Tratamiento de datos personales y LPDP
El panorama jurídico en torno a los datos digitales ha cambiado y evolucionado de forma constante a lo largo de los años. El ritmo general de este cambio se aceleró con la implementación del RGPD en Europa, que impulsó a otros países a adaptarse a este nuevo conjunto de normas y regulaciones. Para mantenerse al día con los cambios legislativos internacionales, Turquía también promulgó la Ley de Protección de Datos Personales No. 6698 (“la LPDP”) e impuso nuevas normas y obligaciones (similares a la Directiva 95/46/CE) para el tratamiento de datos personales en Turquía. (Consulte nuestro artículo anterior “Protección de datos personales en Turquía” para obtener una visión general de las disposiciones de la LPDP).
La implementación de la LPDP también supuso requisitos adicionales de cumplimiento y responsabilidades para las empresas que controlan y/o tratan de otro modo datos personales. Sin embargo, alcanzar el pleno cumplimiento de la LPDP y de las decisiones de la Autoridad de Protección de Datos (DPA) no es tarea sencilla, ya que las empresas deben implementar diversas medidas, desde la elaboración de nuevos documentos relativos al tratamiento de datos personales hasta medidas administrativas y técnicas adicionales, según lo indicado por la DPA. Para comprender mejor la LPDP y sus posibles responsabilidades, consulte nuestro artículo anterior “Protección de datos en Turquía” (también disponible aquí).
Aunque pueda parecer complejo, uno de los pasos más importantes para alcanzar el pleno cumplimiento de la LPDP es comprender plenamente cuándo y en qué circunstancias las empresas, los responsables del tratamiento y los encargados del tratamiento pueden llevar a cabo lícitamente actividades de tratamiento de datos personales. En consecuencia, el artículo 5 de la LPDP establece 8 principios (también conocidos como condiciones generales) para el tratamiento lícito de datos:
Condiciones generales para el tratamiento lícito de datos personales
Como se ilustra en el gráfico anterior, la LPDP permite el tratamiento de datos personales si: (i) el titular de los datos presta consentimiento explícito, (ii) está claramente previsto en la legislación, (iii) es necesario para proteger los intereses legítimos del responsable del tratamiento, (iv) es obligatorio para el establecimiento, ejercicio o protección de un derecho, (v) es divulgado al público por el titular de los datos correspondiente, (vi) es pertinente para la firma, ejecución y conclusión de un contrato, (vii) es necesario para la protección de la vida y/o la integridad física del titular de los datos en situaciones en las que no sea posible obtener consentimiento explícito, o (viii) es obligatorio para que el responsable del tratamiento cumpla sus obligaciones legales.
La principal razón por la que la LPDP prevé numerosas bases jurídicas para el tratamiento de datos es evitar que estas normas de protección de datos personales obstaculicen las actividades comerciales B2C cotidianas. En particular, las bases relativas al interés legítimo, al ejercicio de un derecho y a la ejecución de un contrato están diseñadas específicamente para permitir que los responsables/encargados del tratamiento traten los datos de sus clientes necesarios para la ejecución del contrato específico firmado entre ellos.
Sin embargo, esto no significa que los responsables/encargados del tratamiento puedan tratar cualquier dato que deseen sin realizar las comprobaciones y revisiones necesarias, ya que ciertas condiciones señaladas anteriormente son mutuamente excluyentes, lo que significa que una no puede estar presente si otra base jurídica resulta aplicable a ese tratamiento específico de datos personales.
En consecuencia, uno de los principales aspectos a tener en cuenta aquí es que, si la licitud del tratamiento de datos no se basa en el consentimiento explícito, sino en una de las otras 7 condiciones señaladas anteriormente, los responsables del tratamiento deben abstenerse de obtener un consentimiento adicional.
Problemas al obtener consentimientos de garantía
Uno de los errores más comunes que cometen los responsables y encargados del tratamiento es intentar obtener el consentimiento de los titulares de datos correspondientes incluso cuando se cumple una o más de las demás condiciones de tratamiento de datos. Obtener un consentimiento separado de un cliente para datos personales que son necesarios para ejecutar un contrato puede ser un buen ejemplo.
Estos se denominan “consentimientos de garantía”, ya que generalmente se obtienen porque los responsables del tratamiento desean garantizar que están protegidos frente a sanciones de la LPDP. Sin embargo, estos consentimientos de garantía causan más perjuicios que beneficios, ya que la DPA no acepta dichas cláusulas de consentimiento de garantía y declara expresamente que, si una de las otras 7 condiciones generales (distinta del consentimiento) es aplicable al tratamiento de datos personales, los responsables del tratamiento no deben obtener un consentimiento separado para dicho tratamiento.
La DPA sostiene que una cláusula de consentimiento (de garantía) llevará al titular de los datos a creer que puede retirar el consentimiento en cualquier momento y, por tanto, exigir al responsable del tratamiento que cese el tratamiento. Sin embargo, en los casos en que se aplica una de las otras 7 condiciones, esta falsa impresión causada por la cláusula de consentimiento induce a error a los titulares de datos, ya que el responsable del tratamiento puede (y en algunos casos debe) continuar tratando los datos incluso si el titular retira el consentimiento, con base en una o más de las otras 7 condiciones generales, según resulte aplicable a los datos correspondientes.
Estos consentimientos de “garantía” pueden incluso dar lugar a medidas administrativas y multas impuestas por la DPA, ya que la DPA considera este tipo de consentimientos como infracciones de los principios de la LPDP [para una revisión detallada de las multas administrativas de la LPDP, consulte nuestro artículo anterior “Cómo recurrir las multas administrativas impuestas por la Autoridad Turca de Protección de Datos”, (también disponible aquí)]
Por tanto, es imperativo que las empresas y los responsables del tratamiento realicen una evaluación completa de los datos personales que van a tratar para determinar con precisión si una o más de las 7 condiciones mencionadas anteriormente (salvo el consentimiento) son aplicables a ese conjunto específico de datos. En caso afirmativo, deben abstenerse de obtener un consentimiento adicional de los titulares de datos. En cambio, si ninguna de las 7 condiciones se aplica al conjunto específico de datos, se requerirá consentimiento explícito para tratar lícitamente dichos datos.
Esta traducción se ofrece únicamente con fines informativos y puede presentar diferencias respecto del texto original.
