Loading…
O PDPA de Singapura é uma lei de privacidade ponderada e pragmática que amadureceu significativamente desde as emendas de 2020. Ele utiliza um framework baseado em obrigações em vez da enumeração de bases legais do GDPR, possui regras integradas de marketing direto por meio do Do Not Call Registry e limita as penalidades a 10% do faturamento em Singapura. Para empresas com sede na APAC, o PDPA costuma ser onde o programa global de privacidade de fato é construído.
| Dimensão | 🇪🇺 GDPR | 🇸🇬 PDPA |
|---|---|---|
| Instrumento jurídico | Regulamento (UE) 2016/679 | Lei de Proteção de Dados Pessoais de 2012 (Lei nº 26 de 2012); as emendas de 2020 a fortaleceram substancialmente |
| Órgão regulador | 27 APDs dos Estados-Membros da UE + EDPB | Personal Data Protection Commission (PDPC) |
| Abordagem estrutural | Enumeração de bases legais (Art. 6); baseada em direitos (Capítulo III) | Baseada em obrigações — 9 obrigações centrais + regime Do Not Call + notificação de incidentes |
| Multa máxima | €20M ou 4% do faturamento global (Art. 83(5)) | Limite de S$1M; para organizações com faturamento anual em Singapura superior a S$10M, até 10% do faturamento anual |
| Multa de nível inferior | €10M ou 2% do faturamento global | Mesmo limite por infração; varia conforme o tipo de violação |
| Modelo de consentimento | Opt-in (uma das seis bases legais) | Obrigação de consentimento + consentimento presumido (baseado em notificação) + exceção de legítimo interesse |
| Bases legais | Seis — consentimento, contrato, obrigação legal, interesses vitais, tarefa de interesse público, legítimos interesses | Consentimento ou uma das 13 exceções legais (Anexos 1–2) |
| Requisito de notificação (consentimento) | Aviso de privacidade no momento da coleta | Obrigação de notificação — finalidade comunicada antes/no momento da coleta |
| Direito de acesso | Artigo 15 — confirmação + cópia em até 1 mês | Obrigação de acesso — em prazo razoável, taxa permitida |
| Direito de correção | Artigo 16 | Obrigação de correção |
| Direito à portabilidade | Artigo 20 — formato estruturado e de uso comum | Sim — adicionado pelas emendas de 2020 |
| Direito de exclusão | Artigo 17 | Implícito pela obrigação de limitação de retenção; sem direito autônomo de exclusão antes de 2020 |
| Exigência de DPO | Obrigatório em casos definidos (Artigo 37) | Obrigatório para todos os controladores (Seção 11(3) do PDPA) — nome e contato devem ser publicados |
| Notificação de incidente | 72 horas para a AS + notificar titulares se houver alto risco | 72 horas para a PDPC + notificar indivíduos afetados — limiar: dano significativo OU 500+ indivíduos |
| Transferência internacional | SCCs, BCR, adequação (Capítulo V) | Limitação de Transferência — avaliação de proteção comparável; salvaguardas contratuais |
| Marketing direto | Base legal exigida + regras de ePrivacy | Obrigação do Do Not Call Registry; arquitetura de consentimento + opt-out |
| Dados sensíveis | Artigo 9 — dados de categoria especial, consentimento explícito + condição | Sem categoria sensível formal — tratado por meio de consentimento específico para a finalidade |
| Dados de crianças | Idade padrão de 16 anos (Estados-Membros podem reduzir para 13) | Abaixo de 13 — consentimento dos pais |
| Selo de Proteção de Dados | Sem esquema formal | Sim — certificação voluntária (PDPA DPTM) |
| Início das sanções | Maio de 2018 | Sanções substantivas iniciadas em 2014; as emendas de 2020 aprimoraram a estrutura de limites |
Em grande parte. Adicione um DPO nomeado sob a Seção 11(3) com contato publicamente disponível, registre campanhas de marketing direto no Do Not Call Registry quando aplicável, garanta a notificação de incidentes em até 72 horas à PDPC e verifique as salvaguardas de Limitação de Transferência para transferências para fora de Singapura.
Singapura mantém um Do Not Call Registry nacional. Antes de enviar comunicações de telemarketing por voz, SMS ou fax para um número de Singapura, as organizações devem consultar o registro DNC pertinente (Voz, Texto, Fax). As violações são penalizadas separadamente sob o PDPA.
Certificação voluntária administrada pela IMDA. Demonstra a conformidade do titular com o PDPA — um sinal de confiança útil para vendas B2B, particularmente para compradores governamentais e do setor financeiro.
Moderada, mas consistente. A PDPC publica decisões de fiscalização e impôs multas na casa dos milhões de dólares a organizações como a SingHealth (S$250 mil), o Integrated Health Information Systems (S$750 mil) e diversas organizações de marketing por violações do DNC.
Não estritamente. O DPO deve ser contatável em um endereço publicado em Singapura, mas não precisa ser residente em Singapura. O RegulatoryBridge normalmente nomeia um DPO regional com presença em Singapura.
Mapeie os controles uma vez e cumpra duas. A RegulatoryBridge oferece um único pipeline de DSAR, um único DPO, um único runbook de violações — cobrindo ambas as estruturas.