Publicada en el Boletín Oficial núm. 32487 de fecha 12.03.2024, la Ley núm. 7499 introdujo cambios en la Ley de Protección de Datos Personales núm. 6698 (la “Ley”). Posteriormente, el Reglamento sobre Procedimientos y Principios para la Transferencia de Datos Personales al Extranjero (“Reglamento”) fue publicado y entró en vigor en el Boletín Oficial núm. 32598 de fecha 10.07.2024. En enero de 2025, la Guía sobre la Transferencia de Datos Personales al Extranjero (“Guía”) fue publicada en el sitio web de la Autoridad de Protección de Datos Personales (“Autoridad”). Este marco redefine la transferencia internacional de datos personales en Turquía.
1. Introducción
Anteriormente, la transferencia de datos personales al extranjero sin obtener el consentimiento explícito del titular requería la existencia de una de las condiciones previstas por la Ley y una decisión del Consejo de Protección de Datos Personales (“Consejo”) que determinara que el país al que se transferirían los datos contaba con protección adecuada, es decir, que estuviera incluido en la lista de países seguros.
Si un país no se consideraba dotado de protección adecuada, los datos personales podían transferirse sin el consentimiento explícito del titular si se cumplía una de las condiciones pertinentes de tratamiento de datos, siempre que los responsables del tratamiento en Türkiye y en el país correspondiente se comprometieran a proporcionar protección adecuada mediante una carta de compromiso y que el Consejo otorgara autorización. Para empresas multinacionales que transferían datos dentro de su propio grupo, debían crearse normas corporativas vinculantes (“BCR”) y obtener la aprobación del Consejo.
Sin embargo, debido a la escasa aplicación práctica de las cartas de compromiso y de las BCR, y a que el Consejo concedió autorización en muy pocas solicitudes, la transferencia de datos al extranjero había pasado en la práctica a depender casi exclusivamente de la obtención del consentimiento explícito de los titulares. Hasta el 01.06.2024, el Consejo recibió 86 solicitudes presentadas mediante cartas de compromiso, de las cuales solo 10 fueron aprobadas. Además, se presentaron 3 solicitudes de BCR, pero ninguna fue aprobada por deficiencias procedimentales y sustantivas.
Esta situación hacía casi imposible utilizar legalmente la mayoría de servidores situados en el extranjero y la mayoría de aplicaciones y software basados en la nube, y se estaba convirtiendo en una barrera para la inversión en el país. En este contexto, se ha previsto un mecanismo de tres alternativas para la transferencia de datos personales al extranjero. Los cambios buscan alinear la legislación con el Reglamento de la UE 2016/679 (Reglamento General de Protección de Datos, RGPD) y responder a necesidades prácticas.
2. Métodos de transferencia
a. Decisión de adecuación
La transferencia de datos al extranjero puede producirse si existe una de las condiciones de tratamiento de datos mencionadas en los artículos 5 y 6 de la Ley y el Consejo emite una decisión de adecuación respecto del lugar de transferencia.
La práctica de la decisión de adecuación es paralela a la práctica anterior de la “lista de países seguros”. El propósito de esta evaluación es confirmar que el nivel de protección de datos del país, sector u organización internacional al que se transfieren los datos es equivalente al de Türkiye. Esta evaluación tendrá en cuenta factores como la reciprocidad, la legislación del país correspondiente, la existencia de una autoridad de protección de datos independiente y efectiva, los recursos administrativos y judiciales, y si el país es parte de tratados internacionales o miembro de organizaciones internacionales.
Anteriormente se indicó en la decisión del Consejo de fecha 02.05.2019 y número 2019/125 que incluso el volumen comercial con el país correspondiente se tomaría en consideración durante la evaluación. En este punto, como se enfatiza en la Guía, se espera que los países parte de tratados internacionales de los que Türkiye también sea parte reciban prioridad al emitirse la decisión de adecuación.
La decisión de adecuación que emita el Consejo puede referirse no solo al país al que se transferirán los datos, sino también a un sector específico de ese país o a una organización internacional. El Consejo revisará la decisión de adecuación al menos una vez cada cuatro años y, si lo considera necesario, podrá modificarla, suspenderla o revocarla. Este periodo de cuatro años es un plazo regulatorio y, si el Consejo lo estima necesario, puede reevaluar la decisión de adecuación antes de que expire dicho periodo.
b. Garantías adecuadas
Cuando no exista una decisión de adecuación, la transferencia puede realizarse igualmente si concurre una de las condiciones de tratamiento de datos previstas en los artículos 5 y 6, siempre que el titular pueda ejercer sus derechos y acceder a recursos legales efectivos en el país de transferencia, y que existan garantías adecuadas.
Acuerdos: La transferencia puede efectuarse si existe un acuerdo, no clasificado como convenio internacional, entre instituciones y organizaciones públicas, u organizaciones profesionales con estatus de institución pública en Türkiye, e instituciones públicas, organizaciones u organizaciones internacionales en el extranjero, y si el Consejo concede autorización para la transferencia. Estos acuerdos pueden adoptar la forma de protocolos de cooperación, memorandos de entendimiento o acuerdos administrativos, como el acuerdo administrativo para la transferencia de datos personales entre la Agencia Turca de Medicamentos y Dispositivos Médicos y la Comisión Europea.
Normas corporativas vinculantes: Las transferencias pueden realizarse cuando existan BCR aprobadas por el Consejo que contengan disposiciones sobre la protección de datos personales que deban cumplir las empresas de un grupo que participa en una actividad económica conjunta. Las BCR son reglas de protección de datos personales que los miembros del grupo deben seguir en actividades de transferencia de datos personales desde un responsable o encargado establecido en Türkiye hacia un responsable o encargado establecido en el extranjero dentro del mismo grupo. Las guías con los aspectos que deben considerarse al preparar BCR fueron publicadas en el sitio web oficial de la Autoridad el 10.07.2024.
Contratos estándar: Si las partes de la transferencia firman un contrato estándar anunciado por el Consejo, que incluya detalles como categorías de datos, finalidades de la transferencia, grupos de destinatarios, medidas técnicas y administrativas que debe adoptar el destinatario y medidas adicionales para categorías especiales de datos personales, los datos pueden transferirse al extranjero. Cuatro tipos de modelos de contrato estándar que cubren distintos escenarios de transferencia fueron anunciados en el sitio web de la Autoridad tras un anuncio público el 10.07.2024.
Después de elegir el tipo adecuado de contrato estándar, las partes solo pueden modificar sus disposiciones opcionales o alternativas. No pueden realizarse adiciones, supresiones o modificaciones a los contratos estándar fuera de dichas disposiciones. Estos contratos estándar deben ser comunicados a la Autoridad por el responsable o encargado del tratamiento dentro de los 5 días hábiles siguientes a su firma. El incumplimiento de esta obligación de notificación está sujeto a multa administrativa. Asimismo, si se producen cambios en las declaraciones o información proporcionada por las partes, o si el contrato estándar expira, debe notificarse a la Autoridad.
Carta de compromiso: Si existe un compromiso escrito entre las partes de la transferencia que incluya disposiciones que aseguren una protección adecuada, la finalidad, alcance, naturaleza y base legal de la transferencia, el compromiso de cumplir los principios generales, restricciones a transferencias ulteriores de datos y regulaciones similares, y si el Consejo concede autorización para la transferencia, esta puede realizarse como en el periodo de aplicación anterior.
c. Casos incidentales o excepcionales
Cuando no exista una decisión de adecuación o no puedan proporcionarse garantías adecuadas, los datos pueden transferirse al extranjero en circunstancias limitadas calificadas como incidentales. Estos casos incidentales previstos en la Ley incluyen:
- Que el titular otorgue consentimiento explícito tras haber sido informado de los riesgos potenciales,
- Que la transferencia sea necesaria para la ejecución de un contrato entre el titular y el responsable del tratamiento, o para la aplicación de medidas precontractuales adoptadas a solicitud del titular,
- Que la transferencia sea necesaria para la celebración o ejecución de un contrato que deba suscribirse entre el responsable del tratamiento y otra persona física o jurídica en beneficio del titular,
- Que la transferencia sea necesaria por un interés público prevalente,
- Que la transferencia sea necesaria para la constitución, ejercicio o protección de una reclamación legal,
- Que la transferencia sea necesaria para proteger la vida o integridad física de la propia persona o de cualquier otra persona que no pueda expresar su consentimiento por incapacidad física o cuyo consentimiento no se considere jurídicamente válido,
- Que la transferencia se realice desde un registro abierto al público o accesible a personas con interés legítimo, siempre que se cumplan las condiciones de acceso al registro conforme a la legislación pertinente y que la persona con interés legítimo haya solicitado la transferencia.
En los casos de circunstancias incidentales, no se requieren las condiciones establecidas en los artículos 5 y 6 de la Ley. Las transferencias de datos personales basadas en circunstancias incidentales no requieren permiso ni aprobación del Consejo, ni existe obligación de notificación.
No obstante, dado que las transferencias realizadas bajo circunstancias incidentales constituyen una excepción, debe aplicarse una interpretación restrictiva. Primero debe evaluarse si existe una decisión de adecuación o alguna de las garantías adecuadas; en su ausencia, la transferencia excepcional debe utilizarse solo como último recurso.
Las transferencias incidentales pueden producirse más de una vez; sin embargo, para que las transferencias repetidas se consideren excepcionales, no deben ser regulares, no deben tener continuidad y deben producirse bajo circunstancias imprevistas y a intervalos irregulares, fuera del curso ordinario de las actuaciones.
3. Evaluaciones y conclusión
Se han conservado las normas que establecen que, si existe una disposición en un tratado internacional u otras leyes relativa a la transferencia de datos al extranjero, los datos personales pueden transferirse al extranjero conforme a dichas disposiciones. Por lo tanto, antes de evaluar decisiones de adecuación, garantías adecuadas o supuestos de transferencia excepcional, debe determinarse en la etapa inicial de la actividad de transferencia si existe una disposición en un tratado internacional u otras leyes.
Si no existe disposición en acuerdos internacionales u otras leyes, primero debe examinarse si hay una decisión de adecuación. Si no existe decisión de adecuación, debe evaluarse si puede proporcionarse alguna de las garantías adecuadas. Si esto no es posible, como último recurso debe analizarse si la transferencia constituye una transferencia incidental o excepcional.
A la fecha de publicación de este artículo, ningún país, sector u organización internacional ha recibido una decisión de adecuación. Las razones que en el pasado retrasaron la creación de la lista de países seguros son, en general, factores que también intervendrán en el proceso de obtención de una decisión de adecuación, por lo que está por verse si la decisión se adoptará a corto plazo. Por ello, se espera que, por ahora, las aplicaciones prácticas se centren en las garantías adecuadas, predominando entre ellas las cláusulas contractuales estándar.
Como nota adicional, la Ley establece que las garantías previstas en la legislación también deben proporcionarse para las transferencias ulteriores de datos personales transferidos al extranjero. Aunque la legislación no regula expresamente cómo debe exigirse el cumplimiento de las normas pertinentes por terceros cuando la parte receptora transfiere los datos a terceros, ni la Guía aclara cómo se supervisarán las transferencias posteriores, pueden surgir problemas prácticos en relación con dichas transferencias. Se espera que estas cuestiones se definan por la práctica en el próximo periodo.
Conforme a la disposición transitoria “Artículo Provisional 3” añadida a la Ley, las actividades de tratamiento de datos deben cumplir las nuevas normas a partir del 01.09.2024. En efecto, queda claro que las transferencias realizadas por empresas sobre la base del consentimiento explícito obtenido de los titulares durante el periodo de aplicación anterior ya no son válidas, y resulta crucial que las empresas que aún no se han adaptado a las nuevas normas identifiquen con prontitud el método más aplicable a sus procesos de negocio y completen sus procedimientos de cumplimiento.
Nota: Esta traducción se ofrece únicamente como cortesía y puede presentar pequeñas diferencias respecto del texto original.
