L'estructura de la PIPA després de les esmenes del 2023

La PIPA és l'estatut principal de dades personals a Corea del Sud, i la versió esmena és el punt de referència per a qualsevol editor que operi a partir del 2024. Els equips que treballen amb el text anterior al 2023 estan veient un marc obsolet.

El que van canviar les esmenes del 2023

Les esmenes del 2023 van introduir diversos canvis estructurals:

• Van unificar les obligacions del responsable del tractament en tots els sectors, eliminant el règim fragmentat que anteriorment tractava els proveïdors de serveis d'informació i comunicació de manera diferent a la resta de responsables
• Van reestructurar el marc de transferència transfronterera per allunyar-se del consentiment explícit per transferència cap a patrons d'adequació i garanties més propers al model GDPR
• Van introduir un dret clar a no ser objecte de decisions completament automatitzades que produeixin efectes significatius, amb el dret a sol·licitar una revisió humana
• Van endurir la finestra de notificació de bretxes obligatòria a 72 hores, en consonància amb l'estàndard GDPR
• Van elevar el límit màxim de les multes administratives fins a un 3% dels ingressos totals per a les infraccions greus — un augment dràstic respecte als límits anteriors vinculats als ingressos procedents de l'activitat infractora

El paper del PIPC

El PIPC és l'autoritat unificada de protecció de dades, amb poders que inclouen investigació, imposició de multes, ordres correctives i divulgació pública de les decisions d'aplicació. Des del 2023 opera com un organisme de rang ministerial amb recursos notablement ampliats i una postura d'aplicació visiblement més agressiva.

Qui està regulat

La PIPA s'aplica a qualsevol tractament d'informació personal de residents coreans, independentment d'on es trobi el responsable. Un editor amb seu als EUA que atengui usuaris coreans a través d'un lloc localitzat, o un comprador programàtic que posi oferta sobre inventari coreà, queda dins l'àmbit d'aplicació. Aquest abast extraterritorial és ben establert en la pràctica del PIPC i s'ha reforçat en múltiples accions d'aplicació contra plataformes estrangeres des del 2023.

Què compta com a informació personal

La definició de la PIPA és àmplia. La informació personal inclou qualsevol informació sobre una persona física viva que pugui identificar l'individu, ja sigui directament o en combinació amb altra informació. El PIPC ha tractat de manera consistent tot l'espectre d'identificadors en línia — galetes, identificadors publicitaris, adreces IP, empremtes digitals de dispositius i perfils de comportament — com a informació personal quan es poden vincular a un individu directament o per mitjans raonables.

Informació sensible

El dret coreà defineix una categoria diferenciada d'informació sensible (민감정보) que activa requisits de consentiment més estrictes. Aquesta inclou ideologia, creences, afiliació a sindicats o partits polítics, opinions polítiques, salut, vida sexual, dades genètiques, dades biomètriques emprades per a la identificació i historial penal. El tractament d'informació sensible requereix un consentiment separat i específic — no el consentiment agrupat que pot cobrir la informació personal ordinària.

Informació d'identificació única

La PIPA delimita una categoria addicional, la informació d'identificació única (고유식별정보), que inclou els números de registre de residents, números de passaport, números de permís de conduir i números de registre d'estrangers. El seu tractament està fortament restringit i generalment prohibit per a finalitats de màrqueting o publicitat.

Per què és important per a les galetes

Una galeta que emmagatzema un identificador de sessió simple és informació personal ordinària i queda sota el règim de consentiment general. Una galeta que alimenta un segment d'audiència que toca categories sensibles — interessos de salut, inclinacions polítiques, afiliacions religioses — entra en el territori de la informació sensible i requereix el flux de consentiment separat i específic. Els editors que apunten a audiències que s'encavalquen amb la llista sensible de la PIPA no haurien d'executar aquests segments sota el consentiment publicitari general.

Consentiment de galetes sota la PIPA el 2026

Corea del Sud segueix un model de consentiment d'opt-in estricte. La postura del PIPC sobre les galetes ha estat coherent i s'ha reforçat amb múltiples decisions d'aplicació al llarg del 2024 i el 2025.

Els cinc elements del consentiment vàlid

La PIPA requereix que el consentiment per a les galetes no essencials i tecnologies similars sigui:

• Específic per a la finalitat — el consentiment genèric general no és vàlid, cada finalitat de tractament necessita el seu propi consentiment
• Informat — l'usuari ha d'entendre quines dades es recopilen, per què, qui les rep i durant quant de temps
• Voluntari — el refús ha de ser possible sense negar un servei al qual l'usuari té dret
• Expressat per un acte afirmatiu — les caselles premarcades, el consentiment implícit i el desplaçament com a consentiment no són vàlids
• Separat per a cada categoria de finalitat — essencial, analítica, publicitària, personalització i transferència transfronterera, cadascuna necessita el seu propi consentiment recollit per separat

Com és un CMP compliant

Un CMP configurat per al trànsit coreà el 2026 ha de presentar:

• Un bàner visible abans que s'activi qualsevol galeta no essencial, amb el coreà (한국어) com a idioma predeterminat per als usuaris coreans
• Accions d'Acceptar, Rebutjar i Personalitzar separades amb la mateixa prominència visual — el PIPC ha citat específicament dissenys de bànners on Rebutjar és menys visible que Acceptar
• Controls granulars per finalitat, inclòs un commutador explícit per a la transferència transfronterera
• Un flux separat i clarament etiquetat per al tractament d'informació sensible, darrere la seva pròpia acció
• Un mecanisme persistent i fàcil de trobar per retirar el consentiment després de l'elecció inicial
• Una política de privadesa en coreà (개인정보 처리방침) amb divulgacions completes

Registres de consentiment

El responsable ha de mantenir evidència del consentiment — qui va consentir, quan, a què, a través de quina interfície. Els registres de consentiment exportables i amb marca de temps són l'expectativa bàsica, i els registres de consentiment inadequats s'han citat en diverses accions d'aplicació del PIPC.

Transferències transfrontereres després de les esmenes del 2023

El règim de transferència transfronterera de Corea s'ha reestructurat més a fons que pràcticament qualsevol altra actualització nacional de privadesa posterior al 2023. Comprendre el nou marc és la major bretxa única de compliment per als editors estrangers el 2026.

El nou marc de transferència

La PIPA esmena preveu quatre vies per a la transferència transfronterera legítima:

• Decisions d'adequació emeses pel PIPC per a països o sectors de destinació
• Certificació del destinatari a l'estranger en virtut d'un règim de certificació reconegut pel PIPC
• Contractes estàndard aprovats pel PIPC, que funcionen de manera anàloga a les clàusules contractuals estàndard del GDPR
• Consentiment explícit separat de l'interessat per a la transferència específica, com a mecanisme residual

Per què és important

Abans de les esmenes del 2023, la majoria dels fluxos transfronterers es basaven en la quarta via — el consentiment per transferència — que produïa CMP voluminosos i complexos i era difícil de mantenir per a les piles programàtiques. El marc del 2023 permet als responsables basar-se en contractes estàndard o certificació, reduint la càrrega del consentiment i alineant-se amb la pràctica internacional. Els editors que no han actualitzat els seus contractes amb proveïdors per fer referència als contractes estàndard del PIPC segueixen operant per defecte sota l'antic règim, que ara és un passiu de compliment en lloc d'un actiu.

L'enfocament pràctic per al 2026

La majoria dels editors estrangers ara executen contractes estàndard del PIPC amb els seus processadors a l'estranger, documenten el mecanisme de transferència a la política de privadesa i mantenen el consentiment separat per transferència només com a solució de reserva per a casos límit. Això és viable, defensable i significativament més senzill que el que hi havia abans.

Presa de decisions automatitzada i transparència algorítmica

Les esmenes del 2023 van introduir el dret a no ser objecte de decisions completament automatitzades que produeixin efectes significatius, i el dret a sol·licitar una revisió humana d'aquestes decisions. Per als editors, això s'aplica de manera més visible a la curació algorítmica de continguts, els preus personalitzats i qualsevol segmentació d'audiència que produeixi resultats diferencials significatius.

Obligacions de divulgació

Els responsables han de divulgar a la política de privadesa que s'utilitza la presa de decisions automatitzada, descriure la lògica bàsica i explicar els possibles efectes significatius. Això no significa revelar algoritmes propietaris — però sí que requereix un resum significatiu en llenguatge clar que un usuari típic pugui entendre.

El dret de revisió

Els usuaris afectats per una decisió automatitzada significativa poden sol·licitar una revisió humana, una correcció o una explicació. El responsable ha de proporcionar un canal per a aquesta sol·licitud i respondre dins els terminis estàndard de la PIPA.

Drets dels interessats

La PIPA atorga el conjunt familiar de drets, aplicats a través del marc coreà:

• Dret a ser informat sobre el tractament
• Dret d'accés a les dades tractades
• Dret a la rectificació de les dades inexactes
• Dret a la suspensió del tractament
• Dret a la supressió quan el tractament ja no estigui justificat
• Dret a retirar el consentiment amb la mateixa facilitat amb la qual es va donar
• Dret a oposar-se a la presa de decisions automatitzada que produeixi efectes significatius
• Dret a presentar una reclamació al PIPC

Terminis de resposta

Els responsables han de respondre a la majoria de les sol·licituds dels interessats en un termini de 10 dies, prorrogables una vegada per 10 dies addicionals amb notificació — significativament més ajustat que la finestra de 30 dies del GDPR. Aquesta és una de les bretxes operatives més comunes per als editors estrangers, que habitualment disposen d'eines i llibres d'operacions ajustats al ritme de 30 dies del GDPR.

Sancions i postura d'aplicació el 2026

L'activitat d'aplicació del PIPC s'ha intensificat bruscament des del 2023, i el 2025 ha produït algunes de les multes més grans de la seva història — diverses d'elles contra plataformes i editors estrangers.

Multes administratives

Les esmenes del 2023 van elevar el límit màxim de multes fins a un 3% dels ingressos totals per a les infraccions més greus. S'apliquen multes de nivell inferior per a deficiències en matèria de consentiment, notificació, seguretat de les dades, notificació de bretxes i transferència transfronterera. El PIPC ha estat disposat a usar el nivell màxim el 2025, cosa que no era el seu patró històric.

Responsabilitat penal

La PIPA comporta sancions penals — inclòs l'empresonament — per a les infraccions més greus, com la venda il·legal d'informació personal o les bretxes deliberades a gran escala. Són rares però reals i s'han aplicat en casos del 2025.

Temes d'aplicació

Les accions del PIPC del 2025 s'agrupen al voltant de problemes recurrents: bànners de consentiment inadequats o ambigus, transferències transfrontereres sense un mecanisme vàlid post-2023, notificació insuficient de bretxes i incompliment dels drets dels interessats dins la finestra de 10 dies. Els editors estrangers han estat citats en les quatre categories.

Llista de verificació d'auditoria per al trànsit coreà el 2026

• El bàner del CMP es mostra en coreà (한국어) amb Acceptar, Rebutjar i Personalitzar amb la mateixa prominència visual
• Les finalitats del consentiment són granulars i situen el tractament d'informació sensible darrere del seu propi flux de consentiment específic
• Les transferències transfrontereres es basen en un contracte estàndard del PIPC, certificació o adequació — no en el consentiment per transferència heretat
• La política de privadesa (개인정보 처리방침) està disponible en coreà amb divulgacions completes dels processadors, finalitats, conservació i drets, inclosa la lògica de presa de decisions automatitzada quan correspongui
• Els registres de consentiment estan marcats amb temps, son exportables i es conserven almenys durant la durada del tractament més un marge auditable
• El flux de treball de sol·licitud d'interessats pot respondre en 10 dies de principi a fi, en coreà
• El llibre d'operacions de notificació de bretxes està calibrat per a la finestra de 72 hores del PIPC
• Les divulgacions sobre la presa de decisions automatitzada figuren a la política de privadesa on es prenen decisions significatives amb aquests sistemes
• La llista de proveïdors s'ha revisat per necessitat, i s'han eliminat els proveïdors no utilitzats o redundants

Les perspectives per al 2026

El règim de privadesa de Corea del Sud ha madurat des d'un dels marcs més estrictes sobre el paper d'Àsia fins a un dels règims més estrictes en aplicació a escala mundial. Les esmenes del 2023 van eliminar els obstacles estructurals que feien que el compliment fos costós, i el PIPC ha aprofitat els dos anys des de llavors per centrar-se en l'aplicació de la resta de la llei. Els editors amb una pila de consentiment de nivell GDPR necessiten ajustos relativament petits per estar preparats per a Corea: CMP i política en coreà, contractes estàndard del PIPC per als fluxos transfronterers, el ritme de resposta de 10 dies i cura amb la llista d'informació sensible. Els editors que encara tracten Corea com un mercat més lleuger trobaran que el 2026 i el 2027 seran materialment més costosos que els anys anteriors. La bona notícia és que la bretxa és operativa, no arquitectònica, i es pot tancar en setmanes si se li dóna prioritat.