Singapore Personal Data Protection Act

Guia de cumplimiento de PDPA de Singapur

Navegue el marco integral de proteccion de datos de Singapur con confianza. Desde las 11 obligaciones de proteccion de datos hasta la notificacion obligatoria de violaciones y la gobernanza de IA, le ayudamos a implementar los requisitos de PDPA con procesos claros y evidencia lista para auditoria.

Iniciar evaluacion de PDPA Reservar consulta de cumplimiento

Que es PDPA de Singapur?

La Ley de Proteccion de Datos Personales de 2012 (PDPA) es la ley integral de proteccion de datos de Singapur que regula la recopilacion, uso y divulgacion de datos personales por organizaciones del sector privado. La Ley establece un estandar base de proteccion de datos en todos los sectores.

Por que esto importa ahora: Las enmiendas de 2020 (efectivas el 1 de febrero de 2021) fortalecieron significativamente los poderes de aplicacion con notificacion obligatoria de violaciones dentro de 3 dias, sanciones financieras hasta el 10% de la facturacion anual y requisitos mas estrictos de responsabilidad. La Comision de Proteccion de Datos Personales (PDPC) aplica activamente PDPA con decisiones de aplicacion publicas.

11 obligaciones

Marco de proteccion integral

Notificacion de 3 dias

Reporte obligatorio de violaciones a PDPC

Aplicada por la Comision de Proteccion de Datos Personales (PDPC) bajo IMDA. Complementa el cumplimiento de GDPR para estrategia global de proteccion de datos.

Quien necesita cumplir con PDPA?

Todas las organizaciones del sector privado

Cualquier organizacion que recopile, use o divulgue datos personales en Singapur

Intermediarios de datos

Organizaciones que procesan datos personales en nombre de otros

Plataformas digitales y comercio electronico

Servicios en linea que recopilan datos personales de clientes

Servicios financieros

Bancos, aseguradoras, procesadores de pagos que manejan datos financieros sensibles

Proveedores de salud

Clinicas, hospitales y plataformas de tecnologia de salud

Implementadores de sistemas de IA

Organizaciones que usan IA para decisiones automatizadas que afectan a individuos

Como VerifyWise apoya el cumplimiento de PDPA

VerifyWise proporciona un preset de cumplimiento de Singapur operando en modo checklist, estructurado alrededor de transparencia, trazabilidad, monitoreo de resultados y obligaciones de auditoria regular

Requisito de Singapur

Cobertura de VerifyWise

Medidas de transparencia

Elemento de checklist para documentar la divulgacion del uso de IA y practicas de transparencia

Registros de trazabilidad

Seguimiento estructurado por checklist con metadatos de fecha de auditoria y descripcion del sistema

Monitoreo de resultados

Elemento de checklist con analisis cuantitativo opcional de impacto adverso

Programa de auditorias regulares

Elemento dedicado de checklist para documentar frecuencia y metodologia de auditorias

Capacidades adicionales de cumplimiento

Inventario y mapeo de datos personales

Mantenga un registro completo de actividades de procesamiento de datos personales en toda su organizacion. La plataforma captura que datos recopila, por que los procesa, quien tiene acceso y donde se almacenan para satisfacer los requisitos de responsabilidad de PDPC.

Aborda: Responsabilidad, Apertura, Limitacion de proposito

Gestion y seguimiento de consentimiento

Documente los metodos de recopilacion de consentimiento, rastree las solicitudes de retiro de consentimiento y gestione escenarios de consentimiento implicito introducidos en las enmiendas de 2020. La plataforma mantiene registros de consentimiento listos para auditoria con marcas de tiempo y evidencia.

Aborda: Obligacion de Consentimiento, Notificacion, Responsabilidad

Evaluaciones de impacto de proteccion de datos

Realice evaluaciones de impacto de privacidad estructuradas para nuevas actividades de procesamiento de datos. La plataforma lo guia a traves de la identificacion de riesgos, seleccion de salvaguardas y documentacion que demuestre arreglos de seguridad razonables.

Aborda: Obligacion de Proteccion, Responsabilidad

Flujos de trabajo de notificacion de violacion de datos

Gestione el plazo obligatorio de notificacion de 3 dias con flujos de trabajo estructurados de incidentes. La plataforma rastrea la evaluacion de violaciones, el envio de notificaciones a PDPC y las comunicaciones a individuos afectados requeridas bajo las enmiendas de 2020.

Aborda: Obligacion de Notificacion de Violacion de Datos

Portal de derechos del titular de datos

Gestione solicitudes de acceso y correccion con flujos de trabajo que aplican los plazos de respuesta de PDPC. La plataforma rastrea solicitudes, gestiona calculos de tarifas razonables y mantiene registros de respuestas para fines de auditoria.

Aborda: Obligacion de Acceso y Correccion, Responsabilidad

Evaluaciones de transferencia transfronteriza

Evalue transferencias de datos transfronterizas con evaluaciones de riesgo estructuradas y seguimiento de salvaguardas contractuales. La plataforma documenta mecanismos de transferencia y asegura el cumplimiento de la Obligacion de Limitacion de Transferencia de PDPA.

Aborda: Obligacion de Limitacion de Transferencia, Responsabilidad

Todas las actividades se rastrean con marcas de tiempo, oficiales de proteccion de datos asignados y flujos de trabajo de aprobacion. Esta pista de auditoria demuestra cumplimiento sistematico de PDPA ante investigadores de PDPC.

Cobertura completa de obligaciones de PDPA

VerifyWise proporciona herramientas dedicadas para las 11 obligaciones de proteccion de datos

Obligaciones de PDPA

Controles de cumplimiento con herramientas dedicadas

100%

Cobertura en todas las obligaciones

Consentimiento8/8

Recopilacion, retiro y consentimiento implicito

Limitacion de proposito5/5

Limitacion de uso a propositos identificados

Notificacion6/6

Avisos de privacidad y transparencia

Acceso y correccion7/7

Gestion de derechos del titular de datos

Precision4/4

Calidad y precision de datos

Proteccion9/9

Salvaguardas de seguridad

Limitacion de retencion5/5

Calendarios de retencion y eliminacion

Limitacion de transferencia6/6

Transferencias transfronterizas

Apertura4/4

DPO y disponibilidad de politicas

Violacion de datos8/8

Notificacion de violacion dentro de 3 dias

Responsabilidad7/7

DPO, politicas, marco de cumplimiento

Construido para PDPA de Singapur desde cero

Notificacion de violacion de 3 dias

Flujos de trabajo automatizados para el plazo obligatorio de reporte a PDPC

AI Governance Framework

Alineacion con Model AI Governance Framework y AI Verify

Integracion del Registro DNC

Seguimiento de cumplimiento de No Llamar y evidencia

Mapeo multi-marco

Correlacion con requisitos de GDPR e ISO 27701

11 obligaciones de proteccion de datos

PDPA establece obligaciones integrales para la gestion de datos personales

Obligacion de Consentimiento

Obtener consentimiento valido antes de recopilar, usar o divulgar datos personales, con excepciones claras.

El consentimiento debe ser voluntario, informado y especifico al proposito
Se requiere mecanismo de retiro de consentimiento
Disposiciones de consentimiento implicito (enmienda 2020)
Excepciones de interes legitimo cuando aplique
Documentacion del metodo de recopilacion de consentimiento

Limitacion de Proposito

Recopilar, usar y divulgar datos personales solo para propositos que se consideren apropiados en las circunstancias.

Identificar y documentar el proposito antes de la recopilacion
El proposito debe ser que una persona razonable consideraria apropiado
Sin uso o divulgacion mas alla del proposito original sin nuevo consentimiento
Especificacion de proposito en avisos de privacidad
Limitacion de proposito en acuerdos de procesamiento de datos

Obligacion de Notificacion

Informar a los individuos sobre los propositos de recopilacion, uso y divulgacion de datos.

Aviso de privacidad antes o al momento de la recopilacion
Notificacion de propositos en lenguaje claro
Informacion de contacto comercial proporcionada
Notificacion de si la recopilacion es obligatoria
Actualizaciones de avisos de privacidad cuando los propositos cambien

Acceso y Correccion

Proporcionar a los individuos acceso a sus datos personales y permitir la correccion de datos inexactos.

Responder a solicitudes de acceso dentro de 30 dias
Proporcionar datos en forma comprensible
Permitir la correccion de datos inexactos o incompletos
Se pueden aplicar tarifas razonables para solicitudes de acceso
Excepciones limitadas para retener el acceso

Obligacion de Precision

Asegurar que los datos personales sean precisos y completos si se utilizaran para tomar decisiones o se divulgaran a otros.

Procesos de verificacion de precision
Procedimientos de correccion cuando se identifiquen inexactitudes
Revisiones periodicas de calidad de datos
Verificacion de fuente para datos criticos
Procedimientos de actualizacion para datos obsoletos

Obligacion de Proteccion

Proteger los datos personales con arreglos de seguridad razonables para prevenir acceso, recopilacion, uso, divulgacion, copia, modificacion o eliminacion no autorizados.

Medidas de seguridad basadas en riesgo apropiadas al dano
Salvaguardas tecnicas y organizativas
Controles de acceso y autenticacion
Cifrado para datos sensibles en transito y en reposo
Pruebas de seguridad y gestion de vulnerabilidades

Limitacion de Retencion

Cesar la retencion de datos personales cuando los propositos ya no se esten cumpliendo y la retencion no sea requerida por ley.

Calendarios de retencion para diferentes categorias de datos
Requisitos documentados de retencion comercial o legal
Procedimientos seguros de eliminacion o anonimizacion
Revision periodica de datos retenidos
Registros de eliminacion para responsabilidad

Limitacion de Transferencia

Transferir datos personales fuera de Singapur solo si la jurisdiccion receptora proporciona proteccion comparable o si se implementan salvaguardas contractuales apropiadas.

Evaluacion de la ley de proteccion de datos de la jurisdiccion receptora
Salvaguardas contractuales (BCR, Clausulas Contractuales Estandar)
Evaluaciones de impacto de transferencia para transferencias de alto riesgo
Consentimiento individual para transferencias sin salvaguardas
Documentacion de mecanismos de transferencia

Obligacion de Apertura

Desarrollar e implementar politicas y practicas para la gestion de datos personales y hacer disponible informacion sobre estas politicas.

Politicas y procedimientos documentados de proteccion de datos
Contacto designado del Oficial de Proteccion de Datos (DPO)
Politica de privacidad disponible publicamente
Capacitacion de empleados sobre proteccion de datos
Revision y actualizacion regular de politicas

Notificacion de Violacion de Datos

Notificar a PDPC dentro de 3 dias calendario de evaluar una violacion de datos notificable. Notificar a los individuos afectados cuando la violacion probablemente resulte en dano significativo o impacto.

Procedimientos de deteccion y evaluacion de violaciones
Notificacion a PDPC dentro de 3 dias calendario (enmienda 2020)
Notificacion individual cuando el dano significativo sea probable
Registro de violaciones y documentacion de incidentes
Revision post-incidente y seguimiento de remediacion

Obligacion de Responsabilidad

Cumplir con las obligaciones de PDPA y poder demostrar el cumplimiento ante PDPC.

Programa de gestion de proteccion de datos
Oficial de Proteccion de Datos (DPO) designado
Procesos de monitoreo y auditoria de cumplimiento
Programas de capacitacion y concientizacion del personal
Evidencia de cumplimiento (politicas, registros, evaluaciones, registros)

Marco de gobernanza de IA de Singapur

Marcos voluntarios pero influyentes para el despliegue responsable de IA

Marco de gobernanza

Model AI Governance Framework

Marco voluntario de Singapur para desplegar IA de manera responsable

Componentes clave

Estructuras y medidas de gobernanza interna
Participacion humana en la toma de decisiones asistida por IA
Gestion operativa de sistemas de IA
Interaccion y comunicacion con partes interesadas

Aplicabilidad: Voluntario pero cada vez mas esperado por reguladores y clientes

Ver marco

Pruebas tecnicas

AI Verify Testing Framework

Kit de herramientas de pruebas tecnicas para validacion de sistemas de IA

Componentes clave

Pruebas de transparencia para explicabilidad
Deteccion de equidad y sesgo
Validacion de robustez y seguridad
Pruebas de seguridad y rendimiento

Aplicabilidad: Herramienta de validacion tecnica para el Model AI Governance Framework

Ver marco

Consejo: Aunque el Model AI Governance Framework de Singapur es voluntario, implementarlo demuestra practicas responsables de IA ante reguladores, clientes y partes interesadas. Combine con el cumplimiento de PDPA para proteccion integral de datos de IA.

Explorar politicas de gobernanza de IA

Registro de No Llamar

Registro de exclusion de Singapur para comunicaciones de marketing

Lo que necesita saber

El Registro de No Llamar (DNC) permite a los individuos optar por no recibir llamadas telefonicas de marketing, SMS, fax y MMS. Antes de enviar mensajes de marketing por estos canales, las organizaciones deben verificar el Registro DNC (valido por 30 dias) y mantener evidencia de la verificacion.

Que es

El Registro de No Llamar de Singapur permite a los individuos optar por no recibir mensajes de marketing

Canales cubiertos

Llamadas telefonicas, SMS, fax, MMS (excluyendo correos electronicos y correo fisico)

Antes de contactar

Verificar el Registro DNC y mantener evidencia de la verificacion (validez de 30 dias)

Exenciones

Relaciones continuas con clientes, escenarios limitados de consentimiento implicito

Sanciones

Hasta SGD 10,000 por infraccion

Checklist de cumplimiento DNC

Verificar Registro DNC
Antes de cada campana de marketing por canales cubiertos
Mantener evidencia
Conservar registros de verificaciones DNC por 3 anos
Respetar exclusiones
Detener marketing si el numero esta en el Registro DNC
Validar exenciones
Documentar relaciones continuas o consentimiento claro

Hoja de ruta de implementacion de 24 semanas

Un camino practico hacia el cumplimiento de PDPA con hitos claros

Fase 1Semanas 1-4

Base y analisis de brechas

Designar Oficial de Proteccion de Datos (DPO)
Realizar inventario de datos personales
Mapear flujos de datos y actividades de procesamiento
Evaluacion de brechas contra las 11 obligaciones

Fase 2Semanas 5-10

Marco de politicas y gobernanza

Desarrollar politicas de privacidad conformes con PDPA
Establecer procedimientos de recopilacion de consentimiento
Crear procesos de derechos del titular de datos
Implementar linea base de salvaguardas de seguridad

Fase 3Semanas 11-18

Implementacion operativa

Desplegar flujos de trabajo de notificacion de violacion de datos
Implementar calendarios de retencion y eliminacion
Establecer evaluaciones de transferencia transfronteriza
Capacitar al personal sobre requisitos de PDPA

Fase 4Semanas 19-24

Monitoreo y cumplimiento continuo

Activar procesos de monitoreo de cumplimiento
Realizar auditorias internas de PDPA
Establecer ejercicios de respuesta a incidentes
Crear ciclo de mejora continua

Sanciones y aplicacion

Comprender los poderes de aplicacion y marco de sanciones de PDPC

Sanciones financieras (enmiendas 2020)

Hasta SGD 1 millon en sanciones financieras, O
Hasta el 10% de la facturacion anual en Singapur (lo que sea mayor)
Aumento significativo del tope anterior de SGD 1 millon
PDPC considera el tamano de la organizacion, dano causado, historial de cumplimiento

Sanciones penales

Divulgacion no autorizada consciente o imprudente: hasta SGD 5,000 de multa
Uso indebido de datos personales: hasta SGD 5,000 o 2 anos de prision
Obstruccion de la investigacion de PDPC: sanciones adicionales
Los directores y funcionarios pueden ser personalmente responsables

Enfoque de aplicacion

PDPC publica decisiones de aplicacion publicamente
Dano reputacional por avisos publicos de aplicacion
Directivas obligatorias de cumplimiento y ordenes de remediacion
Auditorias de seguimiento para violaciones significativas

Tendencias recientes de aplicacion

Sanciones mas altas post-2020
Las sanciones financieras ahora alcanzan millones para violaciones graves
Decisiones de aplicacion publicas
PDPC publica casos de estudio detallados causando dano reputacional
Enfoque en responsabilidad
Politicas inadecuadas y supervision del DPO frecuentemente citadas

Factores que afectan las sanciones

Tamano de la organizacion y facturacion

Las organizaciones mas grandes enfrentan sanciones mas altas

Dano causado

Numero de individuos afectados y gravedad del impacto

Historial de cumplimiento

Las infracciones repetidas resultan en sanciones mas altas

Cooperacion con PDPC

El auto-reporte y esfuerzos de remediacion se consideran

Plantillas de politicas

Repositorio de politicas conformes con PDPA

Acceda a 37 politicas listas para usar alineadas con las obligaciones de PDPA, GDPR y el Model AI Governance Framework de Singapur

Politicas principales de PDPA

• Politica de Privacidad (Notificacion)
• Politica de Gestion de Consentimiento
• Politica de Derechos del Titular de Datos
• Politica de Proteccion de Datos
• Retencion y Eliminacion de Datos
• Politica de Transferencia Transfronteriza
+ 6 politicas mas

Incidentes y violaciones

• Notificacion de Violacion de Datos
• Procedimiento de Evaluacion de Violacion
• Plan de Respuesta a Incidentes
• Flujo de Trabajo de Reporte a PDPC
• Notificacion Individual
• Remediacion Post-Violacion
+ 4 politicas mas

Gobernanza de IA

• Marco de Gobernanza de IA
• Transparencia Algoritmica
• Evaluacion de Impacto de IA
• Politica de Humano en el Ciclo
• Estandares de Explicabilidad
• Equidad y Sesgo en IA
+ 5 politicas mas

Explorar todas las plantillas de politicas

Preguntas frecuentes

Preguntas comunes sobre el cumplimiento de PDPA

Si su organizacion es una entidad del sector privado que recopila, usa o divulga datos personales en Singapur, PDPA se aplica. Esto incluye empresas unipersonales, sociedades, empresas y entidades extranjeras con operaciones en Singapur. Las agencias del sector publico estan cubiertas por legislacion separada pero siguen principios similares. Consulte la descripcion general de PDPC para detalles de aplicabilidad.

Las enmiendas de 2020 (efectivas el 1 de febrero de 2021) introdujeron la notificacion obligatoria de violacion de datos dentro de 3 dias calendario a PDPC, excepciones ampliadas de interes legitimo al consentimiento, disposiciones de consentimiento implicito, sanciones financieras mejoradas hasta el 10% de la facturacion anual y requisitos mas estrictos de responsabilidad. Las organizaciones deben actualizar politicas y procedimientos para reflejar estos cambios.

Cuando ocurre una violacion de datos notificable (acceso, uso, divulgacion, perdida o modificacion no autorizados que probablemente resulten en dano significativo), tiene 3 dias calendario desde la evaluacion para notificar a PDPC. Tambien debe notificar a los individuos afectados cuando la violacion probablemente resulte en dano significativo o impacto significativo (violacion a gran escala). La plataforma ayuda a rastrear el cronograma de evaluacion y gestiona los flujos de trabajo de notificacion.

PDPA requiere que las organizaciones designen al menos un individuo responsable de asegurar el cumplimiento. Aunque no es obligatorio llamar a esta persona 'DPO', es una buena practica. La informacion de contacto del DPO debe estar disponible al publico. Para organizaciones mas pequenas, un empleado existente puede asumir esta responsabilidad junto con otras funciones.

Las enmiendas de 2020 introdujeron disposiciones de 'consentimiento implicito' donde el consentimiento puede considerarse otorgado en escenarios especificos sin opt-in explicito, como necesidad contractual o intereses legitimos. Las organizaciones aun deben proporcionar a los individuos aviso razonable y oportunidad de optar por no participar. Esto es mas limitado que la base de intereses legitimos del GDPR pero proporciona flexibilidad necesaria.

PDPA y GDPR comparten principios similares pero difieren en detalles. PDPA tiene un enfoque basado en consentimiento con excepciones limitadas de interes legitimo, mientras que GDPR tiene seis bases legales incluyendo intereses legitimos mas amplios. Los requisitos de consentimiento de PDPA son mas estrictos en algunos aspectos pero mas flexibles en otros. Las organizaciones que operan en ambas jurisdicciones a menudo cumplen con el requisito mas estricto.

Singapur publico un Model AI Governance Framework voluntario que complementa PDPA. Aunque es voluntario, es cada vez mas esperado por reguladores y clientes. Cubre gobernanza interna, supervision humana, gestion operativa y comunicacion con partes interesadas para sistemas de IA. VerifyWise ayuda a implementar tanto PDPA como requisitos de gobernanza de IA juntos.

Si, pero solo si la jurisdiccion receptora proporciona proteccion comparable O si implementa salvaguardas contractuales apropiadas (como Clausulas Contractuales Estandar o Normas Corporativas Vinculantes). Debe evaluar si la transferencia involucra datos sensibles, la ley de proteccion de datos de la jurisdiccion e implementar evaluaciones de impacto de transferencia para transferencias de alto riesgo. PDPC proporciona orientacion sobre mecanismos de transferencia aceptables.

Desde las enmiendas de 2020, PDPC puede imponer sanciones financieras hasta SGD 1 millon O el 10% de la facturacion anual en Singapur (lo que sea mayor). Las sanciones penales incluyen multas hasta SGD 5,000 y prision hasta 2 anos por violaciones conscientes o imprudentes. PDPC tambien publica decisiones de aplicacion, causando dano reputacional significativo. Los factores considerados incluyen el tamano de la organizacion, dano causado e historial de cumplimiento.

Debe responder a solicitudes de acceso a datos dentro de 30 dias calendario, proporcionando datos en forma comprensible. Puede cobrar una tarifa razonable para recuperar costos. Para solicitudes de correccion, debe corregir datos inexactos o incompletos y notificar a otras organizaciones a las que divulgo los datos. Existen excepciones limitadas (privilegio legal, solicitudes irrazonablemente repetitivas). La plataforma rastrea estos plazos y gestiona los flujos de trabajo de respuesta.

El Registro DNC de Singapur permite a los individuos optar por no recibir llamadas de marketing, SMS, fax y MMS (no correos electronicos o correo fisico). Antes de enviar mensajes de marketing por canales cubiertos, debe verificar el Registro DNC dentro de 30 dias y mantener evidencia. Las infracciones pueden resultar en sanciones de hasta SGD 10,000 por infraccion. Existen exenciones para relaciones continuas con clientes con consentimiento.

Los sistemas de IA que procesan datos personales deben cumplir con todas las obligaciones de PDPA. Esto incluye consentimiento para la recopilacion de datos, limitacion de proposito, precision, salvaguardas de seguridad y responsabilidad. El Model AI Governance Framework de Singapur proporciona orientacion voluntaria adicional sobre transparencia, equidad y supervision humana. Las organizaciones deben implementar tanto el cumplimiento de PDPA como la gobernanza de IA juntos. Consulte nuestra pagina de la Ley de IA de la UE para comparacion con otras regulaciones de IA.

Listo para lograr el cumplimiento de PDPA?

Inicie su camino de cumplimiento de PDPA con nuestra evaluacion guiada y herramientas de implementacion alineadas con las 11 obligaciones de proteccion de datos.

Iniciar evaluacion de PDPA Programar consulta