PIPA de Corea del Sur: Guía de cumplimiento de la protección de datos

La Ley de Protección de Información Personal de Corea del Sur (PIPA – 개인정보 보호법) es ampliamente considerada una de las leyes de protección de datos más estrictas del mundo. De alcance integral, detallado en requisitos técnicos y aplicada agresivamente por la Comisión de Protección de Información Personal (PIPC – 개인정보보호위원회), PIPA tiene implicaciones significativas para cualquier empresa que opere o preste servicios en el mercado altamente digitalizado de Corea del Sur.

Promulgada en 2011 y modificada sustancialmente en 2023, PIPA ahora se alinea más estrechamente con los estándares internacionales, incluido el GDPR de la UE, al tiempo que mantiene características coreanas distintivas, como requisitos de cifrado obligatorios, estándares técnicos específicos y una estructura de aplicación unificada bajo el PIPC luego de la integración de las funciones de aplicación de la privacidad de la Comisión de Comunicaciones de Corea (KCC) y la Agencia de Seguridad e Internet de Corea (KISA).

Conclusiones clave

• PIPA se aplica a todas las entidades públicas y privadas que procesan información personal en Corea del Sur, con alcance extraterritorial.
• La información confidencial (biometría, salud, antecedentes penales, ubicación, etc.) requiere consentimiento explícito; el estándar de consentimiento es más estricto que el de la mayoría de las otras jurisdicciones.
• La política de privacidad debe publicarse y aprobarse mediante la guía de auditoría anual de PIPC.
• Se requiere notificación de violación de datos dentro de las 72 horas (5 días para ciertos incidentes) a PIPC
• Transferencias transfronterizas prohibidas sin consentimiento, salvaguardias contractuales o determinación de idoneidad
• PIPC puede imponer multas de hasta el 3% de los ingresos totales; sanciones penales de hasta 5 años de prisión
• Normas técnicas obligatorias: algoritmos de cifrado específicos (AES-256 para datos sensibles), requisitos de control de acceso, orientación sobre seudonimización
• Los operadores extranjeros con usuarios surcoreanos deben designar un representante local

---

Marco y alcance de PIPA

Cobertura

PIPA se aplica a:

• Procesadores de información personal: cualquier institución pública, corporación, organización o individuo que procese información personal con fines comerciales.
• Tanto el sector público (agencias gubernamentales) como entidades del sector privado.
• Operadores en el extranjero: Entidades no establecidas en Corea del Sur que proporcionan bienes o servicios a residentes de Corea del Sur, o que monitorean el comportamiento de los residentes de Corea del Sur (Artículo 2 y 39-11)

Este alcance extraterritorial, agregado en las enmiendas de 2023, refleja el artículo 3 (2) del RGPD y requiere que los operadores extranjeros designen un representante de Corea del Sur.

Definición de información personal

Información personal (개인정보) según PIPA significa información sobre un individuo vivo que permite la identificación de ese individuo (incluida la combinación con otra información), que incluye:

• Nombre, número de registro (주민등록번호), imagen
• Información que se puede combinar fácilmente con otra información para identificar a un individuo

Información seudónima (가명정보): Información personal procesada de una manera que hace imposible la identificación sin información adicional. Puede usarse para compilación, investigación y archivo estadístico sin consentimiento, sujeto a restricciones específicas.

Información anónima: información que no puede volver a identificarse bajo ninguna circunstancia; ya no es información personal y está fuera del alcance de PIPA.

---

Información confidencial

PIPA define la información confidencial (민감정보) como aquella que requiere consentimiento explícito para su recopilación y uso, con excepciones limitadas. Las categorías incluyen:

• Ideología, creencia.
• Afiliarse o abandonar sindicatos o partidos políticos.
• Opiniones políticas
• Información médica y de salud.
• Vida sexual y orientación sexual.
• Antecedentes penales pasados (delitos y penas)
• Información biométrica que puede identificar a las personas.
• Origen racial o étnico
• Información financiera (números de cuenta, números de tarjetas, clasificados como información de identificación única que requiere un tratamiento especial)

Números de registro de residentes (주민등록번호 — Identificación nacional coreana): Tratado con la máxima protección. La recolección está generalmente prohibida, excepto donde la ley lo permita expresamente. El tratamiento y la puesta a disposición de terceros están estrictamente regulados. Esta es una de las protecciones de números de identificación nacional más estrictas a nivel mundial.

---

Bases legales para el procesamiento de información personal

El artículo 15 de PIPA establece cinco fundamentos legales para recopilar y utilizar información personal:

1. Consentimiento previo del interesado
2. Disposiciones especiales de la ley, o necesarias para cumplir con obligaciones legales
3. Intereses claros y significativos del interesado o de un tercero cuando no sea posible obtener el consentimiento previo (intereses vitales)
4. Necesario para realizar las tareas que le confieren las leyes y reglamentos a las instituciones públicas
5. Intereses legítimos del procesador de información personal: cuando el procesamiento es claramente necesario para los intereses legítimos del procesador, dentro de un alcance razonable

Requisitos de consentimiento:

• Informado: se debe informar al interesado sobre los elementos recopilados, el propósito, el período de retención y el derecho a negar el consentimiento con consecuencias.
• Voluntario: no puede condicionar la provisión de bienes/servicios al consentimiento al procesamiento opcional
• Específico: consentimiento separado para cada finalidad
• Prueba escrita: conservar la prueba del consentimiento.

---

Requisitos de la política de privacidad

El artículo 30 exige que los procesadores de información personal creen y publiquen públicamente una política de privacidad (개인정보 처리방침). Contenidos requeridos:

• Elementos de información personal procesados
• Finalidad del tratamiento
• Período de retención (período de destrucción)
• Si se proporciona a terceros, los detalles de los terceros, los elementos proporcionados, el propósito y el período de retención.
• Cuestiones relativas a la encomienda del tratamiento (encargados del tratamiento)
• Derechos y obligaciones de los interesados y cómo ejercerlos
• Medidas tomadas para garantizar la seguridad de la información personal
• Nombre e información de contacto del Oficial de Protección de Información Personal (PIPO — 개인정보 보호책임자)
• Departamento que gestiona las solicitudes de derechos de los interesados
• Cualquier información de transferencia al extranjero.
• Dispositivos de recogida automática (cookies)

Actualización de la política de privacidad: Los cambios deben notificarse con antelación. El PIPC proporciona pautas modelo de política de privacidad y una evaluación anual: las empresas que obtienen una puntuación por debajo de un estándar mínimo reciben recomendaciones de mejora.

---

Oficial de Protección de Información Personal (PIPO)

El artículo 31 exige que todos los procesadores de información personal designen un Oficial de Protección de Información Personal (개인정보 보호책임자). La PIPO debe:

• Ser un alto ejecutivo con autoridad y responsabilidad sobre la privacidad.
• Recibir quejas sobre el manejo de información personal y procesarlas
• Supervisar el cumplimiento
• Gestionar la formación y la sensibilización.
• Realizar evaluaciones de riesgos de privacidad.

Criterios para PIPO: Debe tener autoridad sustancial en la organización, no simplemente una designación nominal. La PIPO debe tener autoridad para dirigir medidas técnicas, acceder a todos los sistemas de información personal y comunicarse directamente con los líderes.

Operadores extranjeros: Deben designar un representante nacional en Corea del Sur responsable de las funciones de PIPO.

---

Requisitos técnicos y de seguridad

PIPA y sus reglamentos de implementación (Estándares de medidas de seguridad de la información personal – 개인정보의 안전성 확보조치 기준) especifican requisitos técnicos detallados, entre los más prescriptivos a nivel mundial:

Requisitos de cifrado:

• Contraseñas: deben cifrarse mediante un algoritmo de cifrado unidireccional; almacenamiento de texto plano prohibido
• Números de registro de residentes, información biométrica y financiera: deben cifrarse mediante AES-256 o equivalente
• Cifrado de transmisión: se requiere TLS/SSL para toda la información personal transmitida a través de las redes
• Almacenamiento en dispositivos móviles: se requiere cifrado para la información personal en dispositivos móviles

Requisitos de control de acceso:

• ID de usuario únicos; cuentas compartidas prohibidas
• Control de acceso basado en la necesidad de la tarea (menor privilegio)
• Tiempo de espera de sesión después de un máximo de 30 minutos de inactividad para servicios web
• Bloqueo de cuenta después de 5 intentos fallidos de inicio de sesión
• Se requiere autenticación de dos factores para el acceso administrativo a los sistemas de información personal

Gestión de registros de acceso:

• Todo acceso a bases de datos de información personal debe registrarse.
• Los registros deben incluir: ID de acceso, fecha y hora, tipo de operación (crear, leer, actualizar, eliminar)
• Los registros deben conservarse durante al menos 1 año (3 años para información sensible y de salud)
• Los troncos deben protegerse contra manipulaciones; detección de anomalías implementada

Separación de red:

• Para los procesadores que manejan información personal de más de 100.000 personas o procesan información confidencial, se requiere una separación de red entre los sistemas conectados a Internet y los sistemas internos de información personal.
• La configuración del firewall debe estar documentada.

Gestión de vulnerabilidades:

• Parches de seguridad aplicados dentro de los 6 meses posteriores al lanzamiento del proveedor para sistemas operativos y software principal
• Evaluaciones de vulnerabilidad de seguridad al menos anualmente.

---

Derechos del interesado

PIPA otorga a los interesados derechos que deben ser cumplidos dentro de un plazo determinado:

---

Transferencia de datos transfronteriza

El artículo 28-8 (enmienda de 2023) regula las transferencias internacionales de datos:

Mecanismos permitidos:

1. Consentimiento: consentimiento previo explícito después de la divulgación de: información del destinatario, propósito de la transferencia, elementos transferidos, período de retención e información sobre los derechos de rechazo.
2. Determinación de adecuación: Transferencia a países designados por PIPC como con protección adecuada
3. Cláusulas contractuales estándar: Uso de SCC aprobadas por PIPC con el destinatario en el extranjero
4. Reglas corporativas vinculantes: Aprobadas por PIPC para transferencias intragrupo
5. Necesidad contractual: Transferencia necesaria para contratar con el interesado
6. Obligación legal: Requerido por tratado o acuerdo internacional

Lista de adecuación del PIPC: El PIPC está desarrollando su lista de países adecuados. Actualmente, la UE mantiene una relación de adecuación recíproca con Corea del Sur. Japón está en discusión.

Requisitos de notificación para transferencias basadas en consentimiento: La divulgación obligatoria antes de obtener el consentimiento incluye: nombre del país extranjero, nombre y contacto del destinatario, propósito de la transferencia, elementos transferidos, período de retención/uso e información sobre el rechazo del consentimiento y sus consecuencias.

---

Notificación de infracción

El artículo 34 exige notificación al descubrirse pérdida, robo o filtración de información personal:

Notificación a PIPC (Artículo 34(3)): Se requiere cuando ocurre pérdida, robo o filtración de información personal; dentro de las 72 horas para incidentes que involucran:

• 1.000 o más interesados
• Información sensible o información de identificación única
• Cualquier cantidad en caso de sospecha de incumplimiento sistémico

Para otras incidencias: notificación a la autoridad de protección de datos (KISA opera un portal de informes en nombre de PIPC) en un plazo de 5 días hábiles.

Notificación individual (Artículo 34(1)): Se requiere sin demoras indebidas cuando se produce pérdida, robo o fuga. Debe incluir:

• Elementos de información personal que se perdieron, fueron robados o filtrados
• Hora del incidente (si se conoce)
• Acciones que los interesados pueden realizar
• Datos de contacto del encargado del tratamiento de datos personales

Notificación a PIPC: utilice el portal de informes de incidentes de PIPC/KISA (privacy.go.kr).

---

Cumplimiento y sanciones de PIPC

La Comisión de Protección de Información Personal (PIPC) fue fortalecida como comisión independiente en 2020 y fortalecida aún más en las enmiendas de 2023.

Sanciones administrativas:

• Multas de hasta 3 % del total de ventas/ingresos por infracciones que involucren información personal recopilada sin base legítima o suministro no autorizado a terceros.
• Multas de hasta 3% de las ventas totales por infracciones graves de las medidas técnicas de protección.
• Órdenes correctivas: PIPC puede ordenar cambios operativos, destrucción de datos, avisos públicos

Sanciones penales (Artículos 70 a 74):

• Recopilar información personal sin consentimiento: hasta 5 años de prisión + multas de hasta 50 millones de ₩
• Proporcionar a terceros sin consentimiento: hasta 5 años de prisión + multas de hasta 50 millones de won
• Violación de la prohibición de procesar el número de registro de residente: hasta 5 años de prisión y multas de hasta 100 millones de won.
• Infracciones de intermediarios de datos: hasta 10 años de prisión

Aplicación reciente: El PIPC multó a Meta con 6.700 millones de libras esterlinas (5 millones de dólares) en 2022 por recopilar información confidencial sin consentimiento. Samsung Electronics recibió múltiples acciones de orientación PIPC. Kakao fue investigado por prácticas de manejo de datos. La aplicación de la ley es activa y se está ampliando.

---

Lista de verificación de cumplimiento de PIPA

• Se confirma la aplicabilidad de PIPA, incluido el estado de operador extranjero
• Representante de Corea del Sur designado (operadores extranjeros)
• [] Inventario de información personal completado, incluida la identificación de información confidencial
• [] Se evalúa el uso de los números de registro de residentes: se elimina la recopilación a menos que sea requerido legalmente
• Base jurídica documentada para cada actividad de procesamiento
• Formularios de consentimiento revisados: específico, informado, voluntario, cada propósito por separado
• Política de privacidad publicada en el sitio web con todos los elementos requeridos
• PIPO designado: alto ejecutivo con autoridad apropiada
• Controles de acceso implementados: ID únicos, tiempo de espera de la sesión (30 min), bloqueo después de 5 fallas
• Cifrado implementado: AES-256 para datos sensibles/biométricos/financieros; TLS para transmisión; unidireccional para contraseñas
• [] Registros de acceso habilitados y configurados (conservar mínimo 1 año, 3 años para confidenciales)
• [] Separación de red implementada si se procesan más de 100 000 personas
• Procedimientos de derechos del interesado: respuesta de 10 días para acceso/corrección/suspensión
• Mecanismos de transferencia transfronteriza establecidos para transferencias al exterior
• Procedimiento de notificación de incumplimiento de 72 horas a PIPC
• Procedimiento de notificación de incumplimiento individual documentado
• Se completó la capacitación de los empleados sobre las obligaciones de PIPA
• Evaluación anual de vulnerabilidad programada

---

Preguntas frecuentes

¿Por qué la PIPA se considera una de las leyes de protección de datos más estrictas a nivel mundial?

PIPA combina un alcance integral (que se aplica a todas las entidades, incluidas las pequeñas empresas), estrictos requisitos de consentimiento (explícitos, específicos, voluntarios), estándares técnicos prescriptivos (algoritmos de cifrado obligatorios, requisitos de registro de acceso específicos, separación de redes), una estricta aplicación (sanciones penales de hasta 10 años, multas administrativas del 3% de los ingresos) y la prohibición de utilizar números de registro nacional de residentes, una de las protecciones de identificación nacional más estrictas del mundo. El PIPC ha demostrado su voluntad de multar a las principales empresas nacionales y extranjeras. Además, las detalladas regulaciones de implementación de PIPA dejan menos espacio para enfoques de cumplimiento alternativos que el marco basado en principios de GDPR.

¿Cuáles son los requisitos de cifrado específicos según PIPA?

Las regulaciones de implementación de PIPA (Estándares de medidas de seguridad de la información personal) especifican: (1) Las contraseñas deben almacenarse utilizando una función hash unidireccional (bcrypt, Argon2 o algoritmos aprobados); el texto sin formato o el cifrado reversible están prohibidos; (2) La información confidencial, los números de registro de residentes, la información biométrica y los números de cuentas financieras deben cifrarse utilizando AES-128 como mínimo (se recomienda AES-256) para su almacenamiento; (3) Toda la información personal transmitida a través de redes debe utilizar TLS 1.2 o superior; (4) La información personal en los dispositivos móviles debe estar cifrada; (5) Para sistemas basados ​​en la nube, se recomienda el cifrado de extremo a extremo.

¿Qué es información seudónima según las enmiendas a la PIPA de 2023?

La información seudónima (가명정보) se introdujo en la enmienda de 2020 (en vigor en 2023) como una categoría entre información personal e información anónima. Se refiere a información personal procesada de manera que no se pueda identificar a un individuo específico sin el uso de información adicional, la cual se mantiene separada con medidas de seguridad. La información seudónima se puede utilizar sin consentimiento para la recopilación estadística, la investigación científica o la preservación de registros públicos, lo que permite el análisis de datos y al mismo tiempo reduce el riesgo de privacidad. Los procesadores deben: mantener la información adicional (tabla de mapeo) por separado y de forma segura; prohibir los intentos de reidentificación; mantener registros de seudonimización; implementar medidas de seguridad técnicas y administrativas.

¿Cómo funciona la base de "intereses legítimos" de PIPA?

La base del interés legítimo conforme a la PIPA (artículo 15(1)(6)) se introdujo en las enmiendas de 2023. Permite el procesamiento cuando sea claramente necesario para los intereses legítimos del procesador, sin anular los derechos de los interesados. Esto refleja los intereses legítimos del RGPD, pero con una aplicación más limitada: el historial legislativo de PIPA indica que debe usarse para procesamiento incidental y complementario en lugar de como una base de propósito general que reemplace el consentimiento. El procesador debe documentar el interés legítimo, evaluar si prevalece sobre los intereses de los interesados ​​e implementar salvaguardias. La información confidencial no se puede recopilar ni utilizar según intereses legítimos; requiere consentimiento explícito o autorización legal específica.

¿Qué constituye una violación de datos que requiere una notificación de 72 horas a PIPC?

El requisito de notificación de 72 horas se aplica cuando: (1) 1.000 o más interesados ​​se ven afectados por pérdida, robo o filtración; (2) información confidencial o información de identificación única (números de registro de residente, números de pasaporte, números de licencia de conducir, números de registro de extranjero) está involucrada en cualquier incumplimiento; (3) La violación parece sistémica (lo que sugiere una vulnerabilidad más amplia). Otras infracciones (que afectan a menos de 1000 personas con datos no confidenciales) requieren notificación dentro de los 5 días hábiles. La notificación debe presentarse a través del portal de informes PIPC/KISA (privacy.go.kr). Se requiere notificación individual independientemente de la escala, inmediatamente después de descubrir una infracción.

---

Próximos pasos

La PIPA de Corea del Sur es un marco de cumplimiento exigente que requiere inversión tanto en procesos organizativos como en infraestructura técnica. Para las empresas que ingresan al mercado de Corea del Sur o expanden sus operaciones existentes en Corea, incorporar el cumplimiento de PIPA en la arquitectura de su sistema desde el principio (particularmente los requisitos de cifrado y el registro de acceso) es significativamente más eficiente que la modernización.

El equipo de implementación de tecnología de ECOSIRE puede ayudar a diseñar arquitecturas compatibles con PIPA, implementar los estándares técnicos específicos requeridos y crear procesos de gestión de privacidad adecuados para el mercado de Corea del Sur.

Más información: Servicios ECOSIRE

Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. PIPA ha sido modificada significativamente y continúa evolucionando. Consulte a un asesor legal coreano calificado para obtener asesoramiento específico para su organización.