AV. Ali Yurtsever LLM
Tratamiento de datos personales y LPDP
El panorama legal que rodea a los datos digitales ha ido cambiando y evolucionando constantemente a lo largo de los años. El ritmo general de este cambio aumentó con la implementación del RGPD en Europa, lo que empujó a otros países a adaptarse a este nuevo conjunto de normas y reglamentos. Para mantenerse al día con los cambios legislativos internacionales, Turquía también promulgó la Ley de Protección de Datos Personales No. 6698 ('LPDP') e impuso nuevas reglas y obligaciones (similares a la Directiva 95/46/EC) para el procesamiento de datos personales en Turquía. (Consulte nuestro artículo anterior “Protección de datos personales en Turquía” para una descripción general de las disposiciones de la LPDP).
La implementación de la LPDP también significó requisitos de cumplimiento y responsabilidades adicionales para las empresas que controlan y/o procesan datos personales. Sin embargo, lograr el pleno cumplimiento de la LPDP y la Autoridad de Protección de Datos (DPA) tomar decisiones no es una tarea fácil, ya que las empresas deben implementar diversas medidas, desde la redacción de nuevos documentos relacionados con el procesamiento de datos personales hasta medidas administrativas y técnicas adicionales como se describe en la DPA. Para comprender mejor la LPDP y sus posibles responsabilidades, consulte nuestro artículo anterior "Protección de datos en Turquía" (también disponible aquí).
Si bien puede parecer complejo, uno de los pasos más importantes para lograr el pleno cumplimiento de la LPDP es comprender completamente cuándo y dónde las empresas, los controladores de datos y los procesadores de datos pueden realizar legalmente actividades de procesamiento de datos personales. En consecuencia, el artículo 5 de la LPDP establece 8 principios (también conocidos como condiciones generales) para el tratamiento lícito de datos:
Condiciones Generales para el Tratamiento lícito de Datos Personales
Como se ilustra en el gráfico anterior, la LPDP permite el tratamiento de datos personales si; (i) el titular de los datos da su consentimiento explícito, (ii) está claramente previsto en la legislación, (iii) es necesario para proteger los intereses legítimos del controlador de datos, (iv) es obligatorio para el establecimiento, ejercicio o protección de un derecho , (v) es divulgada al público por el titular de los datos correspondiente, (vi) relevante para la firma, ejecución y celebración de un contrato, (vii) necesaria para la protección de la vida y/o la integridad física del titular de los datos, en situaciones en las que no es posible obtener el consentimiento explícito, or (viii) obligatoria para el responsable del tratamiento para el cumplimiento de sus obligaciones legales.
La razón principal por la que la LPDP proporciona numerosas bases legales para el procesamiento de datos es evitar que estas reglas de protección de datos personales obstaculicen las actividades comerciales B2C del día a día. En especial, las bases relativas al interés legítimo, el ejercicio de un derecho y la ejecución de un contrato están diseñadas específicamente para permitir a los responsables/encargados del tratamiento tratar los datos de sus clientes necesarios para la ejecución del contrato específico suscrito entre ellos.
Sin embargo, esto no significa que los controladores/procesadores de datos puedan procesar los datos que deseen sin realizar las comprobaciones y revisiones necesarias, ya que ciertas condiciones mencionadas anteriormente son mutuamente excluyentes, lo que significa que uno no puede estar presente si se aplica otra base legal a esos datos personales específicos. Procesando.
En consecuencia, uno de los principales problemas a tener en cuenta aquí es que si la legalidad del procesamiento de datos no se basa en el consentimiento explícito sino en una de las 7 condiciones restantes mencionadas anteriormente, los controladores de datos deben abstenerse de obtener un consentimiento adicional.
Problemas con la obtención de consentimientos de garantía
Uno de los errores más comunes que cometen los controladores y procesadores de datos es que intentan obtener el consentimiento de los propietarios de datos relevantes, incluso cuando se cumplen una o más de las otras condiciones de procesamiento de datos. Obtener el consentimiento por separado de un cliente para los datos personales que se requieren para ejecutar un contrato puede ser un buen ejemplo aquí.
Estos se denominan "Consentimientos de garantía", ya que generalmente se obtienen porque los controladores de datos quieren garantizar que están protegidos contra las sanciones de LPDP. Sin embargo, estos consentimientos de garantía hacen más daño que bien, ya que la DPA no acepta dichas cláusulas de consentimiento de garantía y establece explícitamente que si una de las otras 7 condiciones generales (que no sea el consentimiento) es aplicable para el procesamiento de datos personales, entonces los datos los controladores no deben obtener un consentimiento por separado para ese procesamiento.
La DPA argumenta que una cláusula de consentimiento (de garantía) hará que el propietario de los datos crea que puede retirar el consentimiento en cualquier momento y, por lo tanto, exigirá al controlador de datos que detenga el procesamiento. Sin embargo, en los casos en que se aplica una de las otras 7 condiciones, esta falsa impresión causada por la cláusula de consentimiento induce a error a los propietarios de los datos, ya que el controlador de datos puede (y en algunos casos está obligado a hacerlo) continuar procesando los datos incluso si el propietario de los datos retira el consentimiento, en base a una o más de las otras 7 condiciones generales, según corresponda a los datos relevantes.
Estos consentimientos de “garantía” pueden incluso dar lugar a medidas administrativas y multas emitidas por la DPA, ya que la DPA considera este tipo de consentimientos como violaciones de los principios de la LPDP [para una revisión detallada de las multas administrativas de la LPDP, consulte nuestro artículo anterior “Cómo apelar las multas administrativas impuestas por la autoridad de protección de datos de Turquía", (también disponible esta página)].
Por lo tanto, es imperativo que las empresas y los controladores de datos realicen una evaluación completa de los datos personales que van a procesar para determinar con precisión si una o más de las 7 condiciones mencionadas anteriormente (excepto el consentimiento) son aplicables a ese conjunto de datos específico. . En caso afirmativo, deben abstenerse de obtener un consentimiento adicional de los propietarios de los datos. Mientras que si ninguna de las 7 condiciones se aplica al conjunto de datos específico, se requerirán consentimientos explícitos para procesar legalmente esos datos.
Una respuesta a “”
Los comentarios están cerrados.