PIPA da Coreia do Sul: Guia de conformidade de proteção de dados

A Lei de Proteção de Informações Pessoais da Coreia do Sul (PIPA — 개인정보 보호법) é amplamente considerada uma das leis de proteção de dados mais rigorosas do mundo. Abrangente em escopo, detalhado em requisitos técnicos e aplicado agressivamente pela Comissão de Proteção de Informações Pessoais (PIPC — 개인정보보호위원회), o PIPA tem implicações significativas para qualquer empresa que opere ou atenda ao mercado altamente digitalizado da Coreia do Sul.

Promulgado em 2011 e substancialmente alterado em 2023, o PIPA agora se alinha mais estreitamente com os padrões internacionais – incluindo o GDPR da UE – enquanto mantém características coreanas distintas, como requisitos de criptografia obrigatórios, padrões técnicos específicos e uma estrutura de aplicação unificada sob o PIPC após a integração da Comissão de Comunicações da Coreia (KCC) e das funções de aplicação da privacidade da Agência de Internet e Segurança da Coreia (KISA).

Principais conclusões

• O PIPA aplica-se a todas as entidades públicas e privadas que processam informações pessoais na Coreia do Sul, com âmbito extraterritorial
• Informações confidenciais (biometria, saúde, antecedentes criminais, localização, etc.) requerem consentimento explícito — o padrão de consentimento é mais rigoroso do que a maioria das outras jurisdições
• A política de privacidade deve ser publicada publicamente e aprovada pelas orientações de auditoria anual do PIPC
• Notificação de violação de dados necessária dentro de 72 horas (5 dias para determinados incidentes) ao PIPC
• Transferências transfronteiriças proibidas sem consentimento, salvaguardas contratuais ou determinação de adequação
• O PIPC pode aplicar multas de até 3% da receita total; penas criminais até 5 anos de prisão
• Normas técnicas obrigatórias: algoritmos de encriptação específicos (AES-256 para dados sensíveis), requisitos de controlo de acesso, orientações sobre pseudonimização
• Operadoras estrangeiras com usuários sul-coreanos devem designar um representante local

---

Estrutura e Escopo do PIPA

Cobertura

O PIPA aplica-se a:

• Processadores de informações pessoais: Qualquer instituição pública, empresa, organização ou indivíduo que processe informações pessoais para fins comerciais
• Tanto do setor público (agências governamentais) quanto de entidades do setor privado
• Operadores estrangeiros: Entidades não estabelecidas na Coreia do Sul que fornecem bens ou serviços a residentes sul-coreanos ou que monitorizam o comportamento de residentes sul-coreanos (artigos 2.º e 39.º a 11.º)

Este âmbito extraterritorial — acrescentado nas alterações de 2023 — reflete o artigo 3.º, n.º 2, do RGPD e exige que os operadores estrangeiros designem um representante sul-coreano.

Definição de informações pessoais

Informações pessoais (개인정보) sob PIPA significam informações sobre um indivíduo vivo que permite a identificação desse indivíduo (incluindo combinação com outras informações), incluindo:

• Nome, número de registro (주민등록번호), imagem
• Informações que podem ser facilmente combinadas com outras informações para identificar um indivíduo

Informações pseudônimas (가명정보): Informações pessoais processadas de uma forma que torna a identificação impossível sem informações adicionais. Pode ser usado para compilação estatística, pesquisa e arquivamento sem consentimento, sujeito a restrições específicas.

Informações anonimizadas: Informações que não podem ser reidentificadas em hipótese alguma — não são mais informações pessoais e estão fora do escopo do PIPA.

---

Informações confidenciais

A PIPA define informações confidenciais (민감정보) como exigindo consentimento explícito para coleta e uso, com exceções limitadas. As categorias incluem:

• Ideologia, crença
• Aderir ou sair de sindicatos ou partidos políticos
• Opiniões políticas
• Informações médicas e de saúde
• Vida sexual e orientação sexual
• Registos criminais anteriores (crimes e punições)
• Informações biométricas que podem identificar indivíduos
• Origem racial ou étnica
• Informações financeiras (números de contas, números de cartões — classificadas como informações de identificação únicas que requerem tratamento especial)

Números de registro de residente (주민등록번호 — documento de identificação nacional coreano): Tratado com a mais alta proteção. A coleta é geralmente proibida, exceto quando expressamente permitido por lei. O processamento e o fornecimento a terceiros são estritamente regulamentados. Esta é uma das proteções de número de identificação nacional mais rigorosas do mundo.

---

Bases Legais para Processamento de Informações Pessoais

O Artigo 15 do PIPA prevê cinco fundamentos legais para a coleta e utilização de informações pessoais:

1. Consentimento prévio do titular dos dados
2. Disposições especiais da lei, ou necessárias ao cumprimento de obrigações legais
3. Interesses claros e significativos do titular dos dados ou de terceiro onde não seja possível obter consentimento prévio (interesses vitais)
4. Necessário para executar tarefas conferidas por leis e regulamentos para instituições públicas
5. Interesses legítimos do processador de informações pessoais — quando o processamento for claramente necessário para os interesses legítimos do processador, dentro de um escopo razoável

Requisitos de consentimento:

• Informado: o titular dos dados deve ser informado dos itens coletados, finalidade, período de retenção e direito de recusar o consentimento com consequências
• Voluntário: não pode condicionar o fornecimento de bens/serviços ao consentimento para tratamento facultativo
• Específico: consentimento separado para cada finalidade
• Prova escrita: reter provas de consentimento

---

Requisitos da Política de Privacidade

O Artigo 30 exige que os processadores de informações pessoais criem e publiquem publicamente uma política de privacidade (개인정보 처리방침). Conteúdo obrigatório:

• Itens de informações pessoais processados
• Finalidade do processamento
• Período de retenção (período de destruição)
• Se fornecidos a terceiros, os detalhes dos terceiros, itens fornecidos, finalidade e período de retenção
• Questões relativas à atribuição do tratamento (subcontratantes)
• Direitos e obrigações dos titulares dos dados e como exercê-los
• Medidas tomadas para garantir a segurança das informações pessoais
• Nome e informações de contato do Responsável pela Proteção de Informações Pessoais (PIPO — 개인정보 보호책임자)
• Departamento que trata das solicitações de direitos dos titulares dos dados
• Qualquer informação de transferência para o exterior
• Dispositivos de recolha automática (cookies)

Atualização da política de privacidade: Alterações devem ser notificadas com antecedência. O PIPC fornece diretrizes modelo de política de privacidade e uma avaliação anual – as empresas com pontuação abaixo de um padrão mínimo recebem recomendações de melhoria.

---

Oficial de Proteção de Informações Pessoais (PIPO)

O Artigo 31 exige que todos os processadores de informações pessoais designem um responsável pela proteção de informações pessoais (개인정보 보호책임자). O PIPO deve:

• Ser um executivo sênior com autoridade e responsabilidade pela privacidade
• Receber reclamações sobre o tratamento de informações pessoais e processá-las
• Monitorar a conformidade
• Gerenciar treinamento e conscientização
• Realizar avaliações de risco de privacidade

Critérios para PIPO: Deve ter autoridade substancial na organização – não apenas uma designação nominal. O PIPO deve ter autoridade para dirigir medidas técnicas, aceder a todos os sistemas de informação pessoal e comunicar diretamente com a liderança.

Operadores estrangeiros: Devem designar um representante nacional na Coreia do Sul responsável pelas funções PIPO.

---

Requisitos Técnicos e de Segurança

O PIPA e seus regulamentos de implementação (Padrões de Medidas de Segurança de Informações Pessoais — 개인정보의 안전성 확보조치 기준) especificam requisitos técnicos detalhados — entre os mais prescritivos globalmente:

Requisitos de criptografia:

• Senhas: devem ser criptografadas utilizando um algoritmo de criptografia unidirecional; armazenamento de texto simples proibido
• Números de registro de residentes, informações biométricas e financeiras: devem ser criptografados usando AES-256 ou equivalente
• Criptografia de transmissão: TLS/SSL necessário para todas as informações pessoais transmitidas por redes
• Armazenamento em dispositivos móveis: criptografia necessária para informações pessoais em dispositivos móveis

Requisitos de controle de acesso:

• IDs de usuário exclusivos; contas compartilhadas proibidas
• Controle de acesso baseado na necessidade da tarefa (menor privilégio)
• Tempo limite da sessão após no máximo 30 minutos de inatividade para serviços web
• Bloqueio de conta após 5 tentativas de login malsucedidas
• Autenticação de dois fatores necessária para acesso administrativo a sistemas de informações pessoais

Gerenciamento de log de acesso:

• Todo acesso a bancos de dados de informações pessoais deve ser registrado
• Os logs devem incluir: ID de acesso, data e hora, tipo de operação (criar, ler, atualizar, excluir)
• Os registros devem ser retidos por pelo menos 1 ano (3 anos para informações confidenciais e de saúde)
• Os logs devem ser protegidos contra adulterações; detecção de anomalia implementada

Separação de rede:

• Para processadores que lidam com informações pessoais de mais de 100.000 indivíduos ou que processam informações confidenciais, é necessária a separação da rede entre os sistemas voltados para a Internet e os sistemas internos de informações pessoais.
• A configuração do firewall deve ser documentada

Gerenciamento de vulnerabilidades:

• Patches de segurança aplicados dentro de 6 meses após o lançamento do fornecedor para sistemas operacionais e softwares principais
• Avaliações de vulnerabilidade de segurança pelo menos anualmente

---

Direitos do titular dos dados

O PIPA concede aos titulares dos dados direitos que devem ser cumpridos dentro de um prazo determinado:

---

Transferência de dados transfronteiriça

O Artigo 28-8 (alteração de 2023) rege as transferências internacionais de dados:

Mecanismos permitidos:

1. Consentimento: consentimento prévio e explícito após divulgação de: informações do destinatário, finalidade da transferência, itens transferidos, período de retenção e informações sobre direitos de recusa
2. Determinação de adequação: Transferência para países designados pelo PIPC como tendo proteção adequada
3. Cláusulas contratuais padrão: Uso de SCCs aprovadas pelo PIPC com o destinatário estrangeiro
4. Regras corporativas vinculativas: Aprovadas pelo PIPC para transferências intragrupo
5. Necessidade contratual: Transferência necessária para contrato com o titular dos dados
6. Obrigação legal: Exigida por tratado ou acordo internacional

Lista de adequação do PIPC: O PIPC está desenvolvendo sua lista de países adequados. Atualmente, a UE mantém uma relação de adequação recíproca com a Coreia do Sul. O Japão está em discussão.

Requisitos de notificação para transferências baseadas em consentimento: A divulgação obrigatória antes de obter consentimento inclui: nome do país estrangeiro, nome e contato do destinatário, finalidade da transferência, itens transferidos, período de retenção/uso e informações sobre recusa de consentimento e consequências.

---

Notificação de violação

O Artigo 34 exige notificação após descoberta de perda, roubo ou vazamento de informações pessoais:

Notificação ao PIPC (Artigo 34(3)): Obrigatório quando ocorre perda, roubo ou vazamento de informações pessoais — dentro de 72 horas para incidentes envolvendo:

• 1.000 ou mais titulares de dados
• Informações confidenciais ou informações de identificação exclusivas
• Qualquer valor em que haja suspeita de violação sistêmica

Para outros incidentes: notificação à autoridade de proteção de dados (a KISA opera um portal de relatórios em nome da PIPC) no prazo de 5 dias úteis.

Notificação individual (Artigo 34(1)): Exigida sem demora injustificada quando ocorre perda, roubo ou vazamento. Deve incluir:

• Itens de informações pessoais que foram perdidos, roubados ou vazados
• Hora do incidente (se conhecido)
• Ações que os titulares dos dados podem realizar
• Informações de contato do processador de informações pessoais

Notificação ao PIPC: Use o portal de relatórios de incidentes PIPC/KISA (privacy.go.kr).

---

Execução e penalidades do PIPC

A Comissão de Proteção de Informações Pessoais (PIPC) foi fortalecida como uma comissão independente em 2020 e ainda mais fortalecida nas alterações de 2023.

Penalidades administrativas:

• Multas de até 3% do total de vendas/receitas por violações envolvendo informações pessoais coletadas sem base legítima ou fornecimento não autorizado a terceiros
• Multas de até 3% do total de vendas por violações graves de medidas técnicas de proteção
• Ordens corretivas: o PIPC pode ordenar alterações operacionais, destruição de dados, editais

Penalidades criminais (Artigo 70-74):

• Coleta de informações pessoais sem consentimento: até 5 anos de prisão + multas de até ₩50 milhões
• Fornecimento a terceiros sem consentimento: até 5 anos de prisão + multas até ₩50 milhões
• Violação da proibição de processamento do número de registro de residente: até 5 anos de prisão + multas de até ₩100 milhões
• Violações do corretor de dados: até 10 anos de prisão

Aplicação recente: O PIPC multou Meta em ₩6,7 bilhões (US$ 5 milhões) em 2022 por coletar informações confidenciais sem consentimento. A Samsung Electronics recebeu diversas ações de orientação do PIPC. Kakao foi investigado por práticas de manipulação de dados. A fiscalização está ativa e em expansão.

---

Lista de verificação de conformidade com PIPA

• Aplicabilidade do PIPA confirmada incluindo status de operador estrangeiro
• [] representante sul-coreano designado (operadores estrangeiros)
• [] Inventário de informações pessoais concluído, incluindo identificação de informações confidenciais
• Avaliação do uso de números de registro de residentes - coleta eliminada, a menos que seja legalmente exigido
• [] Base jurídica documentada para cada atividade de processamento
• Formulários de consentimento revisados: específico, informado, voluntário, cada finalidade separada
• Política de privacidade publicada no site com todos os elementos obrigatórios
• [] PIPO designado: executivo sênior com autoridade apropriada
• Controles de acesso implementados: IDs únicos, tempo limite de sessão (30 min), bloqueio após 5 falhas
• Criptografia implementada: AES-256 para dados sensíveis/biométricos/financeiros; TLS para transmissão; unidirecional para senhas
• [] Logs de acesso habilitados e configurados (manter no mínimo 1 ano, 3 anos para sensíveis)
• [] Separação de rede implementada se processar mais de 100.000 indivíduos
• Procedimentos de direitos do titular dos dados: resposta em 10 dias para acesso/correção/suspensão
• Mecanismos de transferência transfronteiriça em vigor para transferências internacionais
• [] procedimento de notificação de violação de 72 horas para PIPC
• [] Procedimento de notificação de violação individual documentado
• Treinamento de funcionários sobre as obrigações do PIPA concluído
• [] Avaliação anual de vulnerabilidade agendada

---

Perguntas frequentes

Por que o PIPA é considerado uma das leis de proteção de dados mais rígidas do mundo?

O PIPA combina um escopo abrangente (aplicável a todas as entidades, incluindo pequenas empresas), requisitos rigorosos de consentimento (explícito, específico para a finalidade, voluntário), padrões técnicos prescritivos (algoritmos de criptografia obrigatórios, requisitos específicos de registro de acesso, separação de rede), aplicação rigorosa (penalidades criminais de até 10 anos, multas administrativas de 3% da receita) e a proibição do uso de números de registro de residentes nacionais — uma das proteções de identidade nacional mais rigorosas do mundo. O PIPC demonstrou disposição para multar grandes empresas nacionais e estrangeiras. Além disso, os regulamentos detalhados de implementação do PIPA deixam menos espaço para abordagens alternativas de conformidade do que a estrutura baseada em princípios do GDPR.

Quais são os requisitos específicos de criptografia do PIPA?

Os regulamentos de implementação do PIPA (Padrões de Medidas de Segurança de Informações Pessoais) especificam: (1) As senhas devem ser armazenadas usando uma função hash unidirecional (bcrypt, Argon2 ou algoritmos aprovados) – texto simples ou criptografia reversível são proibidos; (2) Informações confidenciais, números de registro de residentes, informações biométricas e números de contas financeiras devem ser criptografados usando no mínimo AES-128 (recomendado AES-256) para armazenamento; (3) Todas as informações pessoais transmitidas pelas redes devem utilizar TLS 1.2 ou superior; (4) As informações pessoais em dispositivos móveis devem ser criptografadas; (5) Para sistemas baseados em nuvem, recomenda-se a criptografia de ponta a ponta.

O que são informações pseudônimas de acordo com as alterações do PIPA de 2023?

Informações pseudônimas (가명정보) foram introduzidas na alteração de 2020 (em vigor em 2023) como uma categoria entre informações pessoais e informações anônimas. Refere-se a informações pessoais processadas de forma que um determinado indivíduo não possa ser identificado sem a utilização de informações adicionais, que são mantidas separadamente com medidas de segurança. Informações pseudônimas podem ser usadas sem consentimento para compilação estatística, pesquisa científica ou preservação de registros públicos — permitindo a análise de dados e reduzindo o risco de privacidade. Os processadores devem: manter as informações adicionais (tabela de mapeamento) separadas e seguras; proibir tentativas de reidentificação; manter registros de pseudonimização; implementar medidas de segurança técnicas e administrativas.

Como funciona a base de “interesses legítimos” do PIPA?

A base de interesses legítimos ao abrigo do PIPA (artigo 15.º, n.º 1, ponto 6)) foi introduzida nas alterações de 2023. Permite o processamento quando claramente necessário para os interesses legítimos do processador, sem prevalecer sobre os direitos dos titulares dos dados. Isto reflecte os interesses legítimos do RGPD, mas com uma aplicação mais restrita – o histórico legislativo do PIPA indica que este deve ser utilizado para processamento incidental e suplementar, e não como uma base de uso geral que substitui o consentimento. O processador deve documentar o interesse legítimo, avaliar se este se sobrepõe aos interesses dos titulares dos dados e implementar salvaguardas. As informações sensíveis não podem ser recolhidas/utilizadas no âmbito de interesses legítimos — requerem consentimento explícito ou autorização legal específica.

O que constitui uma violação de dados que exige notificação de 72 horas ao PIPC?

O requisito de notificação de 72 horas se aplica quando: (1) 1.000 ou mais titulares de dados são afetados por perda, roubo ou vazamento; (2) Informações confidenciais ou informações de identificação exclusivas (números de registro de residentes, números de passaporte, números de carteira de motorista, números de registro de estrangeiros) estão envolvidas em qualquer violação; (3) A violação parece sistémica (sugerindo uma vulnerabilidade mais ampla). Outras violações (afetando menos de 1.000 indivíduos com dados não confidenciais) exigem notificação no prazo de 5 dias úteis. A notificação deve ser feita através do portal de denúncias PIPC/KISA (privacy.go.kr). A notificação individual é necessária independentemente da escala – imediatamente após a descoberta de uma violação.

---

Próximas etapas

O PIPA da Coreia do Sul é um quadro de conformidade exigente que exige investimento tanto em processos organizacionais como em infra-estruturas técnicas. Para empresas que entram no mercado sul-coreano ou expandem as operações existentes na Coreia, incorporar a conformidade com o PIPA na arquitetura do seu sistema desde o início – especialmente os requisitos de criptografia e registro de acesso – é significativamente mais eficiente do que a modernização.

A equipe de implementação de tecnologia da ECOSIRE pode ajudar a projetar arquiteturas compatíveis com PIPA, implementar os padrões técnicos específicos exigidos e construir processos de gestão de privacidade adequados para o mercado sul-coreano.

Saiba mais: Serviços ECOSIRE

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. O PIPA foi significativamente alterado e continua a evoluir. Consulte um consultor jurídico coreano qualificado para obter aconselhamento específico para sua organização.