L'estructura de la PDPA el 2026

La PDPA és l'estatut principal de protecció de dades a Tailàndia, i la seva estructura s'assembla molt al GDPR. Els reglaments subordinats del 2024 i el 2025 van afegir detalls operatius que anteriorment faltaven a la llei base.

Què van afegir els reglaments subordinats

Al llarg del 2024 i el 2025, el PDPC va emetre reglaments subordinats que cobrien: mecanismes de transferència transfronterera de dades, nomenament i deures dels delegats de protecció de dades, procediments de notificació de violació de dades, requisits de registre de tractament, terminis de flux de treball dels drets dels interessats i estàndards de consentiment específics per a dades personals sensibles. Aquests reglaments van traslladar col·lectivament la PDPA d'un marc general a un règim operatiu comparable al GDPR en especificitat.

Qui està regulat

La PDPA s'aplica a la majoria dels responsables i encarregats del tractament de dades, amb abast extraterritorial per a les organitzacions estrangeres que tracten dades personals d'individus a Tailàndia en relació amb l'oferta de béns o serveis o el seguiment del comportament. Els editors estrangers que atenen usuaris tailandesos a través de llocs localitzats o inventari programàtic comprat contra IP tailandeses solen estar dins de l'àmbit, i el PDPC ha invocat la disposició extraterritorial en cartes d'aplicació primerenques.

Sancions administratives i penals

La PDPA preveu sancions administratives de fins a 5 milions de THB per infracció, juntament amb penes penals per als incompliments més greus, inclòs l'empresonament de directors en circumstàncies específiques. El límit màxim de la sanció administrativa és inferior al GDPR en termes absoluts, però la postura d'aplicació en escalada del PDPC i la disponibilitat de responsabilitat penal fan que el risc efectiu sigui significatiu.

Què compta com a dades personals sota la PDPA

La definició de dades personals de la PDPA segueix de prop el GDPR. Les dades personals són informació relacionada amb una persona identificada o identificable, i el PDPC ha tractat constantment les galetes, els identificadors publicitaris, les adreces IP, les empremtes digitals dels dispositius i els perfils de comportament com a dades personals quan es poden vincular a un individu directament o per combinació amb altra informació.

Dades personals sensibles

La PDPA designa una àmplia categoria sensible que inclou: origen racial o ètnic, opinió política, creença religiosa o filosòfica, comportament sexual, antecedents penals, dades de salut, discapacitat, afiliació sindical, dades genètiques i dades biomètriques. El tractament de dades personals sensibles requereix consentiment explícit i activa obligacions addicionals del responsable del tractament.

Per què això importa per a les galetes

Una galeta que emmagatzema un identificador rutinari és dades personals ordinàries. Una galeta que alimenta un segment d'audiència que toca la llista sensible de la PDPA — interessos de salut, afiliació religiosa, inclinacions polítiques — és tractament de dades personals sensibles i requereix consentiment explícit en lloc del consentiment general de publicitat. El targeting d'audiència en tailandès que se superposa amb la llista sensible s'ha d'auditar específicament en relació amb aquest límit.

El consentiment de galetes sota la PDPA el 2026

La PDPA permet múltiples bases legítimes per al tractament, però per a les galetes i tecnologies similars que no són estrictament necessàries per a la prestació del servei, la guia del PDPC i l'aplicació primerenca han convergit en el consentiment com a base pràctica de referència.

Els elements del consentiment vàlid

El consentiment sota la PDPA ha de ser:

• Donat lliurement — sense coacció ni associació amb la prestació de serveis essencials
• Informat — l'interessat entén quines dades es tracten, per qui i per a quin propòsit
• Específic — vinculat a propòsits clarament identificats en lloc de consentiment general
• Inequívoc — expressat a través d'un acte afirmatiu clar, no inferit de la inactivitat
• Explícit en casos que involucren dades personals sensibles, amb consentiment separat i específic per al tractament sensible

Com és una CMP conforme

Una CMP configurada per al trànsit tailandès el 2026 hauria de presentar:

• Un bàner visible abans que s'activi qualsevol galeta o rastrejador no essencial, en tailandès (ภาษาไทย) per defecte per als usuaris tailandesos
• Igual prominència visual per a ยอมรับ (Acceptar), ปฏิเสธ (Rebutjar) i ตั้งค่า (Configuració) — el PDPC ha criticat els dissenys de bàners on l'acció de rebuig és visualment poc destacada
• Interruptors granulars per propòsit: analítica, publicitat, personalització, transferència transfronterera i qualsevol tractament de categoria sensible
• Un flux separat i clarament etiquetat per al tractament de dades personals sensibles, protegit per la seva pròpia acció
• Un mecanisme persistent i fàcil de trobar per retirar el consentiment després de l'elecció inicial
• Un avís de privacitat en tailandès amb divulgació completa del responsable del tractament, els encarregats del tractament, els propòsits, els destinataris, la conservació i els drets

Registres de consentiment

Els responsables del tractament han de mantenir evidència del consentiment — qui va consentir, quan, a quin propòsit i a través de quina interfície. Els registres de consentiment inadequats s'han citat en diverses cartes d'aplicació del PDPC el 2025, i els registres amb marca de temps exportables són l'expectativa de referència.

Transferències transfrontereres després dels reglaments del 2025

Els reglaments de transferència del 2025 van ser el desenvolupament recent més significatiu per als editors estrangers, aclarint els mecanismes disponibles per als fluxos de dades transfronterers.

Els mecanismes de transferència reconeguts

Els reglaments del 2025 preveuen quatre vies principals:

• Designació de protecció adequada on el PDPC ha avaluat el país de destinació com a proveïdor de protecció adequada
• Garanties adequades a través de mecanismes contractuals, incloses les clàusules contractuals estàndard aprovades pel PDPC i les normes corporatives vinculants
• Exempcions específiques inclòs el consentiment explícit de l'interessat amb divulgació adequada, necessitat contractual, interès vital i interès públic substancial
• Esquemes de certificació reconeguts pel PDPC per a sectors o activitats específiques

La llista d'adequació

El PDPC ha emès decisions d'adequació per a un grapat de jurisdiccions fins a principis del 2026. Els Estats Units no estan a la llista, la qual cosa significa que les transferències als proveïdors d'ad-tech i analítica amb seu als EUA requereixen clàusules contractuals, certificació o una exempció basada en el consentiment.

L'enfocament pràctic del 2026

Per a la majoria dels editors estrangers, l'enfocament de treball és executar les clàusules contractuals estàndard aprovades pel PDPC amb processadors internacionals, documentar el mecanisme de transferència a l'avís de privacitat en tailandès i complementar amb autorització basada en el consentiment només quan el mecanisme estàndard no s'adapta clarament.

Drets dels interessats sota la PDPA

La PDPA atorga un conjunt de drets que segueixen de prop el GDPR:

• Dret d'accés a les dades personals en poder del responsable del tractament
• Dret de rectificació de dades inexactes o incompletes
• Dret de supressió
• Dret a limitar el tractament
• Dret a la portabilitat de les dades
• Dret d'oposició al tractament
• Dret a retirar el consentiment
• Dret a no ser objecte d'una presa de decisions automatitzada que produeixi efectes significatius
• Dret a presentar una reclamació davant del PDPC

Terminis de resposta

Els responsables del tractament han de respondre a les sol·licituds dels interessats en un termini de 30 dies dins del marc general, amb finestres més curtes per a tipus de sol·licituds específiques. La disponibilitat operativa per a aquesta finestra — amb eines i runbooks en tailandès — és una bretxa habitual per als editors estrangers sintonitzats amb un cadència europea.

El requisit del DPO

El reglament subordinat del 2024 va aclarir quan es requereix un DPO. Els responsables del tractament que processen grans volums de dades personals, realitzen seguiment sistemàtic dels interessats o processen dades personals sensibles a escala han de designar un DPO. Els responsables del tractament estrangers que assoleixen el llindar de volum a través d'usuaris tailandesos estan dins de l'àmbit. La informació de contacte del DPO ha de ser accessible a l'avís de privacitat en tailandès.

Sancions i postura d'aplicació el 2026

L'activitat d'aplicació del PDPC ha augmentat significativament al llarg del 2024 i el 2025, i el 2026 segueix una trajectòria similar.

L'estructura de sancions administratives

Les sancions administratives s'escalen per tipus d'infracció, amb màxims de 5 milions de THB per infracció per als incompliments més greus. Les infraccions rutinàries — bàners de consentiment inadequats, avisos de privacitat absents, no respondre a les sol·licituds dels interessats — normalment atrauen sancions en el rang inferior de centenars de milers de THB, però poden escalar ràpidament per a infraccions repetides o agreujades.

La salvaguarda de la responsabilitat penal

A diferència del GDPR, la PDPA preveu responsabilitat penal per als incompliments més greus, inclòs l'empresonament de directors en circumstàncies específiques. El reglament subordinat del 2024 va aclarir l'abast de la responsabilitat penal i, tot i que no s'ha aplicat contra editors estrangers el 2026 fins avui, la possibilitat conforma l'anàlisi de risc per a qualsevol organització que tracti dades tailandeses a escala.

Temes d'aplicació

Les accions del PDPC del 2025 i principis del 2026 es concentren entorn de: bàners de consentiment ambigus o absents, manca d'avisos de privacitat en tailandès, transferències transfrontereres sense un mecanisme vàlid sota els reglaments del 2025, no respondre a les sol·licituds dels interessats dins de la finestra de 30 dies i designacions de DPO absents per a responsables del tractament dins de l'àmbit. Els editors estrangers han estat citats en les cinc categories.

Llista de verificació d'auditoria per al trànsit tailandès el 2026

• El bàner de la CMP es serveix en tailandès amb ยอมรับ, ปฏิเสธ i ตั้งค่า amb igual prominència visual
• Els propòsits de consentiment són granulars i separen el tractament de categoria sensible darrere del seu propi flux de consentiment
• L'avís de privacitat està disponible en tailandès amb divulgació completa del responsable del tractament, els encarregats del tractament, els propòsits, la conservació, els drets i el contacte del DPO
• Les transferències transfrontereres es basen en clàusules contractuals estàndard aprovades pel PDPC, una designació d'adequació, BCRs, certificació o una exempció documentada
• Els registres de consentiment tenen marca de temps, són exportables i es conserven per al període aplicable
• El flux de treball de sol·licitud dels interessats pot respondre en un termini de 30 dies d'extrem a extrem, en tailandès
• El DPO és designat on es requereix i la informació de contacte es publica a l'avís de privacitat
• La llista de proveïdors s'ha revisat per necessitat, eliminant proveïdors no utilitzats o redundants per reduir la superfície de transferència transfronterera
• Els segments d'audiència de categoria sensible estan protegits darrere del consentiment explícit i capturat per separat
• El runbook de notificació de violació s'ha adaptat als terminis de notificació de violació de la PDPA

La perspectiva del 2026

El règim de privacitat de Tailàndia ha madurat d'un estatut base amb especificitat operativa limitada a un règim amb els reglaments subordinats, la capacitat d'aplicació i la voluntat política per ser aplicat de manera significativa. Els reglaments de transferència transfronterera del 2025 van tancar la bretxa estructural més significativa, i la postura primerenca d'aplicació del PDPC és coherent amb un regulador seriós en procés d'escalat en lloc d'un que romandrà tranquil. Per als editors que ja gestionen una pila de consentiment de grau GDPR, la bretxa fins al compliment de la PDPA és operativa en lloc d'arquitectònica: CMP i avís de privacitat en tailandès, mecanismes de transferència aprovats pel PDPC, la cadència de resposta de 30 dies, designació de DPO on es requereix i cura amb la llista de dades sensibles més àmplia de la PDPA. La bretxa es pot tancar en setmanes si es prioritza — i Tailàndia és un mercat significatiu del sud-est asiàtic, de manera que la priorització sol pagar-se ràpidament. Els editors que van tractar Tailàndia com un mercat de toc més lleuger fins al 2024 estan trobant el 2026 significativament més exigent, i la tendència és clara.