La struttura del PIPA dopo le modifiche del 2023

Il PIPA è la principale normativa sui dati personali in Corea del Sud, e la versione modificata è il punto di riferimento per qualsiasi editore operante dal 2024 in poi. I team che lavorano con il testo precedente al 2023 stanno guardando a un quadro obsoleto.

Cosa hanno cambiato le modifiche del 2023

Le modifiche del 2023 hanno apportato diversi cambiamenti strutturali:

• Unificato gli obblighi del titolare del trattamento in tutti i settori, eliminando il regime frammentato che in precedenza trattava i fornitori di servizi di informazione e comunicazione in modo diverso dagli altri titolari
• Ristrutturato il quadro dei trasferimenti transfrontalieri per passare dal consenso-esplicito-per-trasferimento verso schemi basati su adeguatezza e salvaguardie più vicini al modello GDPR
• Introdotto un chiaro diritto a non essere soggetti a decisioni completamente automatizzate che producono effetti significativi, con il diritto di richiedere una revisione umana
• Ridotto la finestra obbligatoria di notifica delle violazioni a 72 ore, allineandosi allo standard GDPR
• Elevato il massimale delle sanzioni amministrative a fino al 3 percento del fatturato totale per le violazioni più gravi — un aumento drammatico rispetto ai precedenti limiti legati ai ricavi derivanti dall'attività violatrice

Il ruolo del PIPC

Il PIPC è l'autorità unificata per la protezione dei dati, con poteri che comprendono indagini, irrogazione di sanzioni, ordini correttivi e divulgazione pubblica delle decisioni di applicazione. Dal 2023 opera come organo a livello di Gabinetto con risorse significativamente ampliate e un atteggiamento di applicazione visibilmente più aggressivo.

Chi è regolamentato

Il PIPA si applica a qualsiasi trattamento di informazioni personali dei residenti coreani, indipendentemente da dove si trova il titolare. Un editore con sede negli Stati Uniti che serve utenti coreani attraverso un sito localizzato, o un acquirente programmatico che fa offerte su inventario coreano, è nell'ambito di applicazione. Questa portata extraterritoriale è ben consolidata nella prassi del PIPC ed è stata rafforzata in molteplici azioni di applicazione contro piattaforme straniere dal 2023.

Cosa conta come informazione personale

La definizione del PIPA è ampia. Le informazioni personali includono qualsiasi informazione su un individuo vivente che possa identificare l'individuo, direttamente o in combinazione con altre informazioni. Il PIPC ha costantemente trattato l'intera gamma di identificatori online — cookie, ID pubblicitari, indirizzi IP, impronte digitali dei dispositivi e profili comportamentali — come informazioni personali quando possono essere collegate a un individuo direttamente o con mezzi ragionevoli.

Informazioni sensibili

La legge coreana designa una categoria distinta di informazioni sensibili (민감정보) che attiva requisiti di consenso più severi. Ciò include ideologia, credenze, appartenenza a sindacati o partiti politici, opinioni politiche, salute, vita sessuale, dati genetici, dati biometrici utilizzati per l'identificazione e precedenti penali. Il trattamento di informazioni sensibili richiede un consenso separato e specifico — non il consenso raggruppato che potrebbe coprire le ordinarie informazioni personali.

Informazioni di identificazione uniche

Il PIPA individua una categoria aggiuntiva, le informazioni di identificazione uniche (고유식별정보), che includono numeri di registrazione dei residenti, numeri di passaporto, numeri di patente di guida e numeri di registrazione degli stranieri. Il loro trattamento è strettamente limitato e generalmente vietato per scopi di marketing o pubblicità.

Perché questo è importante per i cookie

Un cookie che memorizza un semplice identificatore di sessione è un'ordinaria informazione personale e rientra nel regime generale di consenso. Un cookie che alimenta un segmento di pubblico che tocca categorie sensibili — interessi sanitari, orientamenti politici, affiliazioni religiose — entra nel territorio delle informazioni sensibili e richiede il flusso di consenso separato e specifico. Gli editori che puntano a pubblici che si sovrappongono alla lista sensibile del PIPA non dovrebbero eseguire quei segmenti sotto il consenso pubblicitario generale.

Consenso ai cookie ai sensi del PIPA nel 2026

La Corea del Sud segue un rigido modello di consenso opt-in. La posizione del PIPC sui cookie è stata coerente ed è stata rafforzata da molteplici decisioni di applicazione nel corso del 2024 e del 2025.

I cinque elementi del consenso valido

Il PIPA richiede che il consenso per i cookie non essenziali e le tecnologie simili sia:

• Specifico per lo scopo — il consenso generale omnicomprensivo non è valido, ogni scopo di trattamento necessita del proprio consenso
• Informato — l'utente deve comprendere quali dati vengono raccolti, perché, chi li riceve e per quanto tempo
• Volontario — il rifiuto deve essere possibile senza essere negato un servizio a cui l'utente ha altrimenti diritto
• Espresso mediante un'azione affermativa — caselle pre-spuntate, consenso implicito e scroll-come-consenso sono tutti non validi
• Separato per ciascuna categoria di scopo — essenziale, analisi, pubblicità, personalizzazione e trasferimento transfrontaliero necessitano ciascuno del proprio consenso raccolto separatamente

Come appare un CMP conforme

Un CMP configurato per il traffico coreano nel 2026 dovrebbe presentare:

• Un banner visibile prima che si attivi qualsiasi cookie non essenziale, predefinito in coreano (한국어) per gli utenti coreani
• Azioni separate Accetta, Rifiuta e Personalizza con pari visibilità visiva — il PIPC ha specificamente citato design di banner in cui Rifiuta è meno visibile di Accetta
• Controlli granulari per scopo, incluso un toggle esplicito per il trasferimento transfrontaliero
• Un flusso separato e chiaramente etichettato per il trattamento delle informazioni sensibili, bloccato dietro la propria azione
• Un meccanismo persistente e facile da trovare per revocare il consenso dopo la scelta iniziale
• Un'informativa sulla privacy in lingua coreana (개인정보 처리방침) con informativa completa

Registri del consenso

Il titolare deve conservare la prova del consenso — chi ha acconsentito, quando, a cosa, attraverso quale interfaccia. I registri di consenso esportabili e con marcatura temporale sono l'aspettativa di base, e i registri di consenso inadeguati sono stati citati in diverse azioni di applicazione del PIPC.

Trasferimenti transfrontalieri dopo le modifiche del 2023

Il regime di trasferimento transfrontaliero della Corea è stato ristrutturato più a fondo di quasi qualsiasi altro aggiornamento nazionale sulla privacy post-2023. Comprendere il nuovo quadro è il più grande divario di conformità per gli editori stranieri nel 2026.

Il nuovo quadro dei trasferimenti

Il PIPA modificato prevede quattro percorsi per il trasferimento transfrontaliero legittimo:

• Decisioni di adeguatezza emesse dal PIPC per paesi o settori di destinazione
• Certificazione del destinatario estero nell'ambito di uno schema di certificazione riconosciuto dal PIPC
• Contratti standard approvati dal PIPC, che funzionano in modo analogo alle clausole contrattuali standard del GDPR
• Consenso esplicito separato dell'interessato per il trasferimento specifico, come meccanismo residuale

Perché questo è importante

Prima delle modifiche del 2023, la maggior parte dei flussi transfrontalieri si basava sul quarto percorso — consenso per trasferimento — che produceva CMP spessi e complessi ed era difficile da mantenere per stack programmatici. Il quadro del 2023 consente ai titolari di fare affidamento su contratti standard o certificazione, riducendo l'onere del consenso e allineandosi alla pratica internazionale. Gli editori che non hanno aggiornato i loro contratti con i fornitori per fare riferimento ai contratti standard del PIPC stanno ancora operando sotto il vecchio regime per impostazione predefinita, che ora è una passività di conformità piuttosto che un'attività.

L'approccio pratico per il 2026

La maggior parte degli editori stranieri sta ora eseguendo contratti standard PIPC con i propri processori esteri, documentando il meccanismo di trasferimento nell'informativa sulla privacy e mantenendo il consenso-separato-per-trasferimento solo come fallback per casi limite. Questo è fattibile, difendibile e significativamente più semplice di quanto fosse prima.

Processo decisionale automatizzato e trasparenza algoritmica

Le modifiche del 2023 hanno introdotto il diritto a non essere soggetti a decisioni completamente automatizzate che producono effetti significativi, e il diritto di richiedere la revisione umana di tali decisioni. Per gli editori, questo si applica più visibilmente alla curazione algoritmica dei contenuti, ai prezzi personalizzati e a qualsiasi targeting del pubblico che produce risultati differenziali significativi.

Obblighi di informativa

I titolari devono indicare nell'informativa sulla privacy che viene utilizzato il processo decisionale automatizzato, descrivere la logica di base e spiegare i possibili effetti significativi. Ciò non significa rivelare algoritmi proprietari — ma richiede un riassunto significativo in linguaggio semplice che un utente tipico potrebbe comprendere.

Il diritto di revisione

Gli utenti interessati da una decisione automatizzata significativa possono richiedere revisione umana, correzione o una spiegazione. Il titolare deve fornire un canale per questa richiesta e rispondere entro i termini standard del PIPA.

Diritti degli interessati

Il PIPA concede il gruppo familiare di diritti, applicati attraverso il quadro coreano:

• Diritto di essere informati sul trattamento
• Diritto di accesso ai dati trattati
• Diritto di rettifica dei dati inesatti
• Diritto di sospensione del trattamento
• Diritto alla cancellazione quando il trattamento non è più giustificato
• Diritto di revocare il consenso con la stessa facilità con cui è stato dato
• Diritto di opporsi al processo decisionale automatizzato che produce effetti significativi
• Diritto di presentare reclamo al PIPC

Termini di risposta

I titolari devono rispondere alla maggior parte delle richieste degli interessati entro 10 giorni, prorogabili una volta per altri 10 giorni con preavviso — significativamente più stringente della finestra di 30 giorni del GDPR. Questo è uno dei divari operativi più comuni per gli editori stranieri, che in genere dispongono di strumenti e procedure operative sintonizzate sul ritmo di 30 giorni del GDPR.

Sanzioni e atteggiamento applicativo nel 2026

L'attività applicativa del PIPC è aumentata drasticamente dal 2023, e il 2025 ha prodotto alcune delle sanzioni più elevate nella sua storia — diverse delle quali contro piattaforme ed editori stranieri.

Sanzioni amministrative

Le modifiche del 2023 hanno elevato il livello massimo di sanzione a fino al 3 percento del fatturato totale per le violazioni più gravi. Sanzioni di livello inferiore si applicano alle inadempienze in materia di consenso, notifica, sicurezza dei dati, notifica delle violazioni e trasferimento transfrontaliero. Il PIPC è stato disposto a utilizzare il livello massimo nel 2025, il che non era il suo schema storico.

Responsabilità penale

Il PIPA prevede sanzioni penali — inclusa la reclusione — per le violazioni più gravi, come la vendita illecita di informazioni personali o violazioni intenzionali su larga scala. Questi casi sono rari ma reali e sono stati invocati in casi del 2025.

Temi applicativi

Le azioni del PIPC nel 2025 si raggruppano attorno a problemi ricorrenti: banner di consenso inadeguati o ambigui, trasferimenti transfrontalieri senza un meccanismo valido post-2023, notifica delle violazioni insufficiente e mancata osservanza dei diritti degli interessati entro la finestra di 10 giorni. Gli editori stranieri sono stati citati in tutte e quattro le categorie.

Lista di controllo per l'audit del traffico coreano nel 2026

• Il banner CMP viene servito in coreano (한국어) con Accetta, Rifiuta e Personalizza con pari visibilità visiva
• Gli scopi del consenso sono granulari e separano qualsiasi trattamento di informazioni sensibili dietro il proprio specifico flusso di consenso
• I trasferimenti transfrontalieri si basano su contratto standard PIPC, certificazione o adeguatezza — non su consenso legacy per trasferimento
• L'informativa sulla privacy (개인정보 처리방침) è disponibile in coreano con informativa completa di processori, scopi, conservazione e diritti, inclusa la logica del processo decisionale automatizzato ove applicabile
• I registri del consenso sono con marcatura temporale, esportabili e conservati per almeno la durata del trattamento più un margine verificabile
• Il flusso di lavoro per le richieste degli interessati può rispondere entro 10 giorni end-to-end, in coreano
• Il manuale di notifica delle violazioni è sintonizzato sulla finestra di 72 ore del PIPC
• Le informative sul processo decisionale automatizzato sono nell'informativa sulla privacy dove vengono prese decisioni significative utilizzando tali sistemi
• L'elenco dei fornitori è stato esaminato per necessità, con fornitori non utilizzati o ridondanti rimossi

Le prospettive per il 2026

Il regime privacy della Corea del Sud è maturato da uno dei quadri più severi sulla carta in Asia a uno dei regimi più severi nell'applicazione a livello globale. Le modifiche del 2023 hanno rimosso i blocchi strutturali che avevano reso onerosa la conformità, e il PIPC ha utilizzato i due anni successivi per concentrarsi sull'applicazione del resto della legge. Gli editori con uno stack di consenso di livello GDPR necessitano di aggiustamenti relativamente piccoli per essere pronti per la Corea: CMP e informativa in lingua coreana, contratti standard PIPC per i flussi transfrontalieri, il ritmo di risposta di 10 giorni e attenzione alla lista delle informazioni sensibili. Gli editori che trattano ancora la Corea come un mercato più leggero troveranno il 2026 e il 2027 materialmente più costosi degli anni precedenti. La buona notizia è che il divario è operativo, non architetturale, e può essere colmato in settimane se prioritizzato.