A estrutura da PIPA despois das emendas de 2023

A PIPA é o estatuto principal de datos persoais en Corea do Sur, e a versión emendada é o punto de referencia para calquera editor que opere a partir de 2024. Os equipos que traballan a partir do texto anterior a 2023 están a consultar un marco obsoleto.

O que cambiaron as emendas de 2023

As emendas de 2023 fixeron varios cambios estruturais:

• Unificáronse as obrigas do responsable do tratamento en todos os sectores, eliminando o réxime fragmentado que anteriormente trataba de forma diferente os provedores de servizos de información e comunicacións doutros responsables do tratamento
• Reestruturouse o marco de transferencia transfronteiriza para afastarse do consentimento explícito por transferencia cara a patróns de adecuación e salvagardas máis próximos ao modelo GDPR
• Introduciuse un dereito claro a non estar suxeito a decisións totalmente automatizadas que produzan efectos significativos, con dereito a solicitar revisión humana
• Reduciuse a ventá obrigatoria de notificación de violacións a 72 horas, igualando o estándar do GDPR
• Elevouse o límite das multas administrativas a ata o 3 por cento dos ingresos totais por infraccións graves — un aumento dramático respecto aos límites anteriores vinculados aos ingresos da actividade infractora

O papel da PIPC

A PIPC é a autoridade unificada de protección de datos, con poderes que abarcan a investigación, a imposición de multas, as ordes correctivas e a divulgación pública das decisións de execución. Desde 2023 operou como un organismo de nivel de Gabinete con recursos significativamente ampliados e unha postura de aplicación visibelmente máis agresiva.

Quen está regulado

A PIPA aplícase a calquera tratamento de información persoal dos residentes coreanos, independentemente de onde se atope o responsable do tratamento. Un editor con sede en EE. UU. que serve a usuarios coreanos a través dun sitio localizado, ou un comprador programático que puja polo inventario coreano, está no ámbito de aplicación. Este alcance extraterritorial está ben establecido na práctica da PIPC e foi reforzado en múltiples accións de execución contra plataformas estranxeiras desde 2023.

O que conta como información persoal

A definición da PIPA é ampla. A información persoal inclúe calquera información sobre un individuo vivo que poida identificalo, directamente ou en combinación con outra información. A PIPC tratou sistematicamente a gama completa de identificadores en liña — cookies, ID de publicidade, enderezos IP, pegadas dixitais de dispositivos e perfís de comportamento — como información persoal cando se poden vincular a un individuo directamente ou por medios razoables.

Información sensible

A lei coreana designa unha categoría distinta de información sensible (민감정보) que activa requisitos de consentimento máis estritos. Isto inclúe ideoloxía, crenzas, afiliación a sindicatos ou partidos políticos, opinións políticas, saúde, vida sexual, datos xenéticos, datos biométricos utilizados para a identificación e historial penal. O tratamento de información sensible require un consentimento separado e específico — non o consentimento agrupado que podería cubrir a información persoal ordinaria.

Información de identificación única

A PIPA delimita unha categoría adicional, a información de identificación única (고유식별정보), que inclúe números de rexistro de residentes, números de pasaporte, números de carné de conducir e números de rexistro de estranxeiros. O seu tratamento está estritamente restrinxido e xeralmente prohibido para fins de mercadotecnia ou publicidade.

Por que isto importa para as cookies

Unha cookie que almacena un identificador de sesión simple é información persoal ordinaria e cae baixo o réxime xeral de consentimento. Unha cookie que alimenta un segmento de audiencia que toca categorías sensibles — intereses de saúde, inclinacións políticas, afiliacións relixiosas — entra no territorio da información sensible e require o fluxo de consentimento separado e específico. Os editores que dirixen audiencias que solapan coa lista de datos sensibles da PIPA non deben executar eses segmentos baixo o consentimento xeral de publicidade.

O consentimento de cookies baixo a PIPA en 2026

Corea do Sur segue un modelo de consentimento opt-in estrito. A posición da PIPC sobre as cookies foi consistente e foi reforzada por múltiples decisións de execución en 2024 e 2025.

Os cinco elementos dun consentimento válido

A PIPA require que o consentimento para cookies non esenciais e tecnoloxías similares sexa:

• Específico ao propósito — o consentimento xeral paraguas non é válido, cada propósito de tratamento necesita o seu propio consentimento
• Informado — o usuario debe entender que datos se recollen, por que, quen os recibe e por canto tempo
• Voluntario — o rexeitamento debe ser posible sen negar un servizo ao que o usuario ten dereito
• Expresado mediante un acto afirmativo — as caixas premarcadas, o consentimento implícito e o consentimento por desprazamento son todos inválidos
• Separado para cada categoría de propósito — esencial, analítica, publicidade, personalización e transferencia transfronteiriza cada un necesita o seu propio consentimento recollido por separado

Como ten que ser un CMP conforme

Un CMP configurado para o tráfico coreano en 2026 debe presentar:

• Un banner visible antes de que se active calquera cookie non esencial, por defecto en coreano (한국어) para usuarios coreanos
• Accións Aceptar, Rexeitar e Personalizar separadas con igual prominencia visual — a PIPC citou especificamente deseños de banner onde Rexeitar é menos visible que Aceptar
• Controis granulares por propósito, incluíndo un interruptor explícito para a transferencia transfronteiriza
• Un fluxo separado e claramente etiquetado para o tratamento de información sensible, protexido detrás da súa propia acción
• Un mecanismo persistente e fácil de atopar para retirar o consentimento despois da elección inicial
• Unha política de privacidade en coreano (개인정보 처리방침) con todas as divulgacións

Rexistros de consentimento

O responsable do tratamento debe manter evidencia do consentimento — quen consentiu, cando, en que, a través de que interface. Os rexistros de consentimento exportables e con marca de tempo son o nivel de expectativa básico, e os rexistros de consentimento inadecuados foron citados en varias accións de execución da PIPC.

Transferencias transfronteirizas despois das emendas de 2023

O réxime de transferencia transfronteiriza de Corea foi reestruturado máis a fondo que case calquera outra actualización nacional de privacidade posterior a 2023. Comprender o novo marco é o maior déficit de cumprimento individual para os editores estranxeiros en 2026.

O novo marco de transferencia

A PIPA emendada ofrece catro vías para a transferencia transfronteiriza lexítima:

• Decisións de adecuación emitidas pola PIPC para países ou sectores de destino
• Certificación do destinatario estranxeiro baixo un esquema de certificación recoñecido pola PIPC
• Contratos tipo aprobados pola PIPC, que funcionan de forma análoga ás cláusulas contractuais tipo do GDPR
• Consentimento explícito separado do interesado para a transferencia específica, como mecanismo residual

Por que isto importa

Antes das emendas de 2023, a maioría dos fluxos transfronteirizos dependían da cuarta vía — o consentimento por transferencia —, o que producía CMP densas e complexas difíciles de manter para as pilas programáticas. O marco de 2023 permite aos responsables do tratamento depender de contratos tipo ou certificación, reducindo a carga de consentimento e aliñándose coa práctica internacional. Os editores que non actualizaron os seus contratos de provedores para facer referencia aos contratos tipo da PIPC aínda operan por defecto baixo o réxime antigo, o que é agora un pasivo de cumprimento e non un activo.

O enfoque práctico en 2026

A maioría dos editores estranxeiros están a executar agora contratos tipo PIPC cos seus procesadores estranxeiros, documentando o mecanismo de transferencia na política de privacidade e mantendo o consentimento separado por transferencia só como alternativa para casos límite. Isto é factible, defendible e significativamente máis sinxelo que antes.

Toma de decisións automatizada e transparencia algorítmica

As emendas de 2023 introduciron un dereito a non estar suxeito a decisións totalmente automatizadas que produzan efectos significativos, e un dereito a solicitar revisión humana de tales decisións. Para os editores, isto aplícase máis visibelmente á curación algorítmica de contidos, a prezos personalizados e a calquera orientación de audiencia que produza resultados diferenciados significativos.

Obrigas de divulgación

Os responsables do tratamento deben divulgar na política de privacidade que se utiliza a toma de decisións automatizada, describir a lóxica básica e explicar os posibles efectos significativos. Isto non significa revelar algoritmos propietarios — pero require un resumo significativo en linguaxe sinxela que un usuario típico poida entender.

O dereito de revisión

Os usuarios afectados por unha decisión automatizada significativa poden solicitar revisión humana, corrección ou explicación. O responsable do tratamento debe proporcionar un canal para esta solicitude e responder dentro dos prazos estándar da PIPA.

Dereitos dos interesados

A PIPA outorga o conxunto familiar de dereitos, aplicados a través do marco coreano:

• Dereito a ser informado sobre o tratamento
• Dereito de acceso aos datos tratados
• Dereito de rectificación de datos inexactos
• Dereito de suspensión do tratamento
• Dereito de supresión cando o tratamento xa non estea xustificado
• Dereito de retirar o consentimento tan facilmente como se deu
• Dereito a opoñerse á toma de decisións automatizada que produce efectos significativos
• Dereito a presentar queixa ante a PIPC

Prazos de resposta

Os responsables do tratamento deben responder á maioría das solicitudes dos interesados en 10 días, prorrogable unha vez por outros 10 días con aviso — significativamente máis estrito que a ventá de 30 días do GDPR. Este é un dos déficits operativos máis comúns para os editores estranxeiros, que normalmente teñen ferramentas e procedementos axustados ao ciclo de 30 días do GDPR.

Sancións e postura de execución en 2026

A actividade de execución da PIPC escalou bruscamente desde 2023, e 2025 produciu algunhas das maiores multas da súa historia — varias delas contra plataformas e editores estranxeiros.

Multas administrativas

As emendas de 2023 elevaron o nivel máximo de multa a ata o 3 por cento dos ingresos totais polas infraccións máis graves. Aplícanse multas de nivel inferior por fallos relacionados co consentimento, aviso, seguridade dos datos, notificación de violacións e transferencia transfronteiriza. A PIPC estivo disposta a usar o nivel máximo en 2025, o que non era o seu patrón histórico.

Responsabilidade penal

A PIPA contempla sancións penais — incluída a prisión — polas infraccións máis graves, como a venda ilícita de información persoal ou as violacións internacionais a gran escala. Estas son raras pero reais e foron invocadas en casos de 2025.

Temas de execución

As accións da PIPC en 2025 agrúpanse en torno a problemas recorrentes: banners de consentimento inadecuados ou ambiguos, transferencias transfronteirizas sen un mecanismo posterior a 2023 válido, notificación de violacións insuficiente e incumprimento dos dereitos dos interesados dentro da ventá de 10 días. Os editores estranxeiros foron citados nas catro categorías.

Lista de verificación de auditoría para o tráfico coreano en 2026

• O banner do CMP sérvese en coreano (한국어) con Aceptar, Rexeitar e Personalizar con igual prominencia visual
• Os propósitos de consentimento son granulares e separan calquera tratamento de información sensible detrás do seu propio fluxo de consentimento específico
• As transferencias transfronteirizas dependen dun contrato tipo PIPC, certificación ou adecuación — non do consentimento por transferencia herdado
• A política de privacidade (개인정보 처리방침) está dispoñible en coreano con todas as divulgacións de procesadores, propósitos, retención e dereitos, incluíndo a lóxica de toma de decisións automatizada cando corresponda
• Os rexistros de consentimento teñen marca de tempo, son exportables e mantéñense polo menos durante a duración do tratamento máis unha marxe auditable
• O fluxo de traballo de solicitude dos interesados pode responder en 10 días de extremo a extremo, en coreano
• O manual de notificación de violacións está axustado á ventá de 72 horas da PIPC
• As divulgacións de toma de decisións automatizada están na política de privacidade onde se toman decisións significativas usando tales sistemas
• A lista de provedores foi revisada por necesidade, coa eliminación de provedores non utilizados ou redundantes

As perspectivas para 2026

O réxime de privacidade de Corea do Sur madureciu dun dos marcos máis estritos sobre o papel de Asia a un dos réximes máis estritos en aplicación a nivel mundial. As emendas de 2023 eliminaron os bloqueadores estruturais que fixeran custoso o cumprimento, e a PIPC usou os dous anos desde entón para centrarse na aplicación do resto da lei. Os editores cunha pila de consentimento de nivel GDPR necesitan axustes relativamente pequenos para estar preparados para Corea: CMP e política en coreano, contratos tipo PIPC para os fluxos transfronteirizos, o ciclo de resposta de 10 días e coidado coa lista de información sensible. Os editores que aínda tratan Corea como un mercado máis lixeiro atoparán que 2026 e 2027 son materialmente máis caros que os anos anteriores. A boa noticia é que a brecha é operativa, non arquitectónica, e pódese pechar en semanas se se prioriza.