A PDPA da Tailândia em 2026: O Guia para Editores e Anunciantes sobre Consentimento de Cookies, Transferências Transfronteiriças e Aplicação da PDPC
A Lei de Proteção de Dados Pessoais B.E. 2562 (2019) da Tailândia — conhecida como PDPA — entrou em vigor pleno em junho de 2022, após múltiplos adiamentos, e passou a maior parte dos três anos seguintes numa fase de construção de capacidade regulatória, implantação de regulamentos subordinados e o que o Comitê de Proteção de Dados Pessoais (PDPC) descreveu publicamente como uma postura de aplicação paciente. Essa postura agora terminou de forma decisiva. Os regulamentos subordinados da PDPC de 2024 e 2025 preencheram as especificidades que o estatuto básico havia deixado em aberto, o Escritório da PDPC (o regulador operacional) desenvolveu sua capacidade de aplicação e, no início de 2026, a PDPC começou a emitir multas administrativas em níveis significativos — inclusive contra plataformas estrangeiras que processam dados de usuários tailandeses de fora do país. Para qualquer editor, anunciante ou plataforma que processe dados pessoais de indivíduos na Tailândia — estejam eles sediados na Tailândia ou atendendo o mercado tailandês de fora — 2026 é o ano em que a PDPA deixa de ser um regime relativamente silencioso e se torna uma prioridade de aplicação crível. Este guia percorre a PDPA como está em 2026, o que o consentimento de cookies realmente exige, como funcionam as transferências transfronteiriças após os regulamentos de transferência de 2025 e como os primeiros temas de aplicação da PDPC se apresentam na prática.
A Estrutura da PDPA em 2026
A PDPA é o principal estatuto de proteção de dados na Tailândia, e sua estrutura se assemelha estreitamente ao GDPR. Os regulamentos subordinados de 2024 e 2025 adicionaram detalhes operacionais que anteriormente estavam ausentes da lei básica.
O que os Regulamentos Subordinados Adicionaram
Ao longo de 2024 e 2025, a PDPC emitiu regulamentos subordinados cobrindo: mecanismos de transferência de dados transfronteiriços, designação e deveres de Encarregados de Proteção de Dados, procedimentos de notificação de violação de dados, requisitos de registro de atividades de processamento, cronogramas de fluxo de trabalho para direitos dos titulares de dados e padrões de consentimento específicos para dados pessoais sensíveis. Esses regulamentos coletivamente transformaram a PDPA de um marco geral em um regime operacional comparável ao GDPR em termos de especificidade.
Quem É Regulamentado
A PDPA aplica-se à maioria dos controladores e operadores de dados, com alcance extraterritorial para organizações estrangeiras que processam dados pessoais de indivíduos na Tailândia em conexão com a oferta de bens ou serviços ou o monitoramento de comportamento. Editores estrangeiros que atendem usuários tailandeses por meio de sites localizados ou inventário programático adquirido contra IPs tailandeses geralmente estão no escopo, e a PDPC invocou a disposição extraterritorial em cartas de aplicação iniciais.
Sanções Administrativas e Criminais
A PDPA prevê multas administrativas de até THB 5 milhões por violação, além de penalidades criminais para as violações mais graves, incluindo prisão de diretores em circunstâncias específicas. O teto de multa administrativa é menor do que o GDPR em termos absolutos, mas a postura de aplicação crescente da PDPC e a disponibilidade de responsabilidade criminal tornam o risco efetivo significativo.
O que Conta como Dados Pessoais sob a PDPA
A definição de dados pessoais da PDPA acompanha de perto o GDPR. Dados pessoais são informações relacionadas a uma pessoa identificada ou identificável, e a PDPC tratou consistentemente cookies, identificadores de publicidade, endereços IP, impressões digitais de dispositivos e perfis comportamentais como dados pessoais quando podem ser vinculados a um indivíduo diretamente ou em combinação com outras informações.
Dados Pessoais Sensíveis
A PDPA designa uma ampla categoria sensível, incluindo: origem racial ou étnica, opinião política, crença religiosa ou filosófica, comportamento sexual, antecedentes criminais, dados de saúde, deficiência, filiação a sindicato, dados genéticos e dados biométricos. O processamento de dados pessoais sensíveis requer consentimento explícito e aciona obrigações adicionais do controlador.
Por que Isso Importa para Cookies
Um cookie que armazena um identificador de rotina é dado pessoal comum. Um cookie que alimenta um segmento de audiência que toca a lista sensível da PDPA — interesses de saúde, afiliação religiosa, tendências políticas — é processamento de dados pessoais sensíveis e requer consentimento explícito, em vez do consentimento geral de publicidade. O direcionamento de audiência em língua tailandesa que se sobreponha à lista sensível deve ser auditado especificamente em relação a esse limite.
Consentimento de Cookies sob a PDPA em 2026
A PDPA permite múltiplas bases legais para processamento, mas para cookies e tecnologias semelhantes que não são estritamente necessárias para a prestação de serviços, as orientações da PDPC e a aplicação inicial convergiram no consentimento como a linha de base prática.
Os Elementos do Consentimento Válido
O consentimento sob a PDPA deve ser:
- Livremente dado — sem coerção ou vinculação com a prestação essencial de serviços
- Informado — o titular dos dados compreende quais dados são processados, por quem e para qual finalidade
- Específico — vinculado a finalidades claramente identificadas, em vez de consentimento guarda-chuva
- Inequívoco — expresso por meio de um ato afirmativo claro, não inferido da inatividade
- Explícito em casos envolvendo dados pessoais sensíveis, com consentimento separado e específico para o processamento sensível
Como Uma CMP em Conformidade se Parece
Uma CMP configurada para o tráfego tailandês em 2026 deve apresentar:
- Um banner visível antes que qualquer cookie ou rastreador não essencial seja ativado, em tailandês (ภาษาไทย) por padrão para usuários tailandeses
- Igual proeminência visual para ยอมรับ (Aceitar), ปฏิเสธ (Rejeitar) e ตั้งค่า (Configurações) — a PDPC criticou designs de banner onde a ação Rejeitar é visualmente minimizada
- Controles granulares por finalidade: análise, publicidade, personalização, transferência transfronteiriça e qualquer processamento de categoria sensível
- Um fluxo separado, claramente rotulado, para processamento de dados pessoais sensíveis, protegido por sua própria ação
- Um mecanismo persistente e facilmente encontrado para retirar o consentimento após a escolha inicial
- Uma política de privacidade em tailandês com divulgações completas do controlador, operadores, finalidades, destinatários, retenção e direitos
Registros de Consentimento
Os controladores devem manter evidências de consentimento — quem consentiu, quando, para qual finalidade e por meio de qual interface. Registros de consentimento inadequados foram citados em várias cartas de aplicação da PDPC em 2025, e logs com registro de data e hora exportáveis são a expectativa mínima.
Transferências Transfronteiriças Após os Regulamentos de 2025
Os regulamentos de transferência de 2025 foram o desenvolvimento recente mais consequente para editores estrangeiros, esclarecendo os mecanismos disponíveis para fluxos de dados transfronteiriços.
Os Mecanismos de Transferência Reconhecidos
Os regulamentos de 2025 preveem quatro rotas principais:
- Designação de proteção adequada onde a PDPC avaliou o país de destino como fornecendo proteção adequada
- Salvaguardas adequadas por meio de mecanismos contratuais, incluindo cláusulas contratuais padrão aprovadas pela PDPC e regras corporativas vinculantes
- Isenções específicas, incluindo consentimento explícito do titular dos dados com divulgação adequada, necessidade contratual, interesse vital e interesse público substancial
- Esquemas de certificação reconhecidos pela PDPC para setores ou atividades específicas
A Lista de Adequação
A PDPC emitiu decisões de adequação para um punhado de jurisdições até o início de 2026. Os Estados Unidos não estão na lista, o que significa que as transferências para fornecedores de tecnologia de publicidade e análise sediados nos EUA requerem cláusulas contratuais, certificação ou uma isenção baseada em consentimento.
A Abordagem Prática de 2026
Para a maioria dos editores estrangeiros, a abordagem de trabalho é executar cláusulas contratuais padrão aprovadas pela PDPC com operadores internacionais, documentar o mecanismo de transferência na política de privacidade em tailandês e complementar com autorização baseada em consentimento apenas onde o mecanismo padrão não se encaixa claramente.
Direitos dos Titulares de Dados sob a PDPA
A PDPA concede um conjunto de direitos que acompanha de perto o GDPR:
- Direito de acesso aos dados pessoais mantidos pelo controlador
- Direito de retificação de dados imprecisos ou incompletos
- Direito ao apagamento
- Direito de restringir o processamento
- Direito à portabilidade de dados
- Direito de se opor ao processamento
- Direito de retirar o consentimento
- Direito de não ser sujeito a tomadas de decisão automatizadas que produzam efeitos significativos
- Direito de apresentar uma reclamação à PDPC
Prazos de Resposta
Os controladores devem responder às solicitações dos titulares de dados dentro de 30 dias sob o marco geral, com janelas menores para tipos específicos de solicitações. A prontidão operacional para essa janela — com ferramentas e manuais em tailandês — é uma lacuna comum para editores estrangeiros sintonizados com um ritmo europeu.
O Requisito de DPO
O regulamento subordinado de 2024 esclareceu quando um DPO é necessário. Controladores que processam grandes volumes de dados pessoais, realizam monitoramento sistemático de titulares de dados ou processam dados pessoais sensíveis em escala devem designar um DPO. Controladores estrangeiros que atingem o limite de volume por meio de usuários tailandeses estão no escopo. As informações de contato do DPO devem ser acessíveis na política de privacidade em tailandês.
Penalidades e Postura de Aplicação em 2026
A atividade de aplicação da PDPC escalou significativamente ao longo de 2024 e 2025, e 2026 está em uma trajetória semelhante.
A Estrutura de Multas Administrativas
As multas administrativas são escalonadas pelo tipo de violação, com máximos de THB 5 milhões por violação para as infrações mais graves. Violações de rotina — banners de consentimento inadequados, avisos de privacidade ausentes, falha em responder às solicitações dos titulares de dados — normalmente atraem multas na faixa de centenas de milhares de THB mais baixa, mas podem escalar rapidamente para violações repetidas ou agravadas.
A Rede de Segurança da Responsabilidade Criminal
Ao contrário do GDPR, a PDPA prevê responsabilidade criminal para as violações mais graves, incluindo prisão de diretores em circunstâncias específicas. O regulamento subordinado de 2024 esclareceu o escopo da responsabilidade criminal, e embora não tenha sido aplicado contra editores estrangeiros em 2026 até agora, a possibilidade molda a análise de risco para qualquer organização que processe dados tailandeses em escala.
Temas de Aplicação
As ações da PDPC de 2025 e início de 2026 se agrupam em torno de: banners de consentimento ambíguos ou ausentes, falta de avisos de privacidade em tailandês, transferências transfronteiriças sem um mecanismo válido sob os regulamentos de 2025, falha em responder às solicitações dos titulares de dados dentro da janela de 30 dias e designações de DPO ausentes para controladores no escopo. Editores estrangeiros foram citados em todas as cinco categorias.
Lista de Verificação de Auditoria para Tráfego Tailandês em 2026
- O banner da CMP é exibido em tailandês com ยอมรับ, ปฏิเสธ e ตั้งค่า com igual proeminência visual
- As finalidades de consentimento são granulares e separam o processamento de categoria sensível por trás de seu próprio fluxo de consentimento
- O aviso de privacidade está disponível em tailandês com divulgações completas do controlador, operadores, finalidades, retenção, direitos e contato do DPO
- As transferências transfronteiriças dependem de cláusulas contratuais padrão aprovadas pela PDPC, designação de adequação, BCRs, certificação ou uma isenção documentada
- Os logs de consentimento têm registro de data e hora, são exportáveis e mantidos pelo período aplicável
- O fluxo de trabalho de solicitação dos titulares de dados pode responder dentro de 30 dias de ponta a ponta, em tailandês
- O DPO é designado onde necessário e as informações de contato são publicadas no aviso de privacidade
- A lista de fornecedores foi revisada quanto à necessidade, com fornecedores não utilizados ou redundantes removidos para reduzir a superfície de transferência transfronteiriça
- Os segmentos de audiência de categoria sensível são protegidos por trás de consentimento explícito, capturado separadamente
- O manual de notificação de violação é ajustado aos prazos de notificação de violação da PDPA
As Perspectivas de 2026
O regime de privacidade da Tailândia amadureceu de um estatuto básico com especificidade operacional limitada para um regime com os regulamentos subordinados, a capacidade de aplicação e a vontade política de ser aplicado de forma significativa. Os regulamentos de transferência transfronteiriça de 2025 fecharam a lacuna estrutural mais consequente, e a postura de aplicação inicial da PDPC é consistente com um regulador sério no meio da escalada, em vez de um que permanecerá quieto. Para editores que já executam uma pilha de consentimento de nível GDPR, a lacuna para conformidade com a PDPA é operacional, e não arquitetural: CMP e aviso de privacidade em tailandês, mecanismos de transferência aprovados pela PDPC, o ritmo de resposta de 30 dias, designação de DPO onde necessário e cuidado com a lista mais ampla de dados sensíveis da PDPA. A lacuna pode ser fechada em semanas se priorizada — e a Tailândia é um mercado significativo do Sudeste Asiático, então a priorização normalmente se paga rapidamente. Os editores que trataram a Tailândia como um mercado mais leve ao longo de 2024 estão descobrindo que 2026 é significativamente mais exigente, e a tendência é clara.