La estructura de la PDPA en 2026

La PDPA es el estatuto principal de protección de datos en Tailandia, y su estructura se asemeja mucho al GDPR. Los reglamentos subordinados de 2024 y 2025 añadieron detalles operativos que anteriormente faltaban en la ley base.

Qué añadieron los reglamentos subordinados

A lo largo de 2024 y 2025, el PDPC emitió reglamentos subordinados que cubrían: mecanismos de transferencia transfronteriza de datos, nombramiento y deberes de los delegados de protección de datos, procedimientos de notificación de violaciones de datos, requisitos de registro del tratamiento, plazos de flujo de trabajo de los derechos de los interesados y estándares de consentimiento específicos para datos personales sensibles. Estos reglamentos trasladaron colectivamente la PDPA de un marco general a un régimen operativo comparable al GDPR en especificidad.

Quién está regulado

La PDPA se aplica a la mayoría de los responsables y encargados del tratamiento de datos, con alcance extraterritorial para las organizaciones extranjeras que tratan datos personales de personas en Tailandia en relación con la oferta de bienes o servicios o la monitorización del comportamiento. Los editores extranjeros que atienden a usuarios tailandeses a través de sitios localizados o inventario programático comprado contra IPs tailandesas se encuentran típicamente dentro del ámbito de aplicación, y el PDPC ha invocado la disposición extraterritorial en cartas de aplicación tempranas.

Sanciones administrativas y penales

La PDPA prevé sanciones administrativas de hasta 5 millones de THB por infracción, junto con sanciones penales para las infracciones más graves, incluido el encarcelamiento de directivos en circunstancias específicas. El límite máximo de la sanción administrativa es inferior al GDPR en términos absolutos, pero la postura de aplicación en escalada del PDPC y la disponibilidad de responsabilidad penal hacen que el riesgo efectivo sea significativo.

Qué se considera datos personales bajo la PDPA

La definición de datos personales en la PDPA sigue de cerca el GDPR. Los datos personales son información relacionada con una persona identificada o identificable, y el PDPC ha tratado consistentemente las cookies, los identificadores publicitarios, las direcciones IP, las huellas digitales de dispositivos y los perfiles de comportamiento como datos personales cuando pueden vincularse a un individuo directamente o mediante combinación con otra información.

Datos personales sensibles

La PDPA designa una amplia categoría sensible que incluye: origen racial o étnico, opinión política, creencia religiosa o filosófica, comportamiento sexual, antecedentes penales, datos de salud, discapacidad, afiliación sindical, datos genéticos y datos biométricos. El tratamiento de datos personales sensibles requiere consentimiento explícito y activa obligaciones adicionales del responsable del tratamiento.

Por qué esto importa para las cookies

Una cookie que almacena un identificador rutinario son datos personales ordinarios. Una cookie que alimenta un segmento de audiencia que toca la lista sensible de la PDPA — intereses de salud, afiliación religiosa, inclinaciones políticas — es tratamiento de datos personales sensibles y requiere consentimiento explícito en lugar del consentimiento general de publicidad. La segmentación de audiencias en tailandés que se superpone con la lista sensible debe auditarse específicamente en relación con este límite.

El consentimiento de cookies bajo la PDPA en 2026

La PDPA permite múltiples bases legítimas para el tratamiento, pero para las cookies y tecnologías similares que no son estrictamente necesarias para la prestación del servicio, la orientación del PDPC y la aplicación temprana han convergido en el consentimiento como línea base práctica.

Los elementos del consentimiento válido

El consentimiento bajo la PDPA debe ser:

• Dado libremente — sin coerción ni vinculación con la prestación de servicios esenciales
• Informado — el interesado comprende qué datos se tratan, por quién y con qué finalidad
• Específico — vinculado a finalidades claramente identificadas en lugar de consentimiento general
• Inequívoco — expresado mediante un acto afirmativo claro, no inferido de la inactividad
• Explícito en casos que involucran datos personales sensibles, con consentimiento separado y específico para el tratamiento sensible

Cómo luce una CMP conforme

Una CMP configurada para el tráfico tailandés en 2026 debe presentar:

• Un banner visible antes de que se active cualquier cookie o rastreador no esencial, en tailandés (ภาษาไทย) por defecto para los usuarios tailandeses
• Igual prominencia visual para ยอมรับ (Aceptar), ปฏิเสธ (Rechazar) y ตั้งค่า (Configuración) — el PDPC ha criticado los diseños de banners donde la acción de rechazo está visualmente reducida
• Interruptores granulares por finalidad: analítica, publicidad, personalización, transferencia transfronteriza y cualquier tratamiento de categoría sensible
• Un flujo separado y claramente etiquetado para el tratamiento de datos personales sensibles, bloqueado tras su propia acción
• Un mecanismo permanente y fácil de encontrar para retirar el consentimiento después de la elección inicial
• Un aviso de privacidad en tailandés con divulgación completa del responsable del tratamiento, los encargados del tratamiento, las finalidades, los destinatarios, la conservación y los derechos

Registros de consentimiento

Los responsables del tratamiento deben mantener evidencia del consentimiento — quién consintió, cuándo, con qué finalidad y a través de qué interfaz. Los registros de consentimiento inadecuados han sido citados en varias cartas de aplicación del PDPC en 2025, y los registros con marca de tiempo exportables son la expectativa de referencia.

Transferencias transfronterizas después de los reglamentos de 2025

Los reglamentos de transferencia de 2025 fueron el desarrollo reciente más significativo para los editores extranjeros, aclarando los mecanismos disponibles para los flujos de datos transfronterizos.

Los mecanismos de transferencia reconocidos

Los reglamentos de 2025 establecen cuatro vías principales:

• Designación de protección adecuada donde el PDPC ha evaluado el país de destino como proveedor de protección adecuada
• Garantías apropiadas a través de mecanismos contractuales, incluidas las cláusulas contractuales tipo aprobadas por el PDPC y las normas corporativas vinculantes
• Excepciones específicas, incluido el consentimiento explícito del interesado con divulgación adecuada, necesidad contractual, interés vital e interés público sustancial
• Esquemas de certificación reconocidos por el PDPC para sectores o actividades específicas

La lista de adecuación

El PDPC ha emitido decisiones de adecuación para un puñado de jurisdicciones hasta principios de 2026. Los Estados Unidos no están en la lista, lo que significa que las transferencias a proveedores de ad-tech y analítica con sede en EE. UU. requieren cláusulas contractuales, certificación o una exención basada en el consentimiento.

El enfoque práctico para 2026

Para la mayoría de los editores extranjeros, el enfoque de trabajo consiste en ejecutar cláusulas contractuales tipo aprobadas por el PDPC con procesadores internacionales, documentar el mecanismo de transferencia en el aviso de privacidad en tailandés y complementar con autorización basada en el consentimiento solo donde el mecanismo estándar no encaja claramente.

Derechos de los interesados bajo la PDPA

La PDPA otorga un conjunto de derechos que siguen de cerca el GDPR:

• Derecho de acceso a los datos personales en poder del responsable del tratamiento
• Derecho de rectificación de datos inexactos o incompletos
• Derecho de supresión
• Derecho a limitar el tratamiento
• Derecho a la portabilidad de los datos
• Derecho de oposición al tratamiento
• Derecho a retirar el consentimiento
• Derecho a no ser objeto de decisiones automatizadas que produzcan efectos significativos
• Derecho a presentar una reclamación ante el PDPC

Plazos de respuesta

Los responsables del tratamiento deben responder a las solicitudes de los interesados en un plazo de 30 días dentro del marco general, con ventanas más cortas para tipos de solicitudes específicas. La preparación operativa para esta ventana — con herramientas y manuales en tailandés — es una brecha común para los editores extranjeros ajustados a una cadencia europea.

El requisito del DPO

El reglamento subordinado de 2024 aclaró cuándo se requiere un DPO. Los responsables del tratamiento que procesen grandes volúmenes de datos personales, realicen monitorización sistemática de los interesados o procesen datos personales sensibles a escala deben designar un DPO. Los responsables del tratamiento extranjeros que alcanzan el umbral de volumen a través de usuarios tailandeses están dentro del ámbito de aplicación. La información de contacto del DPO debe ser accesible en el aviso de privacidad en tailandés.

Sanciones y postura de aplicación en 2026

La actividad de aplicación del PDPC ha escalado significativamente a lo largo de 2024 y 2025, y 2026 sigue una trayectoria similar.

La estructura de sanciones administrativas

Las sanciones administrativas se escalan por tipo de infracción, con máximos de 5 millones de THB por infracción para las infracciones más graves. Las infracciones rutinarias — banners de consentimiento inadecuados, avisos de privacidad ausentes, no responder a las solicitudes de los interesados — típicamente atraen sanciones en el rango inferior de cientos de miles de THB, pero pueden escalar rápidamente para infracciones repetidas o agravadas.

La red de seguridad de la responsabilidad penal

A diferencia del GDPR, la PDPA prevé responsabilidad penal para las infracciones más graves, incluido el encarcelamiento de directivos en circunstancias específicas. El reglamento subordinado de 2024 aclaró el alcance de la responsabilidad penal y, aunque no se ha aplicado contra editores extranjeros en 2026 hasta la fecha, la posibilidad conforma el análisis de riesgo para cualquier organización que procese datos tailandeses a escala.

Temas de aplicación

Las acciones del PDPC de 2025 y principios de 2026 se agrupan en torno a: banners de consentimiento ambiguos o ausentes, falta de avisos de privacidad en tailandés, transferencias transfronterizas sin un mecanismo válido bajo los reglamentos de 2025, no responder a las solicitudes de los interesados dentro de la ventana de 30 días y designaciones de DPO ausentes para responsables del tratamiento dentro del ámbito. Los editores extranjeros han sido citados en las cinco categorías.

Lista de verificación de auditoría para el tráfico tailandés en 2026

• El banner de la CMP se sirve en tailandés con ยอมรับ, ปฏิเสธ y ตั้งค่า con igual prominencia visual
• Las finalidades del consentimiento son granulares y separan el tratamiento de categoría sensible detrás de su propio flujo de consentimiento
• El aviso de privacidad está disponible en tailandés con divulgación completa del responsable del tratamiento, los encargados del tratamiento, las finalidades, la conservación, los derechos y el contacto del DPO
• Las transferencias transfronterizas se basan en cláusulas contractuales tipo aprobadas por el PDPC, una designación de adecuación, BCRs, certificación o una exención documentada
• Los registros de consentimiento tienen marca de tiempo, son exportables y se conservan durante el período aplicable
• El flujo de trabajo de solicitud de los interesados puede responder en un plazo de 30 días de extremo a extremo, en tailandés
• El DPO está designado donde se requiere y la información de contacto está publicada en el aviso de privacidad
• La lista de proveedores ha sido revisada por necesidad, eliminando proveedores no utilizados o redundantes para reducir la superficie de transferencia transfronteriza
• Los segmentos de audiencia de categoría sensible están bloqueados detrás del consentimiento explícito y capturado por separado
• El manual de notificación de violaciones está ajustado a los plazos de notificación de violaciones de la PDPA

Las perspectivas para 2026

El régimen de privacidad de Tailandia ha madurado desde un estatuto base con especificidad operativa limitada hasta un régimen con los reglamentos subordinados, la capacidad de aplicación y la voluntad política para ser aplicado de manera significativa. Los reglamentos de transferencia transfronteriza de 2025 cerraron la brecha estructural más significativa, y la postura temprana de aplicación del PDPC es coherente con un regulador serio a mitad de su escalada en lugar de uno que permanecerá tranquilo. Para los editores que ya ejecutan una pila de consentimiento de nivel GDPR, la brecha hasta el cumplimiento de la PDPA es operativa en lugar de arquitectónica: CMP y aviso de privacidad en tailandés, mecanismos de transferencia aprobados por el PDPC, la cadencia de respuesta de 30 días, designación de DPO donde se requiere y cuidado con la lista de datos sensibles más amplia de la PDPA. La brecha puede cerrarse en semanas si se prioriza — y Tailandia es un mercado significativo del sudeste asiático, por lo que la priorización típicamente se amortiza rápidamente. Los editores que trataron Tailandia como un mercado de menor exigencia hasta 2024 están encontrando 2026 significativamente más exigente, y la tendencia es clara.