Protección de datos personales en Turquía

Verificación práctica: ¿se aplica la LPDP a su empresa?

Uno de los principales problemas relativos a la aplicabilidad de la LPDP es que las empresas, accionistas y/o personas físicas interpretan erróneamente los términos señalados en la legislación. Los errores más comunes se refieren a los términos “tratamiento de datos” y “responsable del tratamiento”, ya que la mayoría de los representantes de empresas piensan equivocadamente que el almacenamiento y el tratamiento de datos son dos conceptos distintos y que, puesto que solo almacenan datos personales, no pueden ser considerados responsables del tratamiento, lo que a su vez lleva a la empresa a no tomar ninguna medida en materia de cumplimiento de la LPDP y protección de datos personales.

Por tanto, es crucial que los accionistas y representantes de la empresa comprendan plenamente los conceptos/términos de datos personales, tratamiento de datos, responsable del tratamiento y encargado del tratamiento para determinar con precisión qué disposiciones de la LPDP/protección de datos personales les resultan aplicables.

a. Datos personales se define de manera muy amplia en la LPDP. Conforme a esta definición, datos personales significa “toda información relativa a una persona física cuya identidad está determinada o puede determinarse”. Con esta definición amplia, toda información que pueda permitir al poseedor de los datos identificar a una persona concreta se considerará dato personal. Esto puede incluir datos de identificación, nombre, apellido, fecha de nacimiento, números de teléfono, CV, fotografías, ingresos, preferencias de gasto, dirección, número de hijos, direcciones de correo electrónico e IP, aficiones, información de ubicación, etc. En consecuencia, la regla general es que, si cualquier fragmento de información puede permitir la identificación de una persona concreta, dicha información se considera dato personal.

b. Tratamiento de datos personales se define además en la LPDP como “cualquier operación realizada sobre datos personales, como la recopilación, registro, almacenamiento, conservación, modificación, reorganización, divulgación, transferencia, recepción, puesta a disposición, clasificación o impedimento de su uso, total o parcialmente por medios automáticos o, siempre que el proceso forme parte de cualquier sistema de registro de datos, por medios no automáticos”. Por tanto, incluso el mero acto de almacenar cualquiera de los datos personales antes mencionados se considerará un acto de tratamiento, aunque el responsable del tratamiento correspondiente no utilice los datos de ninguna manera significativa o relevante.

c. Responsable del tratamiento se define como “la persona física o jurídica que determina la finalidad y los medios del tratamiento de datos personales y es responsable de establecer y gestionar el sistema de registro de datos”. A modo de ejemplo, si su empresa trata cualquier dato personal, como la dirección de correo electrónico, número de teléfono, domicilio, nombre, apellido o fecha de nacimiento de un cliente, ya sea en soporte físico, digitalmente en un servidor o a través de proveedores de servicios externos, entonces su empresa será considerada responsable del tratamiento conforme a la LPDP y deberá cumplir las normas de protección de datos personales.

d. Encargado del tratamiento se define como “la persona física o jurídica que trata datos personales en nombre del responsable del tratamiento, previa autorización de este”. En este contexto, si, por ejemplo, las finanzas de su empresa y sus declaraciones fiscales son gestionadas por un contador externo, ya sea una persona física o una empresa tercera, dicho contador externo que procesa estos documentos contables (como facturas que pueden contener datos personales) será considerado encargado del tratamiento.

e. Sistema de registro de datos se define como “el sistema de registro en el que los datos personales se registran mediante su estructuración conforme a determinados criterios”. Por tanto, todos los sistemas diseñados para almacenar y tratar datos de otro modo se considerarán sistemas de registro de datos.

Requisitos de la LPDP y posibles responsabilidades

Como se señaló anteriormente, toda persona y/o entidad jurídica que pueda clasificarse como responsable del tratamiento de datos personales y/o encargado del tratamiento de datos personales deberá adherirse a las normas establecidas por la LPDP al tratar datos personales. Estos términos se conocen colectivamente como condiciones generales para el tratamiento de datos, que se analizan en detalle en un artículo separado. En consecuencia, la mayoría de los tratamientos de datos realizados con observancia de estas condiciones generales se considerarán conformes, siempre que el responsable/encargado del tratamiento cumpla plenamente la LPDP y sus normas secundarias.

Por el contrario, el incumplimiento de las normas y condiciones establecidas por la LPDP puede dar lugar a la aplicación de varias restricciones y multas contra el responsable/encargado del tratamiento de datos personales. Estas pueden variar desde medidas restrictivas hasta multas administrativas de hasta TRY 1.000.000.- (pueden aplicarse multas incluso más elevadas dependiendo de la infracción).

La determinación de las multas administrativas queda a discreción de la Autoridad de Protección de Datos (DPA), ya que el artículo 18 de la LPDP solo prevé un límite inferior y superior para las multas administrativas que pueden imponerse. En consecuencia, la DPA está autorizada para imponer sanciones administrativas a quienes infrinjan las obligaciones establecidas en la LPDP de conformidad con el artículo 22 de la LPDP.

Esta amplia potestad discrecional de la DPA ha generado algunos problemas en determinadas medidas administrativas aplicadas a distintos responsables/encargados del tratamiento en el pasado, ya que algunos han sostenido que la DPA abusó de su autoridad al imponer multas desde el límite superior sin aportar una causa justificada para ello (algunos incluso han presentado demandas contra las multas impuestas). Para comprender mejor estas cuestiones en torno a las multas administrativas impuestas por la LPDP, consulte nuestro artículo anterior titulado “Recursos contra multas administrativas impuestas por la Autoridad Turca de Protección de Datos” (también disponible aquí).

Conclusión

Para ser justos, las normas y regulaciones que rigen el tratamiento de datos pueden parecer complejas, especialmente para entidades extranjeras que intentan operar dentro del mercado turco. La principal fuente de confusión es, por supuesto, el texto de la LPDP, así como el hecho de que los responsables y encargados del tratamiento también deben tener en cuenta las decisiones de la DPA al implementar nuevas normas internas de tratamiento de datos, lo que puede resultar difícil para extranjeros, ya que las decisiones de la DPA generalmente no están disponibles en ningún idioma distinto del turco.

Además, esta legislación de protección de datos personales es todavía bastante nueva y, por tanto, evoluciona y cambia de forma continua, principalmente con nuevas decisiones y multas de la DPA. Esta naturaleza evolutiva de los mecanismos de cumplimiento también presenta desafíos y problemas significativos si los responsables/encargados del tratamiento optan por utilizar textos legales estandarizados para asegurar el cumplimiento de estas normas, ya que dichos textos estandarizados suelen estar muy desactualizados y contienen formulaciones erróneas o, en algunos casos, abiertamente insuficientes.

Por tanto, es imperativo que los responsables y/o encargados del tratamiento consulten a un experto para asegurarse de que sus mecanismos de cumplimiento en materia de protección de datos personales se implementen adecuadamente y evitar en el futuro cualquier multa innecesaria y evitable.

Esta traducción se ofrece únicamente con fines informativos y puede presentar diferencias respecto del texto original.