Protección de datos personales en Turquía

AV. Ali Yurtsever LLM

La Ley de Protección de Datos Personales

Con la entrada en vigor de la Ley de Protección de Datos Personales N° 6698 ('la LPDP'), se impusieron nuevas normas y obligaciones a los responsables y encargados del tratamiento. La LPDP estipuló además graves multas pecuniarias y penas de prisión para quienes incumplan estas obligaciones. Desafortunadamente, la mayoría de los controladores/procesadores de datos en Turquía no lograron comprender las responsabilidades potenciales que surgen de las disposiciones de LPDP. Uno de los errores más comunes entre los controladores/procesadores de datos es que tienden a creer que la LPDP y las disposiciones de protección de datos personales solo son aplicables a aquellos que deben registrarse en el Registro de Responsables del Tratamiento (VERBIS).

Esta suposición es, por supuesto, falsa ya que el requisito de registro de VERBIS es un requisito/obligación independiente y no está vinculado a la aplicabilidad de las disposiciones de la LPDP. Por lo tanto, es de suma importancia que todas las empresas (o personas físicas) que procesen datos personales cumplan con las normas y procedimientos establecidos en la LPDP, independientemente de la obligación de registro de VERBIS.

Verificación de datos: ¿se aplica el LPDP a su empresa?

Uno de los principales problemas con la aplicabilidad de la LPDP es que las empresas, accionistas y/o personas físicas interpreten erróneamente los términos previstos en la legislación. Los errores más comunes se refieren a los términos "procesamiento de datos" y "controlador de datos", ya que la mayoría de los representantes de la empresa piensan erróneamente que el almacenamiento y el procesamiento de datos son dos conceptos diferentes y, dado que solo almacenan datos personales, no pueden considerarse controladores de datos, lo que en a su vez conduce a que la empresa no tome ninguna medida en relación con el cumplimiento de la LPDP y la protección de datos personales.

Por lo tanto, es crucial que los accionistas y representantes de la empresa comprendan completamente los conceptos/términos de datos personales, procesamiento de datos, el controlador de datos y el procesador de datos para determinar con precisión qué disposiciones de protección de datos personales/LPDP les son aplicables.

una. Información personal se define de manera muy amplia dentro de la LPDP. De acuerdo con esta definición, los datos personales significan “toda la información que pertenece a una persona física cuya identidad es o puede ser determinada”. Con esta definición amplia, toda información que permita al titular de los datos identificar a una persona específica se considerará como datos personales. Estos pueden incluir datos de identificación, nombre, apellido, fecha de nacimiento, números de teléfono, CV, fotos, ingresos, preferencias de gastos, dirección, número de hijos, direcciones de correo electrónico e IP, aficiones, información de ubicación, etc. En consecuencia, el general La regla es que, si algún fragmento de información puede permitir la identificación de una persona específica, esa información se considera como datos personales.

b. Procesamiento de datos personales se define además en la LPDP como “cualquier operación realizada sobre datos personales tales como la recolección, registro, almacenamiento, retención, alteración, reorganización, divulgación, transferencia, toma de posesión, recuperación, clasificación o impedimento del uso de los mismos, total o parcialmente a través de medios automáticos o siempre que el proceso sea parte de algún sistema de registro de datos, a través de medios no automáticos”. Por lo tanto, incluso el mero acto de almacenar cualquiera de los datos personales mencionados anteriormente se considerará un acto de procesamiento, incluso si el controlador de datos relevante no utiliza los datos de manera significativa o impactante.

C. Controlador de datos se define como “la persona física o jurídica que determina la finalidad y los medios del tratamiento de datos personales y es responsable de establecer y administrar el sistema de registro de datos”. Para ilustrar, si su empresa procesa datos personales como la dirección de correo electrónico, el número de teléfono, la dirección particular, el nombre, el apellido o la fecha de nacimiento de un cliente, ya sea en un medio físico, digitalmente en un servidor o a través de proveedores de servicios externos. , entonces su empresa se considerará responsable del tratamiento según la LPDP y deberá cumplir con las normas de protección de datos personales.

d. Procesador de datos se define como “la persona física o jurídica que procesa datos personales en nombre del controlador con su autorización”. En este contexto, si por ejemplo, las finanzas de su empresa y sus declaraciones de impuestos son manejadas por un contador externo, ya sea una persona física o una empresa externa, este contador externo procesa estos documentos contables (como facturas que pueden contengan datos de carácter personal) tendrán la consideración de encargados del tratamiento.

mi. Sistema de Registro de Datos se define como, “el sistema de registro en el que se registran los datos personales al estar estructurado de acuerdo con ciertos criterios”. Por lo tanto, se considerará como un sistema de registro de datos todo sistema diseñado para almacenar y procesar datos.

Requisitos y responsabilidades potenciales del LPDP

Como se indicó anteriormente, cualquier persona física y/o jurídica que pueda ser calificada como responsable del tratamiento y/o encargado del tratamiento de datos personales estará obligada a observar las normas establecidas por la LPDP en el tratamiento de datos personales. Estos términos se conocen colectivamente como condiciones generales para el procesamiento de datos, que se analizan en detalle en un artículo separado. En consecuencia, la mayoría de los tratamientos de datos que se realicen de conformidad con las presentes condiciones generales se considerarán conformes, siempre que el responsable/encargado del tratamiento de los datos personales cumpla íntegramente con la LPDP y su normativa secundaria.

Por el contrario, el incumplimiento de las normas y condiciones establecidas en la LPDP puede dar lugar a la aplicación de una serie de restricciones y multas al responsable/encargado del tratamiento de datos personales. Estos pueden ir desde medidas restrictivas hasta multas administrativas de hasta 1.000.000 TRY.- (se pueden aplicar multas incluso más altas dependiendo de la infracción).

La determinación de las multas administrativas se deja a discreción del personal Autoridad de Protección de Datos (APD), ya que el artículo 18 de la LPPD solo establece un límite inferior y superior para las multas administrativas que pueden imponerse. En consecuencia, la DPA está facultada para imponer sanciones administrativas a quienes infrinjan las obligaciones previstas en la LPPD conforme al artículo 22 de la LPDP.

Este amplio poder discrecional de la DPA ha causado algunos problemas en ciertas medidas administrativas aplicadas a diferentes controladores/procesadores de datos en el pasado, ya que algunos han argumentado que la DPA ha abusado de su autoridad al emitir multas desde el límite superior sin proporcionar una causa justa para hacerlo (algunos incluso han presentado demandas contra las multas impuestas). Para comprender mejor estos temas relacionados con las multas administrativas emitidas por la LPDP, consulte nuestro artículo anterior titulado “Apelaciones contra multas administrativas impuestas por la Autoridad de Protección de Datos de Turquía" (también disponible aquí).

Conclusión

Para ser justos, las reglas y regulaciones que rigen el procesamiento de datos pueden parecer complejas, especialmente para las entidades extranjeras que intentan operar en el mercado turco. La principal fuente de confusión es, por supuesto, el texto de la LPDP y el hecho de que los controladores y procesadores de datos también deben tener en cuenta las decisiones de la DPA al implementar nuevas reglas internas de procesamiento de datos, lo que puede ser un desafío para los extranjeros, ya que las decisiones de la DPA son generalmente no está disponible en ningún otro idioma que no sea turco.

Además, esta legislación de protección de datos personales todavía es bastante nueva y, por lo tanto, evoluciona y cambia continuamente, principalmente con nuevas decisiones y multas de DPA. Esta naturaleza evolutiva de los mecanismos de cumplimiento también presenta desafíos y problemas significativos si los controladores/procesadores de datos optan por utilizar un texto legal estandarizado para garantizar el cumplimiento de estas reglas, ya que estos textos estandarizados suelen estar muy desactualizados y contienen una redacción incorrecta o, en algunos casos, absolutamente insuficiente. y mecanismos.

Por lo tanto, es imperativo que los controladores de datos y/o procesadores de datos consulten a un experto para garantizar que sus mecanismos de cumplimiento de protección de datos personales se implementen correctamente para evitar multas innecesarias y evitables en el futuro.

Select Language »