A PDPA de Tailandia en 2026: a guía de editores e anunciantes sobre o consentimento de cookies, as transferencias transfronteirizas e a aplicación do PDPC
A Lei de Protección de Datos Persoais de Tailandia B.E. 2562 (2019) — coñecida como PDPA — entrou plenamente en vigor en xuño de 2022 tras varios atrasos, e pasou a maior parte dos tres anos seguintes nunha fase de consolidación da capacidade regulatoria, publicación de regulamentos secundarios e o que o Comité de Protección de Datos Persoais (PDPC) describía publicamente como unha postura de aplicación paciente. Esa postura rematou agora de forma decisiva. Os regulamentos secundarios do PDPC de 2024 e 2025 cubriron os detalles que a lei base deixara abertos, a Oficina do PDPC (o regulador operativo) desenvolveu a súa capacidade de aplicación e, ao comezo de 2026, o PDPC comezou a emitir multas administrativas a niveis significativos — incluíndo contra plataformas estranxeiras que tratan datos de usuarios tailandeses desde o estranxeiro. Para calquera editor, anunciante ou plataforma que trate datos persoais de individuos en Tailandia — estea baseado en Tailandia ou preste servizo ao mercado tailandés desde o estranxeiro — 2026 é o ano no que a PDPA deixa de ser un réxime relativamente tranquilo e convértese nunha prioridade de aplicación credible. Esta guía percorre a PDPA tal como está en 2026, o que realmente require o consentimento de cookies, como funcionan as transferencias transfronteirizas tras os regulamentos de transferencia de 2025 e como son na práctica os primeiros temas de aplicación do PDPC.
A estrutura da PDPA en 2026
A PDPA é a principal lei de protección de datos en Tailandia, e a súa estrutura parécese moito ao GDPR. Os regulamentos secundarios de 2024 e 2025 engadiron o detalle operativo que faltaba na lei base.
O que engadiron os regulamentos secundarios
Durante 2024 e 2025, o PDPC emitiu regulamentos secundarios que cobren: mecanismos de transferencia de datos transfronteiriza, designación e funcións dos Delegados de Protección de Datos, procedementos de notificación de violacións de datos, requisitos de rexistro de tratamento, prazos do fluxo de traballo dos dereitos dos interesados e estándares de consentimento específicos para datos persoais sensibles. Estes regulamentos converteron colectivamente a PDPA dun marco xeral nun réxime operativo comparable ao GDPR en especificidade.
Quen está regulado
A PDPA aplícase á maioría dos responsables e encargados do tratamento, con alcance extraterritorial para organizacións estranxeiras que tratan datos persoais de individuos en Tailandia en relación coa oferta de bens ou servizos ou a supervisión do comportamento. Os editores estranxeiros que prestan servizo a usuarios tailandeses a través de sitios localizados ou inventario programático comprado contra IPs tailandesas están tipicamente no ámbito, e o PDPC invocou a disposición extraterritorial nas primeiras cartas de aplicación.
Sancións administrativas e penais
A PDPA prevé multas administrativas de ata THB 5 millóns por infracción, xunto con penas penais para as infraccións máis graves, incluída o encarceramento de directores en circunstancias específicas. O teito da multa administrativa é inferior ao do GDPR en termos absolutos, pero a postura de aplicación crecente do PDPC e a dispoñibilidade da responsabilidade penal fan que o risco efectivo sexa significativo.
Que se conta como datos persoais baixo a PDPA
A definición de datos persoais da PDPA aliñase estreitamente co GDPR. Os datos persoais son información relativa a unha persoa identificada ou identificable, e o PDPC tratou de forma consistente as cookies, os identificadores publicitarios, as direccións IP, as pegadas dactilares dos dispositivos e os perfís de comportamento como datos persoais cando poden vincularse a un individuo directamente ou por combinación con outra información.
Datos persoais sensibles
A PDPA designa unha ampla categoría sensible que inclúe: orixe racial ou étnica, opinión política, crenza relixiosa ou filosófica, comportamento sexual, antecedentes penais, datos de saúde, discapacidade, pertenza a sindicatos, datos xenéticos e datos biométricos. O tratamento de datos persoais sensibles require consentimento explícito e xera obrigas adicionais para o responsable do tratamento.
Por que isto importa para as cookies
Unha cookie que almacena un identificador habitual é un dato persoal ordinario. Unha cookie que alimenta un segmento de audiencia que toca a lista sensible da PDPA — intereses de saúde, afiliación relixiosa, tendencias políticas — é un tratamento de datos persoais sensibles e require consentimento explícito en lugar do consentimento publicitario xeral. O dirixirse á audiencia en tailandés que se solapa coa lista sensible debería auditarse específicamente con respecto a este límite.
O consentimento de cookies baixo a PDPA en 2026
A PDPA permite múltiples bases xurídicas para o tratamento, pero para as cookies e tecnoloxías similares que non son estrictamente necesarias para a prestación do servizo, as orientacións do PDPC e a aplicación temperá converxeron no consentimento como liña de base práctica.
Os elementos dun consentimento válido
O consentimento baixo a PDPA debe ser:
- Libremente dado — sen coerción nin vinculación á prestación de servizos esenciais
- Informado — o interesado comprende que datos se tratan, por quen e con que finalidade
- Específico — vinculado a finalidades claramente identificadas en lugar dun consentimento xeral
- Non ambiguo — expresado mediante un acto afirmativo claro, non inferido da inactividade
- Explícito nos casos que involucren datos persoais sensibles, con consentimento separado e específico para o tratamento sensible
Como é un CMP conforme
Un CMP configurado para o tráfico tailandés en 2026 debería presentar:
- Un banner visible antes de que calquera cookie ou rastreador non esencial se active, en tailandés (ภาษาไทย) por defecto para os usuarios tailandeses
- Igual prominencia visual para ยอมรับ (Aceptar), ปฏิเสธ (Rexeitar) e ตั้งค่า (Configuración) — o PDPC criticou os deseños de banner nos que a acción de rexeitamento está visualmente minimizada
- Alternadores granulares por finalidade: análise, publicidade, personalización, transferencia transfronteiriza e calquera tratamento de categoría sensible
- Un fluxo separado e claramente etiquetado para o tratamento de datos persoais sensibles, con barreira na súa propia acción
- Un mecanismo persistente e fácil de atopar para retirar o consentimento despois da elección inicial
- Un aviso de privacidade en tailandés con divulgación completa do responsable do tratamento, encargados, finalidades, destinatarios, conservación e dereitos
Rexistros de consentimento
Os responsables do tratamento deben manter evidencias do consentimento — quen consentiu, cando, con que finalidade e a través de que interface. Os rexistros de consentimento inadecuados citáronse en varias cartas de aplicación do PDPC en 2025, e os rexistros con marca temporal exportables son a expectativa de base.
Transferencias transfronteirizas tras os regulamentos de 2025
Os regulamentos de transferencia de 2025 foron o desenvolvemento recente máis importante para os editores estranxeiros, aclarando os mecanismos dispoñibles para os fluxos de datos transfronteirizos.
Os mecanismos de transferencia recoñecidos
Os regulamentos de 2025 prevén catro vías principais:
- Designación de adecuación onde o PDPC avaliou o país de destino como que proporciona protección adecuada
- Garantías adecuadas mediante mecanismos contractuais incluíndo as cláusulas contractuais tipo aprobadas polo PDPC e as normas corporativas vinculantes
- Exencións específicas incluíndo o consentimento explícito do interesado con divulgación adecuada, necesidade contractual, intereses vitais e interese público substancial
- Esquemas de certificación recoñecidos polo PDPC para sectores ou actividades específicas
A lista de adecuación
O PDPC emitiu decisións de adecuación para unhas poucas xurisdición ata principios de 2026. Estados Unidos non está na lista, o que significa que as transferencias a provedores de ad-tech e análise con base nos EUA requiren cláusulas contractuais, certificación ou unha exención baseada no consentimento.
O enfoque práctico en 2026
Para a maioría dos editores estranxeiros, o enfoque operativo consiste en executar as cláusulas contractuais tipo aprobadas polo PDPC con procesadores internacionais, documentar o mecanismo de transferencia no aviso de privacidade en tailandés e complementar con autorización baseada no consentimento só cando o mecanismo estándar non se adapte claramente.
Os dereitos dos interesados baixo a PDPA
A PDPA outorga un conxunto de dereitos que se aliñan estreitamente co GDPR:
- Dereito de acceso aos datos persoais conservados polo responsable do tratamento
- Dereito de rectificación de datos inexactos ou incompletos
- Dereito á supresión
- Dereito a limitar o tratamento
- Dereito á portabilidade dos datos
- Dereito a opoñerse ao tratamento
- Dereito a retirar o consentimento
- Dereito a non ser obxecto de toma de decisións automatizada que produza efectos significativos
- Dereito a presentar unha reclamación ante o PDPC
Prazos de resposta
Os responsables do tratamento deben responder ás solicitudes dos interesados no prazo de 30 días baixo o marco xeral, con ventás máis curtas para tipos específicos de solicitude. A dispoñibilidade operativa para esta ventá — con ferramentas e libros de execución en tailandés — é un déficit común para os editores estranxeiros sintonizados cun cadencia europeo.
O requisito do DPO
O regulamento secundario de 2024 aclarou cando é necesario un DPO. Os responsables do tratamento que tratan grandes volumes de datos persoais, realizan supervisión sistemática dos interesados ou tratan datos persoais sensibles a escala deben nomear un DPO. Os responsables do tratamento estranxeiros que alcanzan o limiar de volume a través de usuarios tailandeses están no ámbito. A información de contacto do DPO debe ser accesible no aviso de privacidade en tailandés.
Sancións e postura de aplicación en 2026
A actividade de aplicación do PDPC aumentou significativamente durante 2024 e 2025, e 2026 está nunha traxectoria similar.
A estrutura da multa administrativa
As multas administrativas escálanse segundo o tipo de infracción, cun máximo de THB 5 millóns por infracción para as infraccións máis graves. As infraccións habituais — banners de consentimento inadecuados, avisos de privacidade ausentes, non responder ás solicitudes dos interesados — normalmente atraen multas no rango baixo de centos de miles de THB pero poden escalar rapidamente para infraccións repetidas ou agravadas.
O soporte de responsabilidade penal
A diferenza do GDPR, a PDPA prevé responsabilidade penal para as infraccións máis graves, incluída o encarceramento de directores en circunstancias específicas. O regulamento secundario de 2024 aclarou o alcance da responsabilidade penal, e aínda que non se aplicou contra editores estranxeiros en 2026 ata a data, a posibilidade configura a análise de riscos para calquera organización que trate datos tailandeses a escala.
Temas de aplicación
As accións do PDPC de 2025 e principios de 2026 agrúpanse arredor de: banners de consentimento ambiguos ou ausentes, falta de avisos de privacidade en tailandés, transferencias transfronteirizas sen mecanismo válido baixo os regulamentos de 2025, non responder ás solicitudes dos interesados na ventá de 30 días e designacións de DPO ausentes para os responsables do tratamento dentro do ámbito. Os editores estranxeiros citáronse nas cinco categorías.
Lista de verificación de auditoría para o tráfico tailandés en 2026
- O banner do CMP sérvese en tailandés con ยอมรับ, ปฏิเสธ e ตั้งค่า con igual prominencia visual
- As finalidades do consentimento son granulares e o tratamento de categoría sensible está separado detrás do seu propio fluxo de consentimento
- O aviso de privacidade está dispoñible en tailandés con divulgación completa do responsable do tratamento, encargados, finalidades, conservación, dereitos e contacto do DPO
- As transferencias transfronteirizas baséanse en cláusulas contractuais tipo aprobadas polo PDPC, designación de adecuación, BCRs, certificación ou exención documentada
- Os rexistros de consentimento teñen marca temporal, son exportables e consérvanse durante o período aplicable
- O fluxo de traballo das solicitudes dos interesados pode responder nun prazo de 30 días de principio a fin, en tailandés
- O DPO está designado cando se require e a información de contacto publicouse no aviso de privacidade
- A lista de provedores revisouse en canto á necesidade, eliminando provedores non utilizados ou redundantes para reducir a superficie de transferencia transfronteiriza
- Os segmentos de audiencia de categoría sensible están bloqueados detrás dun consentimento explícito e capturado por separado
- O libro de execución de notificación de violacións está axustado aos prazos de notificación de violacións da PDPA
A perspectiva para 2026
O réxime de privacidade de Tailandia maduraron dunha lei base con especificidade operativa limitada a un réxime con regulamentos secundarios, capacidade de aplicación e vontade política para ser aplicado de forma significativa. Os regulamentos de transferencia transfronteiriza de 2025 pecharon a lagoa estrutural máis importante, e a postura de aplicación temperá do PDPC é coherente cun regulador serio en medio de escalar en lugar dun que permanecerá tranquilo. Para os editores que xa executan unha pila de consentimento de grao GDPR, a brecha ata o cumprimento da PDPA é operativa en lugar de arquitectónica: CMP e aviso de privacidade en tailandés, mecanismos de transferencia aprobados polo PDPC, a cadencia de resposta de 30 días, a designación de DPO cando se require e coidado coa lista máis ampla de datos sensibles da PDPA. A brecha pódese pechar en semanas se se prioriza — e Tailandia é un mercado significativo do Sueste Asiático, polo que a priorización normalmente paga rapidamente. Os editores que trataron Tailandia como un mercado máis lixeiro durante 2024 están atopando 2026 significativamente máis esixente, e a tendencia é clara.