La Junta de Protección de Datos emitió recientemente una nueva decisión e impuso a Amazon Turkey una multa de 1.100.000 TRY por infracciones de la legislación de protección de datos y comercio electrónico, así como por transferencias transfronterizas de datos ilícitas, especialmente por transferencias de datos a sus filiales en el extranjero. De cara al futuro, la decisión tendrá importantes repercusiones respecto de las transferencias de datos en Turquía y, para comprender mejor estas consecuencias, primero debemos entender los antecedentes que dieron lugar a dicha decisión.
Protección de datos personales en Turquía
En una economía globalizada en la que las empresas tecnológicas dominan y controlan gran parte del marketing de contenidos y en la que los datos se consideran el nuevo oro, restringir y supervisar las transferencias transfronterizas de datos resulta cada vez más importante, aspecto que también se destaca en la decisión de la Junta de Protección de Datos (DPB) sobre Amazon Turkey. En este sentido, Turquía adopta una postura similar a la europea en materia de protección de datos mediante la aplicación de la Ley de Protección de Datos Personales No. 6698 (LPPD), que es esencialmente la versión turca del Reglamento General de Protección de Datos (GDPR).
Transferencia de datos personales a terceros
Las transferencias de datos personales a terceros están reguladas de forma bastante restrictiva por la LPPD (de modo similar a las disposiciones del GDPR). El artículo 5 de la LPPD establece claramente que los responsables del tratamiento no pueden transferir datos personales a terceros sin el consentimiento expreso del titular de los datos, salvo en las circunstancias previstas en los artículos 5/2 y 6/3. El artículo 9 establece además que las transferencias transfronterizas de datos están prohibidas salvo que el titular de los datos consienta expresamente dichas transferencias transfronterizas de datos. El artículo 9/2 prevé una excepción a esta regla y permite transferencias transfronterizas de datos sin el consentimiento expreso de los titulares cuando sean aplicables las circunstancias previstas en los artículos 5/2 y 6/3 y si (i) “se proporciona protección suficiente en el país extranjero al que se transferirán los datos” o (ii) “los responsables en Turquía y en el país extranjero correspondiente garantizan por escrito una protección suficiente y la Junta ha autorizado dicha transferencia, cuando no se proporcione protección suficiente”.
Transferencias de datos y excepciones al consentimiento expreso
Como se ha señalado, la regla general para las transferencias de datos, sean nacionales o transfronterizas, es obtener el consentimiento expreso previo del titular de los datos. Sin embargo, la LPPD prevé ciertas excepciones a este requisito tanto para datos personales como para datos personales de naturaleza especial, establecidas respectivamente en los artículos 5/2 y 6/3. Según el artículo 5/2, los datos personales pueden tratarse y transferirse a terceros sin el consentimiento expreso del titular de los datos si:
- Está previsto/exigido por la ley,
- Es necesario para proteger la vida o la integridad física de una persona que no está en condiciones físicas de prestar consentimiento,
- Es necesario para la celebración, ejecución o prestación de los servicios indicados en un contrato,
- Es necesario para que el responsable del tratamiento cumpla sus obligaciones legales,
- Los datos han sido hechos públicos por el titular de los datos,
- Los datos se consideran obligatorios para el establecimiento, ejercicio o protección de un derecho, o
- Es obligatorio para los intereses legítimos del responsable, siempre que no vulnere los derechos y libertades fundamentales del titular de los datos.
El artículo 6/3 establece además que los datos personales de naturaleza especial, excluidos los relativos a la salud y a la vida sexual, pueden tratarse y transferirse a terceros sin el consentimiento expreso del titular si así lo prevén las leyes.
Transferencias transfronterizas de datos y el problema de la protección suficiente
Estas disposiciones que establecen excepciones a la regla del consentimiento expreso para las transferencias transfronterizas de datos son bastante claras, ya que el artículo 9/2 dispone que dichas transferencias pueden realizarse sin el consentimiento expreso del titular si se proporciona protección suficiente en el país extranjero al que se transferirán los datos. Considerando que esta LPPD es casi una traducción directa del GDPR, sería razonable asumir que todas las transferencias transfronterizas de datos hacia uno o más de los países en los que se aplica el GDPR quedarían cubiertas por esta disposición y, por tanto, exentas del requisito de consentimiento expreso.
Lamentablemente, no es así. El problema surge del apartado 3 del mismo artículo 9, que establece que la DPB determinará y anunciará los países en los que se proporciona un nivel suficiente de protección. La DPB aún no ha anunciado dicha lista, lo que significa que la excepción prevista en el artículo 9/2/a aún no resulta aplicable a ninguna transferencia transfronteriza de datos, incluidas las transferencias a países en los que se aplica el GDPR.
Resumen de la decisión sobre Amazon Turkey en materia de transferencias transfronterizas de datos
Reclamaciones contra Amazon Turkey
Como se indicó al inicio de este artículo, tras una reclamación presentada por un usuario de Amazon Turkey relativa al tratamiento y transferencia ilícitos de datos, la Junta de Protección de Datos impuso a Amazon Turkey una multa de 1.100.000 TRY por transferencias transfronterizas de datos ilícitas a sus filiales en el extranjero y por incumplimiento de la legislación de protección de datos y comercio electrónico. Una de las principales alegaciones formuladas en esta reclamación fue que Amazon Turkey incluyó la frase “Podemos transferir sus datos personales a la Unión Europea y a los Estados Unidos para almacenar y procesar su información personal en el contexto de los fines establecidos en este Aviso de Privacidad”, lo cual, según la reclamación, infringía las obligaciones establecidas en la LPPD porque Amazon Turkey no obtuvo el consentimiento expreso del titular de los datos para dichas transferencias internacionales, sino que se limitó a informar de que podía transferir los datos al extranjero.
Decisión de la DPB sobre Amazon Turkey respecto de las transferencias transfronterizas de datos
Tras la reclamación, la DPB inició una investigación sobre Amazon Turkey y determinó que, en efecto, no había obtenido consentimiento expreso de los titulares de los datos para las transferencias transfronterizas de datos, sino que había ofrecido a los titulares la opción de excluirse o elegir no compartir sus datos con terceros. Este mecanismo de exclusión voluntaria fue considerado contrario a la LPPD, ya que la ley exige claramente el consentimiento expreso de los titulares para las transferencias transfronterizas de datos y, por tanto, exige que los titulares opten expresamente por participar en dichas transferencias, en lugar de presumir que aceptaron por defecto y ofrecerles después una opción de exclusión.
Como Amazon Turkey no obtuvo el consentimiento expreso previo de los titulares de los datos, la única posibilidad para realizar lícitamente transferencias transfronterizas de datos en Turquía era sostener que dichas transferencias quedaban dentro del alcance de las excepciones previstas en el artículo 9/2 de la LPPD.
Sin embargo, como se ha visto, tales excepciones solo se aplican a las transferencias transfronterizas de datos si se proporciona protección suficiente en el país extranjero al que se transferirán los datos, y la DPB está autorizada para determinar los países con niveles suficientes de protección conforme al artículo 9/3. El problema aquí, como también se indicó, es que la DPB aún no ha publicado esa lista de países exentos y, dado que la lista aún no está disponible, esta excepción prevista para países con protección suficiente todavía no se aplica a ningún país, incluidos los países de la UE en los que se aplica el GDPR.
Dado que Amazon Turkey no puede beneficiarse de esta excepción de “protección suficiente”, queda la excepción final prevista en el artículo 9/3, conforme a la cual las transferencias transfronterizas de datos pueden realizarse sin consentimiento expreso previo hacia países sin protección suficiente si los responsables extranjeros de datos en Turquía y en el país extranjero correspondiente entregan cartas de garantía por escrito a la DPB y la Junta aprueba dicha transferencia. Debe señalarse aquí que Amazon sí presentó una garantía ante la Junta para beneficiarse de esta excepción.
No obstante, en el momento de la reclamación y de la decisión, la carta de garantía y la solicitud de excepción de Amazon todavía estaban pendientes ante la DPB, a la espera de la decisión y aprobación final de la Junta. El artículo 9/3 establece claramente que esta excepción solo será aplicable si se presenta una carta de garantía Y la DPB aprueba las transferencias; dado que la DPB nunca aprobó la solicitud de excepción de Amazon Turkey, la DPB decidió que dichas transferencias transfronterizas de datos realizadas por Amazon Turkey infringían las disposiciones de la LPPD.
De cara al futuro: efectos de la decisión Amazon Turkey sobre las transferencias transfronterizas de datos
La decisión de multar a Amazon Turkey fue una decisión muy controvertida de la DPB. Fue controvertida porque Amazon Turkey transfería datos personales a países de la UE, que deberían haberse considerado países con protección suficiente al estar también sujetos a la regulación del GDPR, y porque Amazon Turkey ya había presentado ante la Junta las cartas de garantía necesarias para beneficiarse de la segunda excepción prevista en el artículo 9/3.
Aunque entendemos el origen de los argumentos contra esta decisión, también consideramos que la ley es bastante clara y transparente respecto de las excepciones. Las disposiciones de la LPPD establecen claramente que las excepciones para transferencias transfronterizas de datos solo serán aplicables si el país al que se transfieren los datos tiene niveles suficientes de protección (a determinar por la Junta), o, cuando no exista protección suficiente, si se presenta una carta de garantía y la transferencia es aprobada por la Junta.
Dado que la Junta aún no ha publicado la lista de países exentos, la única forma de beneficiarse de las excepciones a las transferencias transfronterizas de datos es presentar una carta de garantía ante la Junta y esperar la aprobación de la Junta para las transferencias. Aunque Amazon sí presentó una carta de garantía, no esperó a que se tramitara la solicitud ni a la aprobación de la Junta, y continuó con las transferencias transfronterizas de datos sin obtener consentimientos expresos de los titulares.
En este sentido, la DPB ha dejado su posición abundantemente clara: si los responsables del tratamiento desean realizar transferencias transfronterizas de datos sin obtener consentimientos expresos, deben esperar a que se publique la lista de países exentos o presentar una carta de garantía y esperar la aprobación de la Junta. En caso contrario, la LPPD exige a todos los responsables del tratamiento obtener consentimiento expreso de los titulares de los datos antes de realizar transferencias transfronterizas de datos.
Esta traducción se ofrece únicamente con fines informativos y puede presentar diferencias respecto del texto original.
