Correio eletrónico
Tel. +66 94 218 4278

Lei de Proteção de Dados Pessoais

Lei de Proteção de Dados Pessoais (PDPA)

Esta lei aplica-se à recolha, utilização ou divulgação de dados pessoais no Reino da Tailândia por qualquer subcontratante ou responsável pelo tratamento de dados, mesmo que essa divulgação, utilização ou recolha não tenha lugar na Tailândia. Se um subcontratante ou responsável pelo tratamento de dados estiver localizado fora da Tailândia, a lei continua a aplicar-se às pessoas em causa na Tailândia.

"Dados pessoais", qualquer informação relativa a uma determinada pessoa que permita a sua identificação, direta ou indiretamente, mas não incluindo as informações relativas a pessoas falecidas;
Por "responsável pelo tratamento de dados" entende-se uma pessoa singular ou colectiva com poderes e deveres para tomar decisões relativas à recolha, utilização ou divulgação de dados pessoais;
"Subcontratante" é uma pessoa singular ou colectiva que opera no domínio da recolha, utilização ou divulgação de dados pessoais por ordem de um responsável pelo tratamento de dados ou em seu nome, sem que essa pessoa singular ou colectiva seja o responsável pelo tratamento de dados.

Antecedentes: Proteção de dados pessoais na Tailândia

A Lei da Proteção de Dados Pessoais foi publicada pela primeira vez em 2019, tendo havido um período de um ano durante o qual as empresas e outras entidades puderam cumprir a Lei em termos de sanções por incumprimento, obrigações de um responsável pelo tratamento de dados e direitos de um titular de dados.

O Gabinete da Comissão de Proteção de Dados é a principal autoridade de supervisão e o Ministério da Economia e Sociedade Digital é o supervisor da PDPA.

Panorama da proteção de dados pessoais na Tailândia



Aplicação da conformidade com a PDPA

Em geral, a PDPA aplica-se a qualquer divulgação, utilização e recolha de dados na Tailândia ou relativos a cidadãos tailandeses. Existem alguns casos em que os processadores e controladores de dados devem aderir à PDPA mesmo quando operam fora da Tailândia:

  • Quando as pessoas em causa estão a ser controladas na Tailândia.
  • Quando as pessoas em causa têm acesso a bens e serviços na Tailândia.

Fundamentos legais para a recolha, utilização e divulgação de dados pessoais
Existem apenas seis permissões legais para esta prática. Em qualquer outro caso, é necessário o consentimento do titular dos dados.

As práticas legalmente permitidas incluem:

  • Qualquer caso em que os responsáveis pelo tratamento de dados estejam sujeitos a leis de conformidade que exijam a recolha de dados.
  • Caso os direitos fundamentais das pessoas em causa não prevaleçam sobre os interesses legítimos de um responsável pelo tratamento ou de outras pessoas que possam beneficiar da recolha de dados pessoais.
  • Quando o responsável pelo tratamento de dados necessita de executar uma tarefa de interesse público que implique a recolha de dados pessoais.
  • Quando a pessoa em causa for parte num contrato que o exija, ou quando a pessoa em causa pretender celebrar um contrato que exija a adoção de medidas.
  • Com o objetivo de prevenir o perigo para a saúde, o bem-estar ou a vida de uma pessoa.
  • Nos casos em que sejam tomadas medidas satisfatórias para proteger os direitos de uma pessoa em termos de preparação de documentos históricos para fins de interesse público, ou em relação a estatísticas ou investigação, e partindo do princípio de que são tomadas todas as precauções prescritas para respeitar a regulamentação.

Questões de consentimento

Existem critérios que devem ser cumpridos para que o consentimento seja considerado válido:

  • Não é permitido enganar ou prestar informações erróneas no pedido de consentimento.
  • Os pedidos de consentimento devem ser redigidos em linguagem simples e clara.
  • O pedido em que se encontra o formulário deve ser facilmente legível e acessível.
  • Quando são fornecidas outras informações à pessoa em causa, o pedido de consentimento deve ser facilmente distinguível de todas as outras informações.
  • A pessoa em causa precisa de saber para que é que os dados estão a ser utilizados e como podem ser divulgados.
  • O consentimento deve ser dado por escrito ou por meios de comunicação electrónicos.

Aviso de privacidade

A declaração de privacidade tem de ser entregue à pessoa em causa no momento em que os dados são recolhidos. A nota deve incluir as seguintes informações:

  • Os direitos da pessoa em causa, que incluem:
    • Direito de aceder a uma cópia dos seus dados pessoais
    • Direito de solicitar a transferência dos dados para outros responsáveis pelo tratamento de dados
    • Direito de retirar o consentimento
    • Direito de apresentar queixas
    • Direito à manutenção exacta da proteção dos dados pessoais
    • Direito de solicitar a suspensão da utilização dos dados
    • Direito de solicitar a supressão dos dados
    • Direito de se opor à divulgação, utilização e recolha de dados pessoais
  • Dados de contacto do responsável pela proteção de dados, do responsável pelo tratamento e, em determinadas circunstâncias, do representante do responsável pelo tratamento
  • Identificações de organizações ou pessoas a quem os dados podem ser divulgados
  • Durante quanto tempo esses dados serão conservados ou, pelo menos, um período previsto de conservação dos dados que esteja em conformidade com a norma de conservação de dados
  • Informação sobre se é necessário que a pessoa em causa forneça os seus dados pessoais
  • Que fundamentos jurídicos foram utilizados para a divulgação, utilização ou recolha de dados pessoais
  • Os dados a recolher:
    • Dados sensíveis
    • Dados relativos à saúde
    • Outros dados

Notificação de infracções

Assim que um responsável pelo tratamento de dados tiver conhecimento de uma violação de dados que afecte a proteção de dados pessoais, tem 72 horas para notificar o Gabinete. Se a violação de dados tiver um impacto significativo ou implicar um risco elevado para a liberdade e os direitos da pessoa em causa, esta deve também ser notificada o mais rapidamente possível.

Obrigações de segurança em matéria de proteção de dados

O responsável pelo tratamento dos dados tem o dever de os manter seguros:

  • Uma vez terminado o período de conservação, deve existir um sistema adequado para destruir os registos após a conclusão do tratamento dos dados.
  • Métodos para impedir que o processador de dados divulgue ou utilize os dados de uma forma que não tenha sido autorizada ou que seja ilegal.
  • São tomadas todas as medidas razoáveis para proteger a privacidade dos dados e impedir a correção, divulgação, alteração, utilização, acesso ou perda ilegais durante o armazenamento de dados.

Transferência transfronteiriça

Embora ainda não tenham sido oficialmente estabelecidas "normas adequadas de proteção de dados", espera-se que, quando os dados pessoais são transferidos para outro local do mundo, o país em causa tenha normas de proteção adequadas que regulem a proteção de dados. A única exceção é quando são cumpridas as isenções.

Sanções relacionadas com falhas na proteção de dados

Dependendo da gravidade das violações da Lei de Proteção de Dados Pessoais, podem ser aplicadas multas administrativas, multas penais, responsabilidade penal ou responsabilidade civil.

Por exemplo, quando o consentimento era exigido por lei, mas um responsável pelo tratamento de dados recolheu dados de um titular de dados sem consentimento, receberá uma multa de até 3 milhões de THB.

Preparar-se para a Lei da Proteção de Dados (PDPA)

Disposições transitórias

Quaisquer dados recolhidos antes de 27 de maio de 2020 podem ainda ser utilizados, desde que o responsável pelo tratamento dos dados tome as seguintes medidas:

  • Deve ser dada uma oportunidade às pessoas em causa para se oporem à utilização dos seus dados pessoais. A forma mais comum de o fazer é publicar um método de retirada do consentimento.
  • Desde que a pessoa em causa não se oponha, os dados pessoais só podem ser utilizados para os fins para que foram inicialmente recolhidos.

Preparar-se para a conformidade com a proteção de dados:

  • Em primeiro lugar, deve determinar se a APDP se aplica às actividades que vai realizar.
  • Se descobrir que a APDP se aplica às suas actividades, terá de seguir estes passos:
    • Faça um mapa do seu fluxo de dados.
    • Se estiver a retomar dados pessoais existentes, certifique-se de que os seus titulares têm a oportunidade de se opor e, em seguida, certifique-se de que só utiliza os dados pessoais para os quais não recebe objecções. Além disso, certifique-se de que esses dados pessoais só são utilizados de acordo com a sua finalidade inicial.
    • Certifique-se de que o tratamento de dados cumpre a norma nacional de proteção de dados e de que dispõe de protocolos de consentimento de dados actualizados.
    • Certifique-se de que tem uma base legal para a divulgação, utilização e recolha dos dados pessoais de que possa necessitar na sua atividade. Tem de haver um aviso de privacidade e um pedido de consentimento explícito de qualquer parte da qual pretenda recolher dados pessoais, incluindo parceiros comerciais.
    • Assegure o cumprimento de quaisquer outras obrigações que se esperam de um responsável pelo tratamento de dados.

Como pode gerir a proteção de dados nas PME?

Poderá achar mais fácil garantir a conformidade em empresas mais pequenas, uma vez que coisas como a exploração indevida são mais difíceis de encobrir. Outros aspectos fundamentais são mais fáceis de acompanhar e é possível uma comunicação mais direta com os sujeitos. Os proprietários dos dados podem investir tempo e esforço reais na portabilidade dos dados, se necessário, bem como na procura de consentimento, sempre que necessário, e na garantia de que a lei consolidada é seguida de perto pelos responsáveis pelo tratamento de dados. A comunicação e a transparência com o seu titular de dados antes da recolha de dados também são mais fáceis na era digital e as actividades de tratamento são menos morosas quando o conjunto de dados é mais pequeno.

Lembre-se de que, em caso de transferência de dados, deve garantir que o responsável pelo tratamento de dados envia notificações sobre essas informações. O governo tailandês aplicará indemnizações punitivas e sanções penais por violação da confidencialidade e incumprimento das normas de propriedade intelectual. A era digital influenciou fortemente a forma como os dados e esses interesses são geridos em todo o mundo e a Tailândia não é o único país com uma nova lei sobre proteção de dados.

As sanções podem ser tão graves como uma multa elevada ou até um ano de prisão, especialmente no caso de violações de dados muito sensíveis (por exemplo, saúde pública) ou de grande dimensão. Lembre-se que esta lei é um decreto real e destina-se a preparar a Tailândia para cumprir as normas internacionais.

Resumo

Se for vítima de uma violação ou fuga de dados pessoais, não hesite em contactar-nos. A Juslaws & Consult está sempre disponível para proteger os seus interesses.   

Poderá estar interessado nos seguintes recursos:
Crie a sua empresa tailandesa com o BOI Tailândia
Fale com um advogado especializado em licenças para empresas estrangeiras
Tudo o que precisa de saber sobre - Registo de empresas na Tailândia
Negócios e comércio
'
Estabelecer um negócio de canábis na Tailândia
'
Escritório de representação
'
Parcerias
'
TAFTA
'
JTEPA
'
Empresa comum
'
Centros de comércio internacional (ITC)
'
Sede Internacional (IHQ)
'
Licença de fábrica
'
Sucursal
'
US Amity Treaty Company
'
Estabelecer um negócio de canábis na Tailândia
'
Escritório de representação
'
Parcerias
'
TAFTA
'
JTEPA
'
Empresa comum
'
Centros de comércio internacional (ITC)
'
Sede Internacional (IHQ)
'
Licença de fábrica
'
Sucursal
'
US Amity Treaty Company
'
Registo de empresas na Tailândia
'
Registo na BdI
'
Licença de negócio no estrangeiro
'
Alfândega tailandesa e zona franca
'
Autorização de trabalho na Tailândia
'
Visto na Tailândia
'
Due Diligence empresarial
'
Registo de marcas
'
Reestruturação de empresas e liquidação de dívidas
Veja mais
Estamos aqui para o ajudar
Preencha o formulário e entraremos em contacto consigo o mais rapidamente possível.
Seleccione o ramo
Inquérito enviado
Obrigado por nos contactar
Entraremos em contacto consigo o mais rapidamente possível

. Aguarde até 24 horas
para entrarmos em contacto consigo 
Equipa de serviço ao cliente
Ops! Algo correu mal ao submeter o formulário.
Navegação
'
Início
'
Contencioso civil
'
Contencioso penal
'
Negócios e comércio
'
Propriedade e investimento
'
ADR & Arbitragem
'
Fiscalidade
'
Política de privacidade
'
Contacte-nos
Prémios e associações
Escritório em Banguecoque
140 One Pacific Place, suite 1905-1907, 19.o andar, Sukhumvit Road, distrito de Klong Toey, Banguecoque 10110, Tailândia
+66 94 218 4278
+66 2 114 3232
+66 2 254 4117
inquiries@juslaws.com
+66 95 248 4292 - 24 horas
legal@juslaws.com
property@juslaws.com
Escritório de Phuket
The Royal Place 96/66 Moo 1, Kathu, Kathu, Phuket 83120, Tailândia
+66 94 218 4278
+66 2 114 3233
+66 7 630 4353
inquiries@juslaws.com
+66 95 248 4292 - 24 horas
legal@juslaws.com
property@juslaws.com
© 2024, Juslaws & Consult Co., Ltd. Todos os direitos reservados.
Website da Upmedio