Transferencias transfronterizas de datos en Turquía y efectos de la decisión de la Junta de Protección de Datos sobre Amazon Turquía

AV. Ali Yurtsever LLM

Junta de Protección de Datos recientemente emitió un nuevo Koops y multado Amazon Turquía 1.100.000 TRL por infracciones a la legislación de protección de datos y comercio electrónico, y por actos ilícitos transferencias de datos transfronterizas especialmente para transferencias de datos a sus filiales en el extranjero. En el futuro, la decisión tendrá serias ramificaciones con respecto a las transferencias de datos en Turquía, y para comprender mejor estas consecuencias, primero debemos comprender los antecedentes que llevaron a tal decisión.

 Protección de datos personales en Turquía

 En una economía globalizada donde las empresas de tecnología dominan y controlan gran parte del marketing de contenidos y donde los datos se ven como el nuevo oro, restringiendo y monitoreando transferencias de datos transfronterizas se está volviendo cada vez más importante, lo que también se destaca en la Decisión Amazon Turquía de la Junta de Protección de Datos (DPB). En este sentido, Turquía está adoptando una postura similar con respecto a la protección de datos que Europa, al implantar la Ley de Protección de Datos Personales No. 6698 (LPPD), que es esencialmente la versión turca del Reglamento General de Protección de Datos (RGPD).

Transferencia de Datos Personales a Terceros

Transferencias de datos personales a terceros están regulados de manera bastante restrictiva por la LPPD (similar a las disposiciones del RGPD). El artículo 5 de la LPPD establece claramente que los responsables del tratamiento no pueden transferir datos personales a terceros sin el consentimiento explícito del titular, salvo en las circunstancias previstas en los artículos 5/2 y 6/3. El artículo 9 establece además que las transferencias transfronterizas de datos están prohibidas a menos que el propietario de los datos dé su consentimiento explícito a tal transferencias de datos transfronterizas. El artículo 9/2 establece una excepción a esta regla y permite las transferencias de datos transfronterizas sin el consentimiento explícito de los propietarios de los datos en los casos en que se apliquen las circunstancias establecidas en los artículos 5/2 y 6/3 y si (i) “se requiere protección suficiente”. siempre en el país extranjero al que se van a transferir los datos” o (ii) “los controladores en Turquía y en el país extranjero relacionado garantizan una protección suficiente por escrito y la Junta ha autorizado dicha transferencia, cuando no se proporciona protección suficiente”.

Transferencias de datos y excepciones al consentimiento explícito

 Como se señaló anteriormente, la regla general para las transferencias de datos, ya sean nacionales o transfronterizas, es obtener el consentimiento explícito previo del propietario de los datos. No obstante, la LPPD sí prevé ciertas excepciones a este requisito tanto para los datos personales como para los datos personales de carácter especial, previstas en el artículo 5/2 y 6/3 respectivamente. De acuerdo con el artículo 5/2, los datos personales pueden procesarse y transferirse a terceros sin el consentimiento explícito del titular de los datos si:

  1. Proporcionado/requerido por la ley,
  2. Requerido para la protección de la vida o la integridad física de una persona que no está en condiciones corporales para dar su consentimiento,
  3. Requerido para la celebración, cumplimiento o adquisición de los servicios señalados en un contrato,
  4. Necesario para que el controlador de datos cumpla con sus deberes legales,
  5. Los datos son divulgados al público por el propietario de los datos,
  6. Los datos se consideran obligatorios para el establecimiento, el ejercicio o la protección de cualquier derecho, o
  7. Obligatorio para los intereses legítimos del responsable del tratamiento, siempre que no vulnere los derechos y libertades fundamentales del titular de los datos.

 El artículo 6/3 establece además que los datos personales de carácter especial, con exclusión de los datos relacionados con la salud y la vida sexual, pueden procesarse y transferirse a terceros sin el consentimiento explícito del titular de los datos si así lo prevén las leyes.

 Transferencias transfronterizas de datos y el problema de la protección suficiente

Estas disposiciones que establecen excepciones a la regla del consentimiento explícito para las transferencias de datos transfronterizas son bastante claras, ya que el Artículo 9/2 establece que las transferencias de datos transfronterizas pueden ejecutarse sin el consentimiento explícito del propietario de los datos si se brinda suficiente protección en el país extranjero donde se transferirán los datos. Teniendo en cuenta que esta LPPD es casi una traducción directa del RGPD, es razonable suponer que todas las transferencias de datos transfronterizas a uno o más de los países donde se aplica el RGPD estarán cubiertas por esta disposición y, por lo tanto, estarán exentas. del requisito de consentimiento explícito.

Desafortunadamente, este no es el caso. El problema aquí surge del inciso 3 del mismo artículo 9, que establece que la DPB determinará y anunciará los países donde se brinde suficiente nivel de protección. El DPB aún no ha anunciado dicha lista, lo que significa que la exención prevista en el Artículo 9/2/a aún no se aplica a ninguna transferencia de datos transfronteriza, incluidos los países donde se aplica el RGPD.

Resumen de la decisión de Amazon Turquía sobre transferencias de datos transfronterizas

 Quejas contra Amazon Turquía

Como se señaló al principio de este artículo, luego de una queja presentada por un usuario de Amazon Turquía con respecto al procesamiento y transferencia ilegal de datos, la Junta de Protección de Datos multó a Amazon Turquía con 1.100.000 TRL por transferencias de datos transfronterizas ilegales a sus filiales en el extranjero y por no Cumplimiento de las leyes de protección de datos y comercio electrónico. Una de las principales afirmaciones declaradas en este cumplimiento fue el hecho de que Amazon Turquía incluyó la frase "Podemos transferir sus datos personales a la Unión Europea y los Estados Unidos para almacenar y procesar su información personal en el contexto de los fines establecidos en este Aviso de privacidad.”, que, según la denuncia, violó las obligaciones establecidas en la LPPD debido a que Amazon Turquía no obtuvo el consentimiento explícito del propietario de los datos para dichas transferencias internacionales, sino que solo notificó que puede transferir los datos al exterior.

Decisión de Amazon Turquía de DPB con respecto a las transferencias de datos transfronterizas

Tras la denuncia, el DPB inició una investigación sobre Amazon Turquía y determinó que, de hecho, no obtuvo un consentimiento explícito de los propietarios de los datos para las transferencias de datos transfronterizas, sino que proporcionó a los propietarios de los datos la opción de optar por no participar o elegir a no compartir sus datos con terceros. Se determinó que este mecanismo de exclusión infringía la LPPD, ya que la ley exige claramente un consentimiento explícito de los propietarios de los datos para las transferencias de datos transfronterizas y, por lo tanto, requiere que los propietarios de los datos "se suscriban" explícitamente a dichas transferencias en lugar de en lugar de asumir que los propietarios de los datos optaron por esto de forma predeterminada y luego proporcionarles una opción de exclusión.

Dado que Amazon Turquía no obtuvo el consentimiento explícito previo de los propietarios de los datos, la única opción para que Amazon Turquía realizara transferencias de datos transfronterizas de forma legal en Turquía era afirmar que dichas transferencias se encontraban dentro del alcance de las exenciones previstas en el artículo 9/2. LPPD.

Sin embargo, como se vio anteriormente, dichas exenciones solo se aplican a las transferencias de datos transfronterizas si se brinda suficiente protección en el país extranjero donde se transferirán los datos y el DPB está autorizado para determinar los países con niveles suficientes de protección según el artículo 9. /3. El problema aquí es que, como también se mencionó anteriormente, el DPB aún debe publicar una lista de países exentos y, dado que esa lista aún no está disponible, esta exención proporcionada para países con protecciones suficientes aún no se aplica a ningún país, incluida la UE. países en los que se aplica el RGPD.

Dado que Amazon Turquía no puede beneficiarse de esta exención de "protección suficiente", eso deja la exención final provista en el Artículo 9/3, donde las transferencias de datos transfronterizas pueden realizarse sin consentimiento explícito previo a países sin protección suficiente, si los controladores de datos extranjeros en Turquía y en el país extranjero relacionado otorga cartas de garantía al DPB por escrito y la Junta aprueba dicha transferencia. Cabe señalar aquí que Amazon realmente presentó una garantía a la Junta para beneficiarse de dicha exención.

Sin embargo, al momento de esta denuncia y la decisión, la carta de garantía y la solicitud de exención de Amazon aún estaban pendientes ante el DPB, a la espera de la decisión final y aprobación de la Junta. El artículo 9/3 establece claramente que esta exención solo será aplicable si se proporciona una carta de garantía.  Y DE el DPB aprueba las transferencias, y dado que el DPB nunca aprobó la solicitud de exención de Amazon Turquía, el DPB decidió que dichas transferencias de datos transfronterizas ejecutadas por Amazon Turquía violaban las disposiciones de la LPPD.

Avanzando: Efectos de la decisión de Amazon Turquía sobre las transferencias de datos transfronterizas

La decisión de multar a Amazon Turquía fue una decisión muy controvertida por parte del DPB. Fue controvertido porque Amazon Turquía estaba transfiriendo datos personales a países de la UE, que deberían haber sido considerados países con suficiente protección ya que esos países también están bajo la regulación del RGPD, y porque Amazon Turquía ya había proporcionado a la Junta las cartas de garantía necesarias. beneficiarse de la segunda exención prevista en el artículo 9/3.

Aunque entendemos de dónde vienen los argumentos en contra de esta decisión, también creemos que la ley es bastante clara y transparente en cuanto a las exenciones. Las disposiciones de la LPPD establecen claramente que las exenciones para las transferencias de datos transfronterizas solo serán aplicables si el país donde se transfieren los datos tiene niveles suficientes de protección (a ser determinado por la Junta), o cuando la protección suficiente no está disponible, una carta de garantía se proporciona y la transferencia es aprobada por la Junta.

Dado que la Junta aún no publica la lista de países exentos, la única forma de beneficiarse de las exenciones de transferencia de datos transfronteriza es presentar una carta de garantía a la Junta y esperar la aprobación de la Junta para las transferencias. Aunque Amazon proporcionó una carta de garantía, no esperaron a que se procesara la solicitud y la aprobación de la Junta y continuaron con las transferencias de datos transfronterizas sin obtener consentimientos explícitos de los propietarios de los datos.

En este sentido, la DPB ha dejado muy clara su posición; si los controladores de datos desean realizar transferencias de datos transfronterizas sin obtener consentimientos explícitos, deben esperar a que se publique la lista de países exentos o presentar una carta de garantía y esperar la aprobación de la Junta. De lo contrario, todos los controladores de datos están obligados por la LPPD a obtener el consentimiento explícito de los propietarios de los datos antes de realizar transferencias de datos transfronterizas.

Select Language »