho de acceso (สิทธิในการเข้าถึง)

Puedes solicitar una copia de todos los datos personales que una organización tiene sobre ti. Deben responder en un plazo de 30 días.

4. Derecho a la portabilidad de datos (สิทธิในการโอนย้ายข้อมูล)

Puedes solicitar tus datos en un formato comúnmente usado y legible por máquina, y que sean transferidos a otro proveedor de servicios.

5. Derecho a rectificación (สิทธิในการแก้ไข)

Si tus datos son inexactos o están incompletos, tienes derecho a solicitar su corrección.

6. Derecho a la eliminación (สิทธิในการลบ)

Puedes solicitar que una organización elimine tus datos personales cuando:

• Los datos ya no son necesarios para el propósito por el que fueron recopilados
• Retiras tu consentimiento
• Te opones al procesamiento y no existen motivos legítimos prevalecientes
• Los datos fueron recopilados ilegalmente

7. Derecho a restringir el procesamiento (สิทธิในการระงับ)

Puedes solicitar que una organización deje de usar tus datos mientras se resuelve una disputa.

8. Derecho de oposición (สิทธิในการคัดค้าน)

Puedes oponerte al procesamiento de datos con fines de marketing directo en cualquier momento, sin condiciones.

Tabla resumen de derechos PDPA

Derecho	Cuándo usarlo	Plazo de respuesta
Acceso (เข้าถึง)	Quieres saber qué datos tienen	30 días
Eliminación (ลบข้อมูล)	Quieres que eliminen tus datos	30 días
Rectificación (แก้ไข)	Los datos son incorrectos	30 días
Portabilidad (โอนย้าย)	Cambias de servicio	30 días
Oposición (คัดค้าน)	Detener marketing, perfilado	Inmediato para marketing
Restricción (ระงับ)	Pausar procesamiento durante disputa	30 días
Retiro de consentimiento (ถอนความยินยอม)	Cambias de opinión sobre el uso de datos	Variable

Cómo ejercer tus derechos PDPA

Paso 1: Encuentra el contacto de protección de datos

La mayoría de las organizaciones deben tener un Delegado de Protección de Datos (DPO) o un contacto designado para solicitudes de datos. Busca:

• La página de política de privacidad en su sitio web
• El contacto de "Delegado de Protección de Datos" en sus términos de servicio
• Departamentos de atención al cliente (especifica que tu solicitud es una solicitud PDPA)

Paso 2: Envía una solicitud por escrito

Envía una solicitud formal por correo electrónico o carta escrita. Incluye:

• Tu nombre completo e información de contacto
• Prueba de identidad (copia redactada de cédula de identidad)
• Derecho específico que estás ejerciendo
• Descripción de qué datos quieres acceder, eliminar o corregir
• Referencia a las Secciones 30-36 de la PDPA

Paso 3: Rastrea la respuesta

Las organizaciones deben responder dentro de 30 días. Si se niegan, deben explicar por qué por escrito.

Paso 4: Escala si es necesario

Si la organización no cumple, puedes presentar una queja ante:

• Oficina del Comité de Protección de Datos Personales (PDPC) — pdpc.or.th
• Tribunales — Puedes buscar compensación por daños causados por violaciones a la PDPA

Protege tus datos personales proactivamente

Minimiza tu huella de datos

• Solo proporciona datos que sean verdaderamente necesarios para el servicio
• Usa direcciones de correo electrónico separadas para diferentes servicios
• Rechaza la recopilación de datos opcionales siempre que sea posible
• Revisa los permisos de apps en tu teléfono regularmente

Asegura lo que compartes

Cuando necesites compartir información personal sensible — números de identificación nacional, datos bancarios, registros médicos — nunca los envíes por WhatsApp o correo electrónico. Usa LOCK.PUB para crear memos cifrados y protegidos con contraseña que se autodestruyen. El destinatario ve la información con la contraseña, y se autodestruye tras la expiración. Los datos no persisten en historiales de chat ni archivos de correo.

Auditorías regulares de datos

• Revisa la configuración de privacidad en redes sociales trimestralmente
• Comprueba qué apps tienen acceso a tu cuenta de LINE
• Revisa las apps conectadas en tus cuentas de Google y Apple
• Elimina cuentas en servicios que ya no uses

Qué deben cumplir las empresas

Bajo la PDPA, las organizaciones que violen las normas de protección de datos enfrentan:

Violación	Sanción máxima
Multa administrativa	Hasta 5 millones THB
Sanción penal	Hasta 1 año de prisión y/o multa de 1 millón THB
Responsabilidad civil	Daños reales + daños punitivos (hasta 2x los reales)

Las empresas también deben:

• Nombrar un Delegado de Protección de Datos (para procesamiento a gran escala)
• Mantener registros de actividades de procesamiento de datos
• Implementar medidas de seguridad apropiadas
• Notificar a la PDPC sobre brechas de datos dentro de 72 horas
• Obtener consentimiento antes de transferencias transfronterizas de datos (con excepciones)

Escenarios PDPA comunes en la vida diaria

• Una tienda online sigue enviando mensajes de marketing después de que te des de baja — Presenta una queja PDPA por violación de tu derecho de oposición
• Un exempleador comparte tu información salarial — Solicita la eliminación y presenta una queja
• Un hospital comparte tus registros médicos sin consentimiento — Esto viola las protecciones de datos sensibles de la PDPA
• Una empresa de telecomunicaciones vende tus datos a anunciantes — Solicita acceso para ver quién recibió tus datos, luego exige la eliminación

Conclusión

La PDPA te otorga poder real sobre tus datos personales. Ejercer estos derechos es gratuito, y las organizaciones deben cumplir en 30 días. Comienza revisando qué servicios tienen tus datos y solicita la eliminación de aquellos que ya no uses.

Para compartir información personal sensible cuando sea necesario, visita LOCK.PUB para crear memos cifrados gratuitos que se autodestruyen, asegurando que tus datos no persistan más tiempo del necesario.