Menú
Menú

Transferencia de datos personales al extranjero: marco legal vigente en Turquía

Publicada en el Diario Oficial N° 32487 de fecha 12.03.2024, la Ley N° 7499 introdujo cambios a la Ley de Protección de Datos Personales N° 6698 (la “Ley. ”). Posteriormente, el Reglamento sobre los Procedimientos y Principios para la Transferencia de Datos Personales al Extranjero (“Regulación”) se publicó y entró en vigencia en el Diario Oficial No. 32598 de fecha 10.07.2024. En enero de 2025, se publicó la Guía sobre transferencia de datos personales al extranjero (“Guía”) se publicó en el sitio web de la Autoridad de Protección de Datos Personales (“Autoridad").

1. Introducción

Anteriormente, la transferencia de datos personales al extranjero sin obtener el consentimiento explícito del titular de los datos, requería la existencia de una de las condiciones previstas por la Ley, y la Junta de Protección de Datos Personales (“Junta Directiva ”) decidir que el país al que se transferirían los datos contaba con la protección adecuada (estar incluido en la lista de países seguros).

Si se considera que un país no ofrece la protección adecuada, los datos personales pueden transferirse sin el consentimiento explícito del interesado, siempre que se cumpla una de las condiciones de procesamiento de datos pertinentes, siempre que los responsables del tratamiento de datos en Turquía y el país en cuestión se comprometan a ofrecer una protección adecuada (mediante la presentación de una carta de compromiso) y la Junta Directiva haya otorgado el permiso. Para las empresas multinacionales que transfieren datos entre sí, se aplican normas corporativas vinculantes (“BCR”) debía ser creado y aprobado por la Junta Directiva.

Sin embargo, debido a la falta de aplicación práctica de las cartas de compromiso y las NCV y a que el Consejo concedió autorización para muy pocas solicitudes, la transferencia de datos al extranjero prácticamente se había vuelto dependiente únicamente de la obtención del consentimiento explícito de los titulares de los datos. Hasta el 01.06.2024, el Consejo recibió 86 solicitudes presentadas mediante cartas de compromiso, de las cuales solo 10 fueron aprobadas. Además, se presentaron 3 solicitudes de NCV pero ninguna de ellas fue aprobada debido a deficiencias de procedimiento y de fondo.

Esta situación había hecho casi imposible utilizar de forma legal la mayoría de los servidores ubicados en el extranjero y la mayoría de los software y aplicaciones basados ​​en la nube, y se estaba convirtiendo en una barrera para la inversión en nuestro país. En este contexto, se ha previsto un mecanismo de tres alternativas para la transferencia de datos personales al extranjero. Los cambios tienen como objetivo alinear la legislación con el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos (RGPD)) y abordar necesidades prácticas.

2. Métodos de transferencia

 a. Decisión de adecuación

 La transferencia de datos al extranjero puede ocurrir si existe una de las condiciones de procesamiento de datos mencionadas en los artículos 5 y 6 de la Ley y la Junta emite una decisión de adecuación sobre el lugar de transferencia.

La práctica de la decisión de adecuación es paralela a la práctica anterior de la “lista de países seguros”. El propósito de esta evaluación es confirmar que el nivel de protección de datos del país, sector u organización internacional al que se transfieren los datos es equivalente al de Turquía. Esta evaluación tendrá en cuenta factores como la reciprocidad, la legislación del país en cuestión, la existencia de una autoridad de protección de datos independiente y eficaz, los recursos administrativos y judiciales y si el país es parte de tratados internacionales o miembro de organizaciones internacionales.

En la decisión del Consejo de Administración, de fecha 02.05.2019 de mayo de 2019 y con el número 125/XNUMX, se indicó anteriormente que, durante la evaluación pertinente, se tendría en cuenta incluso el volumen de comercio con el país en cuestión. En este punto, como se destaca en la Directriz, se espera que, al emitir la decisión de adecuación, se dé prioridad a los países que son parte de tratados internacionales de los que Turquía es parte.

La decisión de adecuación que debe emitir el Comité puede referirse no sólo al país al que se transferirán los datos, sino también a un sector específico de ese país o a una organización internacional. El Comité revisará la decisión de adecuación al menos una vez cada cuatro años y, si lo considera necesario, podrá modificarla, suspenderla o revocarla. Este período de cuatro años es un plazo reglamentario y, si el Comité lo considera necesario, podrá reevaluar la decisión de adecuación antes de que expire este período.

b. Apropiado Salvaguardias

Cuando no haya una decisión de adecuación, la transferencia aún puede proceder si se cumple una de las condiciones de procesamiento de datos especificadas en los artículos 5 y 6, siempre que el interesado pueda ejercer sus derechos y acceder a recursos legales efectivos en el país de transferencia y que existan garantías adecuadas.

Acuerdos: La transferencia se puede realizar si existe un acuerdo, que no esté clasificado como un convenio internacional, entre instituciones y organizaciones públicas u organizaciones profesionales con estatus de institución pública en Turquía e instituciones, organizaciones públicas u organizaciones internacionales en el extranjero, y si la Junta concede permiso para la transferencia. Estos acuerdos pueden adoptar la forma de protocolos de cooperación, memorandos de entendimiento o acuerdos administrativos, como el acuerdo administrativo para la transferencia de datos personales entre la Agencia Turca de Medicamentos y Productos Sanitarios y la Comisión Europea.

Normas corporativas vinculantes: Las transferencias pueden realizarse en presencia de BCR aprobadas por la Junta, que contienen disposiciones sobre protección de datos personales que las empresas dentro de un grupo que participan en una actividad económica conjunta deben cumplir. Las BCR son reglas de protección de datos personales que deben seguir los miembros del grupo en el caso de actividades de transferencia de datos personales de un responsable o encargado del tratamiento de datos establecido en Turquía a un responsable o encargado del tratamiento de datos establecido en el extranjero dentro del mismo grupo. Las directrices que contienen las consideraciones que deben tenerse en cuenta al preparar las BCR se publicaron en el sitio web oficial de la Autoridad el 10.07.2024 de julio de XNUMX.

Contratos estándar: Si las partes de la transferencia firman un contrato estándar anunciado por la Junta, que contiene detalles como categorías de datos, propósitos de la transferencia de datos, grupos de destinatarios, medidas técnicas y administrativas que debe adoptar el destinatario de los datos y medidas adicionales para categorías especiales de datos personales, los datos pueden transferirse al extranjero. En el sitio web de la Autoridad se anunciaron cuatro tipos de modelos de contrato estándar que cubren diferentes escenarios de transferencia. sitio web tras un anuncio público el 10.07.2024.

Una vez elegido el tipo de contrato tipo adecuado, las partes solo pueden modificar las disposiciones opcionales o alternativas del mismo. No se pueden realizar adiciones, supresiones o modificaciones a los contratos tipo más allá de estas disposiciones. El responsable o encargado del tratamiento de datos debe comunicar estos contratos tipo a la Autoridad en el plazo de 5 días hábiles a partir de la firma. El incumplimiento de esta obligación de notificación está sujeto a una multa administrativa. Además, si se producen cambios en las declaraciones o la información proporcionadas por las partes o si el contrato tipo expira, se debe realizar una notificación a la Autoridad.

Carta de compromiso: Si existe un compromiso escrito entre las partes sobre la transferencia que incluya disposiciones que garanticen una protección adecuada, el propósito, el alcance, la naturaleza y la base legal de la transferencia, un compromiso de cumplir con los principios generales, las restricciones a las transferencias posteriores de datos y regulaciones similares, y si la Junta otorga permiso para la transferencia, la transferencia puede continuar como en el período de implementación anterior.

c. Casos incidentales (excepcionales)

En los casos en que no se haya tomado una decisión sobre la idoneidad o no se puedan proporcionar las garantías adecuadas, los datos podrán transferirse al extranjero en circunstancias limitadas especificadas como incidentales. Estos casos incidentales especificados en la Ley incluyen:

  • El interesado da su consentimiento explícito tras ser informado de los posibles riesgos,
  • La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la aplicación de medidas precontractuales adoptadas a petición del interesado,
  • La transferencia sea necesaria para la celebración o ejecución de un contrato que deba ejecutarse entre el responsable del tratamiento y otra persona física o jurídica en beneficio del interesado,
  • La transferencia sea necesaria para un interés público superior,
  • La transferencia sea necesaria para el establecimiento, ejercicio o protección de un derecho legal,
  • El traslado sea necesario para la protección de la vida o la integridad física de la propia persona o de cualquier otra persona que no pueda justificar su consentimiento debido a una discapacidad física o cuyo consentimiento no se considere legalmente válido,
  • La transferencia se realiza desde un registro abierto al público o accesible a personas con interés legítimo, siempre que se cumplan las condiciones de acceso al registro previstas en la legislación aplicable y que la persona con interés legítimo haya solicitado la transferencia.

En los casos de circunstancias incidentales, no se requieren las condiciones establecidas en los artículos 5 y 6 de la Ley. Las transferencias de datos personales basadas en circunstancias incidentales no requieren permiso ni aprobación del Directorio, ni existe obligación de notificación.

Sin embargo, dado que las transferencias realizadas en circunstancias incidentales constituyen una excepción, se debe aplicar una interpretación estricta. En primer lugar, se debe evaluar si se dispone de una decisión de adecuación o de alguna de las salvaguardias adecuadas; en su defecto, la transferencia excepcional se debe utilizar sólo como último recurso.

“Las transferencias incidentales pueden ocurrir más de una vez; sin embargo, para que las transferencias que ocurren repetidamente se consideren excepcionales, no deben ser regulares, no deben tener continuidad y deben tener lugar en circunstancias imprevistas y a intervalos irregulares, fuera del curso ordinario de las acciones”.

3. Evaluaciones y conclusiones

Se han mantenido las normas que establecen que, si existe una disposición en un tratado internacional u otras leyes relativas a la transferencia de datos al extranjero, los datos personales pueden transferirse al extranjero de conformidad con dichas disposiciones. Por lo tanto, antes de evaluar las decisiones de adecuación, las salvaguardas apropiadas o los casos excepcionales de transferencia, se debe determinar si existe una disposición en un tratado internacional u otras leyes en la etapa inicial de la actividad de transferencia.

Si no existe ninguna disposición al respecto en los acuerdos internacionales u otras leyes, se debe examinar en primer lugar si se puede adoptar una decisión de adecuación. Si no existe una decisión de adecuación, se debe evaluar si se puede proporcionar alguna de las salvaguardas adecuadas. Si esto no es posible, como último recurso se debe evaluar si la transferencia constituye una transferencia incidental (excepcional).

A la fecha de publicación de este artículo, no hay ningún país, sector u organización internacional al que se le haya otorgado una decisión de adecuación. Las razones que retrasaron la creación de la lista de países seguros en el pasado son, en general, factores que también entrarán en juego en el proceso de obtención de una decisión de adecuación, por lo que aún está por ver si la decisión se tomará en el corto plazo. Por lo tanto, se espera que, por ahora, las aplicaciones prácticas se centren en las salvaguardas adecuadas, y entre estas salvaguardas se aplicarán predominantemente las cláusulas contractuales estándar.

Como nota adicional, la Ley estipula que también se deben establecer salvaguardas en la legislación para las transferencias posteriores de datos personales al extranjero. Si bien la legislación no regula explícitamente cómo se debe hacer cumplir el cumplimiento de las regulaciones pertinentes por parte de terceros cuando la parte receptora transfiere los datos a terceros, la Guía tampoco proporciona claridad sobre cómo se monitorearán las transferencias posteriores. Por lo tanto, pueden surgir problemas prácticos con respecto a las transferencias posteriores. Se espera que estas cuestiones se vean condicionadas por las prácticas en el próximo período.

Según la disposición transitoria “Artículo transitorio 3” añadida a la Ley, las actividades de tratamiento de datos deberán cumplir con la nueva normativa a partir del 01.09.2024. De hecho, está claro que las transferencias realizadas por empresas basadas en el consentimiento explícito obtenido de los interesados ​​durante el período de implementación anterior ya no son válidas, y es fundamental que las empresas que aún no hayan cumplido con la nueva normativa identifiquen rápidamente el método más aplicable a sus procesos comerciales y completen sus procedimientos de cumplimiento.

Avukat Ece Elvan Celep - ASY Legal

Avenida Ece Elvan Celep

Contacto para consulta

Biografía del autor

Artículos Relacionados