¿Qué es la PDPA – Ley de Protección de Datos Personales de Singapur?

Table of Contents

A medida que Internet se ha globalizado cada vez más, las autoridades nacionales han tomado medidas para proteger los datos personales de los ciudadanos. Eso se produce después de numerosas violaciones de datos importantes por parte de corporaciones transnacionales, además de la recopilación secreta de datos personales sin supervisión regulatoria. En Singapur, la ley de protección de datos es la PDPA.

En este artículo, explicaremos qué es la PDPA, cómo funciona y a quién afecta.

¿Qué es la PDPA?

La Ley de Protección de Datos Personales (PDPA) es una ley de protección de datos promulgada por el Parlamento de Singapur el 15 de octubre de 2012. La Ley entró en plena vigencia en julio de 2014 y se actualizó recientemente en noviembre de 2020.

Rige toda la recopilación, el uso y la divulgación de datos personales por parte de una organización privada relacionada con los ciudadanos de Singapur. Sin embargo, el reglamento también reconoce la necesidad de que las organizaciones utilicen y recopilen datos personales en circunstancias adecuadas.

En el marco de una revisión reciente, se introdujo un régimen obligatorio de notificación de violaciones de datos. En este caso, las organizaciones que sufren una violación de datos están obligadas a notificar a las autoridades de Singapur y a los interesados a menos que se aplique una excepción.

¿Cuáles son las diez obligaciones de protección de datos de la PDPA?

La PDPA define diez obligaciones de protección, entre ellas:

  1. Limitación de la finalidad. Utilizar o divulgar los datos personales únicamente para los fines definidos.
  2. Notificación. Informar a las personas sobre los fines de la recopilación, el uso y la divulgación de sus datos personales durante la recopilación.
  3. Consentimiento. Asegurarse de que se haya obtenido el consentimiento de las personas antes de recopilar, utilizar o divulgar sus datos personales.
  4. Acceso y corrección. Previa solicitud, proporcionar los datos personales de la persona e información sobre cómo se han utilizado o divulgado los datos personales de la persona en el último año. Corregir los datos personales de una persona previa solicitud.
  5. Exactitud. Asegurarse de que los datos personales sean precisos y completos durante la recopilación o al tomar una decisión que afecte a la persona.
  6. Protección. Mantener los datos personales en su poder seguros contra el acceso no autorizado, la modificación, la divulgación, el uso o la copia, ya sea en copia impresa o en formato electrónico.
  7. Limitación de retención. Conserve los datos personales solo con fines comerciales/legales y destruya los datos personales de forma segura cuando ya no sean necesarios.
  8. Limitación de la transferencia. Garantizar que las organizaciones externas extranjeras proporcionen un estándar de protección en virtud de la PDPA de Singapur.
  9. Apertura. Designar a un Oficial de Protección de Datos y publicar su información de contacto comercial. Poner a disposición del público y de los empleados las políticas y prácticas de protección de datos personales, incluido el proceso de denuncias.
  10. No llamar (DNC). No envíe mensajes de marketing a personas registradas en el registro nacional del DNC a través de voz, mensajes de texto o fax a menos que haya obtenido su consentimiento claro e inequívoco o tenga una relación continua (por mensaje de texto / fax).

Para aquellos que ya están familiarizados con el GDPR, muchas de estas obligaciones les resultarán familiares. Sin embargo, la PDPA es anterior al GDPR por varios años.

La décima obligación, «No llamar», no siempre se considera una obligación, sino que forma parte de la normativa de la PDPA sobre el telemarketing en Singapur. En cambio, una décima (o undécima) obligación es el requisito de notificar a las autoridades y a los interesados después de una violación de datos.

¿Qué es la Comisión de Protección de Datos Personales?

La Comisión de Protección de Datos Personales (PDPC) se estableció en virtud de la PDPA como autoridad reguladora responsable de regir la protección de datos en Singapur. La PDPC asesora al gobierno sobre futuras regulaciones y publica rutinariamente directrices de asesoramiento para la protección de datos.

La PDPC forma parte del regulador convergente de las telecomunicaciones y los medios de comunicación, la Autoridad de Desarrollo de los Medios de Comunicación de Infocomm (IMDA). Ambas autoridades están, a su vez, bajo la órbita del Ministerio de Comunicaciones e Información.

La creación del PDPC es parte de un impulso hacia una «cultura de responsabilidad». Por ejemplo, en 2019, la PDPC implementó la Certificación de Marca de Confianza de Protección de Datos. Es un programa de certificación voluntario en toda la empresa creado para que una organización demuestre sus prácticas de protección de datos responsables.

La PDPC también hace cumplir y procesa a numerosas organizaciones por violaciones de la PDPA: en particular, incluida SingHealth después de la violación de datos de SingHealth en 2018.

¿A qué se aplica la PDPA?

Al igual que otras leyes de protección de datos, como el GDPR del Reino Unido y la UE y la LGPD de Brasil, la PDPA contiene «efectos extraterritoriales». Eso significa que las organizaciones que no tienen su sede en Singapur pueden verse obligadas a cumplir con la PDPA si una organización recopila, utiliza o divulga datos dentro de Singapur.

Por ejemplo, si una empresa no singapurense, como Facebook, recopila datos de singapurenses en línea, entonces está sujeta a la PDPA. También se enfrentará a sanciones en caso de que se determine que no se ajusta a la normativa.

¿Qué sanciones se derivan del incumplimiento de la PDPA?

En caso de que se determine que una organización está en violación de la PDPA, entonces la PDPC se reserva el derecho de aplicar varias sanciones. Entre ellas se incluye exigir a la organización que:

– Dejar de recopilar, utilizar o divulgar datos personales en contravención de la PDPA.
– Destruir los datos personales recopilados en contravención de la LPDPA.
– Facilitar el acceso a los datos personales o corregirlos.
– Pagar una multa económica de hasta 1 millón de SGD (aproximadamente 625.735 euros).

Esta última multa es sustancialmente inferior a las sanciones impuestas en virtud del RGPD de la UE, que pueden alcanzar los 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor. Sin embargo, con la reciente enmienda, la PDPC tiene ahora la facultad de imponer sanciones económicas más altas. Esto incluye un máximo del 10% de la facturación anual de la organización en Singapur (si la facturación supera los 10 millones de SGD (aproximadamente 6.257.210 euros) o hasta 1 millón de SGD (aproximadamente 625.735 euros).

Además, también es probable que las empresas penalizadas sufran daños en su reputación y reacciones públicas.

Conclusión

La PDPA es la ley de protección de datos de Singapur. Regula el tratamiento de datos personales en el sector privado. Si usted es un negocio con negocios en Singapur, es fundamental que se familiarice con el contenido de la factura.

Para obtener más información, consulte el sitio web de PDPC.

Fuentes:

https://www.dataguidance.com/notes/singapore-data-protection-overview
https://www.pwc.com/sg/en/personal-data-protection.html
https://en.wikipedia.org/wiki/Personal_Data_Protection_Act_2012
https://sso.agc.gov.sg/Act/PDPA2012?ProvIds=P1IV-#P1IV-
https://www.pdpc.gov.sg/

Sales & Support