La estructura de la PIPA tras las enmiendas de 2023

La PIPA es el estatuto principal de datos personales en Corea del Sur, y la versión enmendada es el punto de referencia para cualquier editor que opere a partir de 2024. Los equipos que trabajan con el texto anterior a 2023 están mirando un marco obsoleto.

Lo que cambiaron las enmiendas de 2023

Las enmiendas de 2023 realizaron varios cambios estructurales:

• Unificaron las obligaciones del responsable del tratamiento en todos los sectores, eliminando el régimen fragmentado que anteriormente trataba a los proveedores de servicios de información y comunicaciones de manera diferente a otros responsables
• Reestructuraron el marco de transferencia transfronteriza para alejarse del consentimiento explícito por transferencia hacia patrones de adecuación y garantías más cercanos al modelo GDPR
• Introdujeron un derecho claro a no ser objeto de decisiones completamente automatizadas con efectos significativos, con derecho a solicitar una revisión humana
• Endurecieron la ventana obligatoria de notificación de brechas a 72 horas, alineándose con el estándar GDPR
• Elevaron el límite máximo de las multas administrativas a hasta el 3 por ciento de los ingresos totales para las infracciones graves — un aumento dramático respecto a los límites anteriores vinculados a los ingresos de la actividad infractora

El papel de la PIPC

La PIPC es la autoridad unificada de protección de datos, con poderes que abarcan investigación, imposición de multas, órdenes correctivas y divulgación pública de decisiones de aplicación. Desde 2023 opera como un organismo de nivel de gabinete con recursos notablemente ampliados y una postura de aplicación visiblemente más agresiva.

Quién está regulado

La PIPA se aplica a cualquier tratamiento de información personal de residentes coreanos, independientemente de dónde se encuentre el responsable. Un editor con sede en EE. UU. que atienda a usuarios coreanos a través de un sitio localizado, o un comprador programático que puje por inventario coreano, queda dentro del ámbito de aplicación. Este alcance extraterritorial está bien establecido en la práctica de la PIPC y ha sido reforzado en múltiples acciones de aplicación contra plataformas extranjeras desde 2023.

Qué cuenta como información personal

La definición de la PIPA es amplia. La información personal incluye cualquier información sobre una persona física viva que pueda identificar al individuo, ya sea directamente o en combinación con otra información. La PIPC ha tratado de manera consistente el espectro completo de identificadores en línea — cookies, identificadores publicitarios, direcciones IP, huellas digitales de dispositivos y perfiles de comportamiento — como información personal cuando pueden vincularse a un individuo directamente o por medios razonables.

Información sensible

El derecho coreano define una categoría diferenciada de información sensible (민감정보) que activa requisitos de consentimiento más estrictos. Esta incluye ideología, creencias, afiliación a sindicatos o partidos políticos, opiniones políticas, salud, vida sexual, datos genéticos, datos biométricos utilizados para la identificación e historial penal. El tratamiento de información sensible requiere un consentimiento separado y específico — no el consentimiento agrupado que puede cubrir la información personal ordinaria.

Información de identificación única

La PIPA delimita una categoría adicional, la información de identificación única (고유식별정보), que incluye los números de registro de residentes, números de pasaporte, números de permiso de conducir y números de registro de extranjeros. Su tratamiento está estrictamente restringido y generalmente prohibido para fines de marketing o publicidad.

Por qué importa esto para las cookies

Una cookie que almacena un identificador de sesión simple es información personal ordinaria y queda bajo el régimen general de consentimiento. Una cookie que alimenta un segmento de audiencia que toca categorías sensibles — intereses de salud, inclinaciones políticas, afiliaciones religiosas — cruza al territorio de la información sensible y requiere el flujo de consentimiento separado y específico. Los editores que apuntan a audiencias que se superponen con la lista sensible de la PIPA no deberían ejecutar esos segmentos bajo consentimiento publicitario general.

Consentimiento de cookies bajo la PIPA en 2026

Corea del Sur sigue un estricto modelo de consentimiento opt-in. La postura de la PIPC sobre las cookies ha sido coherente y ha sido reforzada por múltiples decisiones de aplicación a lo largo de 2024 y 2025.

Los cinco elementos del consentimiento válido

La PIPA requiere que el consentimiento para las cookies no esenciales y tecnologías similares sea:

• Específico para la finalidad — el consentimiento genérico general no es válido, cada finalidad de tratamiento necesita su propio consentimiento
• Informado — el usuario debe entender qué datos se recopilan, por qué, quién los recibe y durante cuánto tiempo
• Voluntario — el rechazo debe ser posible sin negar un servicio al que el usuario tiene derecho
• Expresado mediante un acto afirmativo — las casillas premarcadas, el consentimiento implícito y el desplazamiento como consentimiento son todos inválidos
• Separado para cada categoría de finalidad — esencial, analítica, publicitaria, personalización y transferencia transfronteriza necesitan cada una su propio consentimiento recopilado por separado

Cómo es un CMP conforme

Un CMP configurado para el tráfico coreano en 2026 debe presentar:

• Un banner visible antes de que se active cualquier cookie no esencial, con el coreano (한국어) como idioma predeterminado para los usuarios coreanos
• Acciones separadas de Aceptar, Rechazar y Personalizar con igual prominencia visual — la PIPC ha citado específicamente diseños de banners donde Rechazar es menos visible que Aceptar
• Controles granulares por finalidad, incluido un interruptor explícito para la transferencia transfronteriza
• Un flujo separado y claramente etiquetado para el tratamiento de información sensible, detrás de su propia acción
• Un mecanismo persistente y fácil de encontrar para retirar el consentimiento después de la elección inicial
• Una política de privacidad en coreano (개인정보 처리방침) con divulgaciones completas

Registros de consentimiento

El responsable debe mantener evidencia del consentimiento — quién consintió, cuándo, a qué, a través de qué interfaz. Los registros de consentimiento exportables y con marca de tiempo son la expectativa de referencia, y los registros de consentimiento inadecuados han sido citados en varias acciones de aplicación de la PIPC.

Transferencias transfronterizas tras las enmiendas de 2023

El régimen de transferencia transfronteriza de Corea se ha reestructurado más a fondo que prácticamente cualquier otra actualización nacional de privacidad posterior a 2023. Comprender el nuevo marco es la mayor brecha única de cumplimiento para los editores extranjeros en 2026.

El nuevo marco de transferencia

La PIPA enmendada prevé cuatro vías para la transferencia transfronteriza legítima:

• Decisiones de adecuación emitidas por la PIPC para países o sectores de destino
• Certificación del destinatario en el extranjero bajo un esquema de certificación reconocido por la PIPC
• Contratos estándar aprobados por la PIPC, que funcionan de manera análoga a las cláusulas contractuales estándar del GDPR
• Consentimiento explícito separado del interesado para la transferencia específica, como mecanismo residual

Por qué importa esto

Antes de las enmiendas de 2023, la mayoría de los flujos transfronterizos dependían de la cuarta vía — consentimiento por transferencia — lo que producía CMP voluminosos y complejos y era difícil de mantener para las pilas programáticas. El marco de 2023 permite a los responsables apoyarse en contratos estándar o certificación, reduciendo la carga del consentimiento y alineándose con la práctica internacional. Los editores que no han actualizado sus contratos con proveedores para referenciar los contratos estándar de la PIPC siguen operando por defecto bajo el antiguo régimen, que ahora es un pasivo de cumplimiento en lugar de un activo.

El enfoque práctico para 2026

La mayoría de los editores extranjeros ahora ejecutan contratos estándar de la PIPC con sus procesadores en el extranjero, documentan el mecanismo de transferencia en la política de privacidad y mantienen el consentimiento separado por transferencia solo como solución de reserva para casos extremos. Esto es viable, defendible y significativamente más sencillo que lo anterior.

Toma de decisiones automatizada y transparencia algorítmica

Las enmiendas de 2023 introdujeron un derecho a no ser objeto de decisiones completamente automatizadas con efectos significativos, y un derecho a solicitar una revisión humana de tales decisiones. Para los editores, esto aplica de manera más visible a la curación algorítmica de contenidos, la fijación de precios personalizada y cualquier orientación de audiencias que produzca resultados diferenciales significativos.

Obligaciones de divulgación

Los responsables deben divulgar en la política de privacidad que se utiliza la toma de decisiones automatizada, describir la lógica básica y explicar los posibles efectos significativos. Esto no significa revelar algoritmos propietarios — pero sí requiere un resumen significativo en lenguaje claro que un usuario típico pueda entender.

El derecho de revisión

Los usuarios afectados por una decisión automatizada significativa pueden solicitar una revisión humana, corrección o una explicación. El responsable debe proporcionar un canal para esta solicitud y responder dentro de los plazos estándar de la PIPA.

Derechos de los interesados

La PIPA otorga el conocido conjunto de derechos, aplicados a través del marco coreano:

• Derecho a ser informado sobre el tratamiento
• Derecho de acceso a los datos tratados
• Derecho a la rectificación de datos inexactos
• Derecho a la suspensión del tratamiento
• Derecho a la supresión cuando el tratamiento ya no esté justificado
• Derecho a retirar el consentimiento con la misma facilidad con que se otorgó
• Derecho a oponerse a la toma de decisiones automatizada con efectos significativos
• Derecho a presentar una reclamación ante la PIPC

Plazos de respuesta

Los responsables deben responder a la mayoría de las solicitudes de los interesados en un plazo de 10 días, prorrogables una vez por otros 10 días con notificación — significativamente más ajustado que la ventana de 30 días del GDPR. Esta es una de las brechas operativas más comunes para los editores extranjeros, que generalmente tienen herramientas y libros de operaciones ajustados al ritmo de 30 días del GDPR.

Sanciones y postura de aplicación en 2026

La actividad de aplicación de la PIPC se ha intensificado marcadamente desde 2023, y 2025 produjo algunas de las mayores multas de su historia — varias de ellas contra plataformas y editores extranjeros.

Multas administrativas

Las enmiendas de 2023 elevaron el nivel máximo de multas a hasta el 3 por ciento de los ingresos totales para las infracciones más graves. Se aplican multas de nivel inferior por fallos en materia de consentimiento, notificación, seguridad de los datos, notificación de brechas y transferencia transfronteriza. La PIPC ha estado dispuesta a utilizar el nivel máximo en 2025, lo que no era su patrón histórico.

Responsabilidad penal

La PIPA conlleva sanciones penales — incluyendo prisión — para las infracciones más graves, como la venta ilegal de información personal o las brechas deliberadas a gran escala. Son raras pero reales y se han invocado en casos de 2025.

Temas de aplicación

Las acciones de la PIPC de 2025 se agrupan en torno a problemas recurrentes: banners de consentimiento inadecuados o ambiguos, transferencias transfronterizas sin un mecanismo válido posterior a 2023, notificación insuficiente de brechas e incumplimiento de los derechos de los interesados dentro de la ventana de 10 días. Los editores extranjeros han sido citados en las cuatro categorías.

Lista de verificación de auditoría para el tráfico coreano en 2026

• El banner del CMP se muestra en coreano (한국어) con Aceptar, Rechazar y Personalizar con igual prominencia visual
• Las finalidades del consentimiento son granulares y colocan el tratamiento de información sensible detrás de su propio flujo de consentimiento específico
• Las transferencias transfronterizas se basan en un contrato estándar de la PIPC, certificación o adecuación — no en el consentimiento heredado por transferencia
• La política de privacidad (개인정보 처리방침) está disponible en coreano con divulgaciones completas de procesadores, finalidades, retención y derechos, incluida la lógica de toma de decisiones automatizada cuando corresponda
• Los registros de consentimiento tienen marca de tiempo, son exportables y se conservan al menos durante la duración del tratamiento más un margen auditable
• El flujo de trabajo de solicitudes de interesados puede responder en 10 días de principio a fin, en coreano
• El libro de operaciones de notificación de brechas está calibrado para la ventana de 72 horas de la PIPC
• Las divulgaciones sobre toma de decisiones automatizada están en la política de privacidad donde se toman decisiones significativas con dichos sistemas
• La lista de proveedores ha sido revisada por necesidad, con eliminación de proveedores no utilizados o redundantes

Las perspectivas para 2026

El régimen de privacidad de Corea del Sur ha madurado desde uno de los marcos más estrictos sobre el papel de Asia hasta uno de los regímenes más estrictos en aplicación a nivel mundial. Las enmiendas de 2023 eliminaron los obstáculos estructurales que hacían costoso el cumplimiento, y la PIPC ha utilizado los dos años transcurridos desde entonces para centrarse en la aplicación del resto de la ley. Los editores con una pila de consentimiento de nivel GDPR necesitan ajustes relativamente pequeños para estar preparados para Corea: CMP y política en coreano, contratos estándar de la PIPC para los flujos transfronterizos, el ritmo de respuesta de 10 días y cuidado con la lista de información sensible. Los editores que aún tratan a Corea como un mercado más ligero encontrarán que 2026 y 2027 serán materialmente más costosos que los años anteriores. La buena noticia es que la brecha es operativa, no arquitectónica, y puede cerrarse en semanas si se prioriza.