Loading…
La PDPA de Singapur es una ley de privacidad reflexiva y pragmática que ha madurado de forma significativa desde las enmiendas de 2020. Emplea un marco basado en obligaciones en lugar de la enumeración de bases de licitud del GDPR, ha integrado las reglas de marketing directo a través del Registro Do Not Call y limita las sanciones al 10% de la facturación en Singapur. Para las empresas con sede en APAC, la PDPA suele ser donde realmente se construye el programa global de privacidad.
| Dimensión | 🇪🇺 GDPR | 🇸🇬 PDPA |
|---|---|---|
| Instrumento jurídico | Reglamento (UE) 2016/679 | Ley de Protección de Datos Personales de 2012 (Ley 26 de 2012); las enmiendas de 2020 la reforzaron sustancialmente |
| Regulador | 27 autoridades de protección de datos de los Estados miembros de la UE + EDPB | Comisión de Protección de Datos Personales (PDPC) |
| Enfoque estructural | Enumeración de bases de licitud (art. 6); basado en derechos (Capítulo III) | Basado en obligaciones: 9 obligaciones fundamentales + régimen Do Not Call + notificación de brechas |
| Multa máxima | €20M o el 4% de la facturación global (art. 83(5)) | Límite de S$1M; para organizaciones con una facturación anual superior a S$10M en Singapur, hasta el 10% de la facturación anual |
| Multa de nivel inferior | €10M o el 2% de la facturación global | Mismo límite por infracción; varía según el tipo de infracción |
| Modelo de consentimiento | Opt-in (una de las seis bases de licitud) | Obligación de consentimiento + consentimiento presunto (basado en notificación) + excepción de intereses legítimos |
| Bases de licitud | Seis: consentimiento, contrato, obligación legal, intereses vitales, misión de interés público, intereses legítimos | Consentimiento o una de las 13 excepciones legales (Anexos 1 y 2) |
| Requisito de notificación (consentimiento) | Aviso de privacidad en el momento de la recopilación | Obligación de notificación: la finalidad se comunica antes de la recopilación o en ese momento |
| Derecho de acceso | Artículo 15: confirmación + copia en el plazo de 1 mes | Obligación de acceso: en un plazo razonable, se permite una tarifa |
| Derecho de rectificación | Artículo 16 | Obligación de corrección |
| Derecho a la portabilidad | Artículo 20: formato estructurado y de uso común | Sí, añadido por las enmiendas de 2020 |
| Derecho de supresión | Artículo 17 | Implícito a través de la obligación de limitación de la conservación; sin derecho de supresión autónomo antes de 2020 |
| Requisito de DPO | Obligatorio en casos definidos (artículo 37) | Obligatorio para todos los responsables del tratamiento (Sección 11(3) PDPA): el nombre y el contacto deben publicarse |
| Notificación de brechas | 72 horas a la autoridad de control + notificar a los titulares si el riesgo es alto | 72 horas a la PDPC + notificar a las personas afectadas; umbral: daño significativo O más de 500 personas |
| Transferencia transfronteriza | SCC, BCR, adecuación (Capítulo V) | Limitación de transferencia: evaluación de protección comparable; salvaguardas contractuales |
| Marketing directo | Base de licitud requerida + reglas de ePrivacy | Obligación del Registro Do Not Call; arquitectura de consentimiento + opt-out |
| Datos sensibles | Artículo 9: datos de categoría especial, consentimiento explícito + condición | Sin categoría sensible formal: se gestiona mediante consentimiento específico para cada finalidad |
| Datos de menores | Edad predeterminada de 16 años (los Estados miembros pueden reducirla a 13) | Menores de 13 años: consentimiento parental |
| Sello de confianza de protección de datos | Sin esquema formal | Sí: certificación voluntaria (PDPA DPTM) |
| Inicio de las sanciones | Mayo de 2018 | Las sanciones sustantivas comenzaron en 2014; las enmiendas de 2020 mejoraron la estructura de límites |
En su mayor parte. Añada un DPO designado en virtud de la Sección 11(3) con un contacto disponible públicamente, registre las campañas de marketing directo frente al Registro DNC cuando corresponda, asegure la notificación de brechas en un plazo de 72 horas a la PDPC y verifique las salvaguardas de Limitación de Transferencia para las transferencias fuera de Singapur.
Singapur mantiene un Registro Do Not Call nacional. Antes de enviar comunicaciones de telemarketing por voz, SMS o fax a un número de Singapur, las organizaciones deben consultar el registro DNC pertinente (Voz, Texto, Fax). Las infracciones se sancionan por separado en virtud de la PDPA.
Certificación voluntaria administrada por la IMDA. Demuestra el cumplimiento de la PDPA por parte del titular: una útil señal de confianza para las ventas B2B, en particular para compradores del sector gubernamental y financiero.
Moderada pero constante. La PDPC publica sus decisiones de aplicación y ha impuesto multas de millones de dólares a organizaciones como SingHealth (S$250K), Integrated Health Information Systems (S$750K) y diversas organizaciones de marketing por infracciones del DNC.
No estrictamente. El DPO debe ser localizable a través de un contacto publicado en Singapur, pero no tiene por qué residir en Singapur. RegulatoryBridge suele designar a un DPO regional con presencia en Singapur.
Mapea los controles una vez y cumple dos veces. RegulatoryBridge te ofrece un único flujo de DSAR, un único DPO y un único manual de respuesta ante brechas, abarcando ambos marcos.