Guia de Privacidade PDPA da Tailândia: Seus Direitos Sob a Lei de Proteção de Dados Pessoais

A Lei de Proteção de Dados Pessoais da Tailândia (PDPA / พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) entrou em pleno vigor em junho de 2022, dando aos residentes da Tailândia controle significativo sobre seus dados pessoais. Apesar de ser lei há vários anos, muitas pessoas na Tailândia ainda não sabem quais direitos têm ou como exercê-los.

Este guia explica o que a PDPA significa para você como indivíduo e como assumir o controle dos seus dados pessoais.

O Que a PDPA Abrange

A PDPA se aplica a qualquer organização — tailandesa ou estrangeira — que coleta, usa ou divulga dados pessoais de pessoas na Tailândia. Isso inclui:

• Bancos e instituições financeiras
• Operadoras de telecom (AIS, TRUE, DTAC)
• Plataformas de e-commerce (Shopee, Lazada)
• Empresas de redes sociais
• Hospitais e provedores de saúde
• Órgãos governamentais
• Empregadores
• Qualquer site ou app que você usa

O Que Conta Como Dado Pessoal

Tipo de Dado	Exemplos
Identificação (ข้อมูลระบุตัวตน)	Nome, número de ID nacional, passaporte, dados ThaiD
Informação de Contato	Telefone, e-mail, ID do WhatsApp, endereço
Dados Financeiros (ข้อมูลการเงิน)	Contas bancárias, números de cartão de crédito, PromptPay ID
Dados Biométricos	Impressões digitais, dados de reconhecimento facial, impressão vocal
Dados de Saúde (ข้อมูลสุขภาพ)	Prontuários médicos, receitas, detalhes de seguro saúde
Dados de Localização	Dados GPS, histórico de check-in, registros de viagem
Atividade Online	Histórico de navegação, histórico de busca, cookies
Dados de Emprego	Salário, histórico profissional, avaliações de desempenho

Seus Direitos Sob a PDPA

1. Direito à Informação (สิทธิในการรับทราบ)

Antes de coletar seus dados, organizações devem informar:

• Quais dados estão coletando
• Por que precisam
• Por quanto tempo vão mantê-los
• Com quem vão compartilhar
• Seus direitos sobre esses dados

Na prática: Esse é o formulário de consentimento ou aviso de privacidade que você vê ao se cadastrar em serviços. Leia — é importante.

2. Direito ao Consentimento (สิทธิในการให้ความยินยอม)

Você deve dar consentimento claro antes que seus dados sejam coletados, exceto em casos limitados (obrigação legal, interesse vital, interesse público ou interesse legítimo). Você também tem direito a:

• Retirar o consentimento a qualquer momento
• Recusar o consentimento sem ter o serviço principal negado (empresas não podem recusar serviço só porque você recusou coleta opcional de dados)

3. Direito de Acesso (สิทธิในการเข้าถึง)

Você pode solicitar uma cópia de todos os dados pessoais que uma organização mantém sobre você. Eles devem responder em 30 dias.

4. Direito à Portabilidade (สิทธิในการโอนย้ายข้อมูล)

Você pode solicitar seus dados em formato comumente usado e legível por máquina e transferi-los para outro provedor.

5. Direito à Retificação (สิทธิในการแก้ไข)

Se seus dados estão incorretos ou incompletos, você tem direito de solicitar correção.

6. Direito à Exclusão (สิทธิในการลบ)

Você pode solicitar que uma organização exclua seus dados pessoais quando:

• Os dados não são mais necessários para o propósito da coleta
• Você retira o consentimento
• Você se opõe ao processamento e não há razões legítimas prevalecentes
• Os dados foram coletados ilegalmente

7. Direito à Restrição (สิทธิในการระงับ)

Você pode solicitar que uma organização pare de usar seus dados enquanto uma disputa é resolvida.

8. Direito de Oposição (สิทธิในการคัดค้าน)

Você pode se opor ao processamento de dados para fins de marketing direto a qualquer momento, sem condições.

Tabela Resumo de Direitos PDPA

Direito	Quando Usar	Prazo de Resposta
Acesso (เข้าถึง)	Quer saber quais dados possuem	30 dias
Exclusão (ลบข้อมูล)	Quer seus dados excluídos	30 dias
Retificação (แก้ไข)	Dados incorretos	30 dias
Portabilidade (โอนย้าย)	Mudando de provedor	30 dias
Oposição (คัดค้าน)	Parar marketing, profiling	Imediato para marketing
Restrição (ระงับ)	Pausar processamento durante disputa	30 dias
Retirada de Consentimento (ถอนความยินยอม)	Mudar decisão sobre uso de dados	Varia

Como Exercer Seus Direitos PDPA

Passo 1: Encontre o Contato de Proteção de Dados

A maioria das organizações é obrigada a ter um Encarregado de Proteção de Dados (DPO) ou contato designado. Procure:

• Página de política de privacidade no site
• Contato "Encarregado de Proteção de Dados" nos termos de serviço
• Departamentos de atendimento ao cliente (especifique que é uma solicitação PDPA)

Passo 2: Envie uma Solicitação Por Escrito

Envie uma solicitação formal por e-mail ou carta. Inclua:

• Nome completo e informação de contato
• Prova de identidade (cópia de documento com dados sensíveis ocultados)
• Direito específico que está exercendo
• Descrição dos dados que quer acessar, excluir ou corrigir
• Referência às Seções 30-36 da PDPA

Passo 3: Acompanhe a Resposta

Organizações devem responder em 30 dias. Se recusarem, devem explicar por escrito.

Passo 4: Escale Se Necessário

Se a organização não cumprir, você pode registrar reclamação com:

• Escritório do Comitê de Proteção de Dados Pessoais (PDPC) — pdpc.or.th
• Tribunais — Você pode buscar indenização por danos causados por violações da PDPA

Proteja Seus Dados Pessoais Proativamente

Minimize Sua Pegada de Dados

• Forneça apenas dados realmente necessários para o serviço
• Use endereços de e-mail separados para diferentes serviços
• Recuse coleta opcional de dados sempre que possível
• Revise permissões de apps no celular regularmente

Proteja O Que Você Compartilha

Quando precisar compartilhar informações pessoais sensíveis — números de identidade, dados bancários, prontuários médicos — nunca envie pelo WhatsApp ou e-mail. Use o LOCK.PUB para criar memorandos criptografados protegidos por senha que expiram automaticamente. O destinatário visualiza com a senha, e a informação se autodestrói após expiração. Sem dados persistindo em histórico de chat ou arquivo de e-mail.

Auditorias Regulares de Dados

• Revise configurações de privacidade em redes sociais trimestralmente
• Verifique quais apps têm acesso à sua conta WhatsApp
• Revise apps conectados nas suas contas Google e Apple
• Exclua contas em serviços que não usa mais

O Que as Empresas Devem Cumprir

Sob a PDPA, organizações que violam regras de proteção de dados enfrentam:

Violação	Penalidade Máxima
Multa administrativa	Até 5 milhões THB
Penalidade criminal	Até 1 ano de prisão e/ou multa de 1 milhão THB
Responsabilidade civil	Danos reais + danos punitivos (até 2x o real)

Empresas também devem:

• Nomear um Encarregado de Proteção de Dados (para processamento em larga escala)
• Manter registros das atividades de processamento
• Implementar medidas de segurança apropriadas
• Notificar o PDPC sobre vazamentos em 72 horas
• Obter consentimento antes de transferências internacionais de dados (com exceções)

Cenários Comuns da PDPA no Dia a Dia

• Uma loja online continua enviando mensagens de marketing depois que você cancelou — Registre reclamação PDPA por violação do direito de oposição
• Um ex-empregador compartilha informações sobre seu salário — Solicite exclusão e registre reclamação
• Um hospital compartilha seus prontuários sem consentimento — Viola proteções de dados sensíveis da PDPA
• Uma empresa de telecom vende seus dados para anunciantes — Solicite acesso para ver quem recebeu seus dados, depois exija exclusão

Conclusão

A PDPA dá a você poder real sobre seus dados pessoais. Exercer esses direitos é gratuito, e organizações devem cumprir em 30 dias. Comece revisando quais serviços possuem seus dados e solicite exclusão daqueles que não usa mais.

Para compartilhar informações pessoais sensíveis quando necessário, visite o LOCK.PUB para criar memorandos criptografados gratuitos que se autodestroem — garantindo que seus dados não persistam além do necessário.