A Estrutura da PIPA Após as Alterações de 2023

A PIPA é o principal diploma legal sobre dados pessoais na Coreia do Sul, e a versão alterada é o ponto de referência para qualquer editor que opere a partir de 2024. As equipas que trabalham com o texto anterior a 2023 estão a analisar um quadro desatualizado.

O que as Alterações de 2023 Modificaram

As alterações de 2023 introduziram várias mudanças estruturais:

• Unificaram as obrigações dos responsáveis pelo tratamento de dados em todos os setores, eliminando o regime fragmentado que anteriormente tratava os fornecedores de serviços de informação e comunicação de forma diferente dos restantes responsáveis
• Reestruturaram o quadro de transferências transfronteiriças para se afastar do consentimento explícito por transferência em direção a padrões de adequação e salvaguardas mais próximos do modelo GDPR
• Introduziram um direito claro a não estar sujeito a decisões totalmente automatizadas que produzam efeitos significativos, com direito a solicitar revisão humana
• Reduziram o prazo obrigatório de notificação de violação para 72 horas, em conformidade com o padrão GDPR
• Aumentaram o teto das coimas administrativas para até 3 por cento do volume de negócios total para infrações graves — um aumento dramático em relação aos limites anteriores vinculados às receitas provenientes da atividade infratora

O Papel da PIPC

A PIPC é a autoridade unificada de proteção de dados, com poderes que abrangem investigação, aplicação de coimas, ordens corretivas e divulgação pública de decisões de aplicação da lei. Desde 2023, opera como um órgão de nível ministerial com recursos significativamente ampliados e uma postura de aplicação visivelmente mais agressiva.

Quem Está Regulado

A PIPA aplica-se a qualquer tratamento de informações pessoais de residentes coreanos, independentemente de onde o responsável se encontre. Um editor sediado nos EUA que presta serviços a utilizadores coreanos através de um site localizado, ou um comprador programático que dá lances em inventário coreano, está no âmbito de aplicação. Este alcance extraterritorial está bem estabelecido na prática da PIPC e foi reforçado em múltiplas ações de aplicação contra plataformas estrangeiras desde 2023.

O que Conta como Informação Pessoal

A definição da PIPA é ampla. As informações pessoais incluem qualquer informação sobre um indivíduo vivo que possa identificar o indivíduo, seja diretamente ou por combinação com outras informações. A PIPC tratou consistentemente o espectro completo de identificadores online — cookies, IDs de publicidade, endereços IP, impressões digitais de dispositivos e perfis comportamentais — como informações pessoais quando podem ser associados a um indivíduo diretamente ou por meios razoáveis.

Informação Sensível

A lei coreana designa uma categoria distinta de informação sensível (민감정보) que desencadeia requisitos de consentimento mais rigorosos. Isto inclui ideologia, crenças, filiação em sindicatos ou partidos políticos, opiniões políticas, saúde, vida sexual, dados genéticos, dados biométricos utilizados para identificação e historial criminal. O tratamento de informação sensível requer consentimento separado e específico — não o consentimento agrupado que pode abranger informações pessoais comuns.

Informação de Identificação Única

A PIPA delimita uma categoria adicional, informação de identificação única (고유식별정보), que inclui números de registo de residentes, números de passaporte, números de carta de condução e números de registo de estrangeiros. O tratamento destas informações é estritamente restrito e geralmente proibido para fins de marketing ou publicidade.

Por que isto é Relevante para os Cookies

Um cookie que armazena um simples identificador de sessão constitui informação pessoal comum e enquadra-se no regime geral de consentimento. Um cookie que alimenta um segmento de audiência que toca categorias sensíveis — interesses de saúde, inclinações políticas, afiliações religiosas — ultrapassa o limite para o território da informação sensível e exige o fluxo de consentimento separado e específico. Os editores que segmentam audiências que se sobrepõem à lista sensível da PIPA não devem executar esses segmentos sob o consentimento publicitário geral.

Consentimento de Cookies ao Abrigo da PIPA em 2026

A Coreia do Sul segue um modelo de consentimento opt-in rigoroso. A posição da PIPC sobre cookies tem sido consistente e foi reforçada por múltiplas decisões de aplicação ao longo de 2024 e 2025.

Os Cinco Elementos do Consentimento Válido

A PIPA exige que o consentimento para cookies não essenciais e tecnologias semelhantes seja:

• Específico para a finalidade — o consentimento genérico abrangente não é válido, cada finalidade de tratamento necessita do seu próprio consentimento
• Informado — o utilizador deve compreender quais os dados recolhidos, porque motivo, quem os recebe e durante quanto tempo
• Voluntário — a recusa deve ser possível sem privar de um serviço a que o utilizador tem direito
• Expresso por um ato afirmativo — caixas pré-assinaladas, consentimento implícito e scroll como consentimento são todos inválidos
• Separado para cada categoria de finalidade — essenciais, análise, publicidade, personalização e transferência transfronteiriça requerem cada um o seu consentimento recolhido separadamente

Como é uma CMP Conforme

Uma CMP configurada para tráfego coreano em 2026 deve apresentar:

• Um banner visível antes de qualquer cookie não essencial ser ativado, com predefinição para coreano (한국어) para utilizadores coreanos
• Ações separadas de Aceitar, Rejeitar e Personalizar com igual destaque visual — a PIPC citou especificamente designs de banner onde Rejeitar é menos visível do que Aceitar
• Controlos granulares por finalidade, incluindo um botão explícito para transferência transfronteiriça
• Um fluxo separado e claramente rotulado para tratamento de informação sensível, protegido atrás da sua própria ação
• Um mecanismo persistente e de fácil acesso para retirar o consentimento após a escolha inicial
• Uma política de privacidade em coreano (개인정보 처리방침) com divulgações completas

Registos de Consentimento

O responsável deve manter evidência do consentimento — quem consentiu, quando, a quê, através de que interface. Registos de consentimento exportáveis e com carimbo de data/hora são a expectativa de base, e registos de consentimento inadequados foram citados em várias ações de aplicação da PIPC.

Transferências Transfronteiriças Após as Alterações de 2023

O regime de transferências transfronteiriças da Coreia foi reestruturado de forma mais aprofundada do que quase qualquer outra atualização nacional de privacidade pós-2023. Compreender o novo quadro é a maior lacuna de conformidade individual para os editores estrangeiros em 2026.

O Novo Quadro de Transferências

A PIPA alterada prevê quatro vias para transferências transfronteiriças legítimas:

• Decisões de adequação emitidas pela PIPC para países ou setores de destino
• Certificação do destinatário estrangeiro ao abrigo de um esquema de certificação reconhecido pela PIPC
• Contratos-tipo aprovados pela PIPC, que funcionam analogamente às cláusulas contratuais-tipo do GDPR
• Consentimento explícito separado do titular dos dados para a transferência específica, como mecanismo residual

Por que isto é Relevante

Antes das alterações de 2023, a maioria dos fluxos transfronteiriços dependia da quarta via — consentimento por transferência — o que gerava CMP volumosas e complexas e era difícil de manter para pilhas programáticas. O quadro de 2023 permite que os responsáveis se apoiem em contratos-tipo ou certificação, reduzindo o ónus do consentimento e alinhando com a prática internacional. Os editores que não atualizaram os seus contratos com fornecedores para fazer referência aos contratos-tipo da PIPC continuam a operar por defeito ao abrigo do regime antigo, o que é agora uma responsabilidade de conformidade em vez de uma vantagem.

A Abordagem Prática para 2026

A maioria dos editores estrangeiros está agora a executar contratos-tipo da PIPC com os seus subcontratantes estrangeiros, a documentar o mecanismo de transferência na política de privacidade e a reservar o consentimento separado por transferência como alternativa apenas para casos marginais. Isto é viável, defensável e significativamente mais simples do que o que existia anteriormente.

Tomada de Decisão Automatizada e Transparência Algorítmica

As alterações de 2023 introduziram um direito a não estar sujeito a decisões totalmente automatizadas que produzam efeitos significativos, e um direito a solicitar revisão humana de tais decisões. Para os editores, isto aplica-se mais visivelmente à curadoria algorítmica de conteúdo, à definição de preços personalizados e a qualquer segmentação de audiências que produza resultados diferenciais significativos.

Obrigações de Divulgação

Os responsáveis devem divulgar na política de privacidade que a tomada de decisão automatizada é utilizada, descrever a lógica básica e explicar os potenciais efeitos significativos. Isto não significa revelar algoritmos proprietários — mas exige um resumo significativo em linguagem simples que um utilizador típico possa compreender.

O Direito de Revisão

Os utilizadores afetados por uma decisão automatizada significativa podem solicitar revisão humana, correção ou uma explicação. O responsável deve disponibilizar um canal para este pedido e responder dentro dos prazos padrão da PIPA.

Direitos dos Titulares dos Dados

A PIPA concede o conjunto familiar de direitos, aplicados através do quadro coreano:

• Direito a ser informado sobre o tratamento
• Direito de acesso aos dados tratados
• Direito de retificação de dados inexatos
• Direito de suspensão do tratamento
• Direito ao apagamento quando o tratamento já não está justificado
• Direito de retirar o consentimento com a mesma facilidade com que foi dado
• Direito de se opor à tomada de decisão automatizada que produz efeitos significativos
• Direito de apresentar reclamação à PIPC

Prazos de Resposta

Os responsáveis devem responder à maioria dos pedidos dos titulares de dados no prazo de 10 dias, prorrogável uma vez por mais 10 dias com aviso prévio — significativamente mais rigoroso do que o prazo de 30 dias do GDPR. Esta é uma das lacunas operacionais mais comuns nos editores estrangeiros, que tipicamente dispõem de ferramentas e manuais de procedimentos ajustados ao ritmo de 30 dias do GDPR.

Sanções e Postura de Aplicação em 2026

A atividade de aplicação da PIPC escalou acentuadamente desde 2023, e 2025 registou algumas das maiores multas da sua história — várias delas contra plataformas e editores estrangeiros.

Coimas Administrativas

As alterações de 2023 elevaram o nível máximo de coimas para até 3 por cento do volume de negócios total para as infrações mais graves. Coimas de nível inferior aplicam-se a falhas relativas a consentimento, notificação, segurança dos dados, notificação de violações e transferências transfronteiriças. A PIPC mostrou-se disposta a utilizar o nível máximo em 2025, o que não era o seu padrão histórico.

Responsabilidade Penal

A PIPA prevê sanções penais — incluindo prisão — para as infrações mais graves, como a venda ilícita de informações pessoais ou violações em larga escala intencionais. Estas são raras mas reais e foram invocadas em casos de 2025.

Temas de Aplicação

As ações da PIPC em 2025 agrupam-se em torno de questões recorrentes: banners de consentimento inadequados ou ambíguos, transferências transfronteiriças sem um mecanismo pós-2023 válido, notificação de violações insuficiente e incumprimento dos direitos dos titulares de dados dentro do prazo de 10 dias. Editores estrangeiros foram citados nas quatro categorias.

Lista de Verificação de Auditoria para Tráfego Coreano em 2026

• O banner da CMP é apresentado em coreano (한국어) com Aceitar, Rejeitar e Personalizar com igual destaque visual
• As finalidades do consentimento são granulares e separam qualquer tratamento de informação sensível atrás do seu próprio fluxo de consentimento específico
• As transferências transfronteiriças baseiam-se num contrato-tipo da PIPC, certificação ou adequação — não em consentimento por transferência legado
• A política de privacidade (개인정보 처리방침) está disponível em coreano com divulgações completas de subcontratantes, finalidades, conservação e direitos, incluindo lógica de tomada de decisão automatizada quando aplicável
• Os registos de consentimento têm carimbo de data/hora, são exportáveis e conservados durante pelo menos a duração do tratamento mais uma margem auditável
• O fluxo de trabalho de pedidos dos titulares de dados consegue responder dentro de 10 dias do início ao fim, em coreano
• O manual de notificação de violações está ajustado ao prazo de 72 horas da PIPC
• As divulgações sobre tomada de decisão automatizada constam da política de privacidade onde decisões significativas são tomadas recorrendo a tais sistemas
• A lista de fornecedores foi revista quanto à necessidade, com fornecedores não utilizados ou redundantes removidos

As Perspetivas para 2026

O regime de privacidade da Coreia do Sul amadureceu de um dos quadros mais rigorosos no papel da Ásia para um dos regimes mais rigorosos na aplicação a nível mundial. As alterações de 2023 removeram os obstáculos estruturais que tornavam a conformidade cara, e a PIPC utilizou os dois anos seguintes para se concentrar na aplicação do restante da lei. Os editores com uma pilha de consentimento ao nível do GDPR precisam de ajustes relativamente pequenos para estarem prontos para a Coreia: CMP e política em coreano, contratos-tipo da PIPC para fluxos transfronteiriços, o ritmo de resposta de 10 dias e cuidado com a lista de informação sensível. Os editores que ainda tratam a Coreia como um mercado menos exigente descobrirão que 2026 e 2027 serão materialmente mais dispendiosos do que os anos anteriores. A boa notícia é que a lacuna é operacional, não arquitetónica, e pode ser colmatada em semanas se for prioritária.