{"id":10227,"date":"2025-03-02T20:15:32","date_gmt":"2025-03-02T20:15:32","guid":{"rendered":"https:\/\/asy9.webcozumleri.com\/insights\/transferencia-internacional-de-datos-turquia-kvkk\/"},"modified":"2025-03-02T20:15:32","modified_gmt":"2025-03-02T20:15:32","slug":"transferencia-internacional-de-datos-turquia-kvkk","status":"publish","type":"insight","link":"https:\/\/asy9.webcozumleri.com\/es\/insights\/transferencia-internacional-de-datos-turquia-kvkk\/","title":{"rendered":"Transferencia internacional de datos personales en Turqu\u00eda"},"content":{"rendered":"<p>Publicada en el Bolet\u00edn Oficial n\u00fam. 32487 de fecha 12.03.2024, la Ley n\u00fam. 7499 introdujo cambios en la Ley de Protecci\u00f3n de Datos Personales n\u00fam. 6698 (la \u201c<strong>Ley<\/strong>\u201d). Posteriormente, el Reglamento sobre Procedimientos y Principios para la Transferencia de Datos Personales al Extranjero (\u201c<strong>Reglamento<\/strong>\u201d) fue publicado y entr\u00f3 en vigor en el Bolet\u00edn Oficial n\u00fam. 32598 de fecha 10.07.2024. En enero de 2025, la Gu\u00eda sobre la Transferencia de Datos Personales al Extranjero (\u201c<strong>Gu\u00eda<\/strong>\u201d) fue publicada en el sitio web de la Autoridad de Protecci\u00f3n de Datos Personales (\u201c<strong>Autoridad<\/strong>\u201d). Este marco redefine la transferencia internacional de datos personales en Turqu\u00eda.<\/p>\n<h2><strong>1. Introducci\u00f3n<\/strong><\/h2>\n<p>Anteriormente, la transferencia de datos personales al extranjero sin obtener el consentimiento expl\u00edcito del titular requer\u00eda la existencia de una de las condiciones previstas por la Ley y una decisi\u00f3n del Consejo de Protecci\u00f3n de Datos Personales (\u201c<strong>Consejo<\/strong>\u201d) que determinara que el pa\u00eds al que se transferir\u00edan los datos contaba con protecci\u00f3n adecuada, es decir, que estuviera incluido en la lista de pa\u00edses seguros.<\/p>\n<p>Si un pa\u00eds no se consideraba dotado de protecci\u00f3n adecuada, los datos personales pod\u00edan transferirse sin el consentimiento expl\u00edcito del titular si se cumpl\u00eda una de las condiciones pertinentes de tratamiento de datos, siempre que los responsables del tratamiento en T\u00fcrkiye y en el pa\u00eds correspondiente se comprometieran a proporcionar protecci\u00f3n adecuada mediante una carta de compromiso y que el Consejo otorgara autorizaci\u00f3n. Para empresas multinacionales que transfer\u00edan datos dentro de su propio grupo, deb\u00edan crearse normas corporativas vinculantes (\u201c<strong>BCR<\/strong>\u201d) y obtener la aprobaci\u00f3n del Consejo.<\/p>\n<p>Sin embargo, debido a la escasa aplicaci\u00f3n pr\u00e1ctica de las cartas de compromiso y de las BCR, y a que el Consejo concedi\u00f3 autorizaci\u00f3n en muy pocas solicitudes, la transferencia de datos al extranjero hab\u00eda pasado en la pr\u00e1ctica a depender casi exclusivamente de la obtenci\u00f3n del consentimiento expl\u00edcito de los titulares. Hasta el 01.06.2024, el Consejo recibi\u00f3 86 solicitudes presentadas mediante cartas de compromiso, de las cuales solo 10 fueron aprobadas. Adem\u00e1s, se presentaron 3 solicitudes de BCR, pero ninguna fue aprobada por deficiencias procedimentales y sustantivas.<\/p>\n<p>Esta situaci\u00f3n hac\u00eda casi imposible utilizar legalmente la mayor\u00eda de servidores situados en el extranjero y la mayor\u00eda de aplicaciones y software basados en la nube, y se estaba convirtiendo en una barrera para la inversi\u00f3n en el pa\u00eds. En este contexto, se ha previsto un mecanismo de tres alternativas para la transferencia de datos personales al extranjero. Los cambios buscan alinear la legislaci\u00f3n con el Reglamento de la UE 2016\/679 (Reglamento General de Protecci\u00f3n de Datos, RGPD) y responder a necesidades pr\u00e1cticas.<\/p>\n<h2><strong>2. M\u00e9todos de transferencia<\/strong><\/h2>\n<h3><strong> <\/strong><strong>a. Decisi\u00f3n de adecuaci\u00f3n<\/strong><\/h3>\n<p><strong> <\/strong>La transferencia de datos al extranjero puede producirse si existe una de las condiciones de tratamiento de datos mencionadas en los art\u00edculos 5 y 6 de la Ley y el Consejo emite una decisi\u00f3n de adecuaci\u00f3n respecto del lugar de transferencia.<\/p>\n<p>La pr\u00e1ctica de la decisi\u00f3n de adecuaci\u00f3n es paralela a la pr\u00e1ctica anterior de la \u201clista de pa\u00edses seguros\u201d. El prop\u00f3sito de esta evaluaci\u00f3n es confirmar que el nivel de protecci\u00f3n de datos del pa\u00eds, sector u organizaci\u00f3n internacional al que se transfieren los datos es equivalente al de T\u00fcrkiye. Esta evaluaci\u00f3n tendr\u00e1 en cuenta factores como la reciprocidad, la legislaci\u00f3n del pa\u00eds correspondiente, la existencia de una autoridad de protecci\u00f3n de datos independiente y efectiva, los recursos administrativos y judiciales, y si el pa\u00eds es parte de tratados internacionales o miembro de organizaciones internacionales.<\/p>\n<p>Anteriormente se indic\u00f3 en la decisi\u00f3n del Consejo de fecha 02.05.2019 y n\u00famero 2019\/125 que incluso el volumen comercial con el pa\u00eds correspondiente se tomar\u00eda en consideraci\u00f3n durante la evaluaci\u00f3n. En este punto, como se enfatiza en la Gu\u00eda, se espera que los pa\u00edses parte de tratados internacionales de los que T\u00fcrkiye tambi\u00e9n sea parte reciban prioridad al emitirse la decisi\u00f3n de adecuaci\u00f3n.<\/p>\n<p>La decisi\u00f3n de adecuaci\u00f3n que emita el Consejo puede referirse no solo al pa\u00eds al que se transferir\u00e1n los datos, sino tambi\u00e9n a un sector espec\u00edfico de ese pa\u00eds o a una organizaci\u00f3n internacional. El Consejo revisar\u00e1 la decisi\u00f3n de adecuaci\u00f3n al menos una vez cada cuatro a\u00f1os y, si lo considera necesario, podr\u00e1 modificarla, suspenderla o revocarla. Este periodo de cuatro a\u00f1os es un plazo regulatorio y, si el Consejo lo estima necesario, puede reevaluar la decisi\u00f3n de adecuaci\u00f3n antes de que expire dicho periodo.<\/p>\n<h3><strong>b. Garant\u00edas<\/strong> <strong>adecuadas<\/strong><\/h3>\n<p>Cuando no exista una decisi\u00f3n de adecuaci\u00f3n, la transferencia puede realizarse igualmente si concurre una de las condiciones de tratamiento de datos previstas en los art\u00edculos 5 y 6, siempre que el titular pueda ejercer sus derechos y acceder a recursos legales efectivos en el pa\u00eds de transferencia, y que existan garant\u00edas adecuadas.<\/p>\n<p><strong><u>Acuerdos:<\/u><\/strong> La transferencia puede efectuarse si existe un acuerdo, no clasificado como convenio internacional, entre instituciones y organizaciones p\u00fablicas, u organizaciones profesionales con estatus de instituci\u00f3n p\u00fablica en T\u00fcrkiye, e instituciones p\u00fablicas, organizaciones u organizaciones internacionales en el extranjero, y si el Consejo concede autorizaci\u00f3n para la transferencia. Estos acuerdos pueden adoptar la forma de protocolos de cooperaci\u00f3n, memorandos de entendimiento o acuerdos administrativos, como el acuerdo administrativo para la transferencia de datos personales entre la Agencia Turca de Medicamentos y Dispositivos M\u00e9dicos y la Comisi\u00f3n Europea.<\/p>\n<p><strong><u>Normas corporativas vinculantes:<\/u><\/strong> Las transferencias pueden realizarse cuando existan BCR aprobadas por el Consejo que contengan disposiciones sobre la protecci\u00f3n de datos personales que deban cumplir las empresas de un grupo que participa en una actividad econ\u00f3mica conjunta. Las BCR son reglas de protecci\u00f3n de datos personales que los miembros del grupo deben seguir en actividades de transferencia de datos personales desde un responsable o encargado establecido en T\u00fcrkiye hacia un responsable o encargado establecido en el extranjero dentro del mismo grupo. Las gu\u00edas con los aspectos que deben considerarse al preparar BCR fueron publicadas en el sitio web oficial de la Autoridad el 10.07.2024.<\/p>\n<p><strong><u>Contratos est\u00e1ndar:<\/u><\/strong> Si las partes de la transferencia firman un contrato est\u00e1ndar anunciado por el Consejo, que incluya detalles como categor\u00edas de datos, finalidades de la transferencia, grupos de destinatarios, medidas t\u00e9cnicas y administrativas que debe adoptar el destinatario y medidas adicionales para categor\u00edas especiales de datos personales, los datos pueden transferirse al extranjero. Cuatro tipos de modelos de contrato est\u00e1ndar que cubren distintos escenarios de transferencia fueron anunciados en el <a href=\"https:\/\/www.kvkk.gov.tr\/Icerik\/7998\/Standart-Sozlesme-Metinlerinin-Ingilizce-Cevirisine-Iliskin-Duyuru\" target=\"_blank\" rel=\"noopener\">sitio web<\/a> de la Autoridad tras un anuncio p\u00fablico el 10.07.2024.<\/p>\n<p>Despu\u00e9s de elegir el tipo adecuado de contrato est\u00e1ndar, las partes solo pueden modificar sus disposiciones opcionales o alternativas. No pueden realizarse adiciones, supresiones o modificaciones a los contratos est\u00e1ndar fuera de dichas disposiciones. Estos contratos est\u00e1ndar deben ser comunicados a la Autoridad por el responsable o encargado del tratamiento dentro de los 5 d\u00edas h\u00e1biles siguientes a su firma. El incumplimiento de esta obligaci\u00f3n de notificaci\u00f3n est\u00e1 sujeto a multa administrativa. Asimismo, si se producen cambios en las declaraciones o informaci\u00f3n proporcionada por las partes, o si el contrato est\u00e1ndar expira, debe notificarse a la Autoridad.<\/p>\n<p><strong><u>Carta de compromiso:<\/u><\/strong> Si existe un compromiso escrito entre las partes de la transferencia que incluya disposiciones que aseguren una protecci\u00f3n adecuada, la finalidad, alcance, naturaleza y base legal de la transferencia, el compromiso de cumplir los principios generales, restricciones a transferencias ulteriores de datos y regulaciones similares, y si el Consejo concede autorizaci\u00f3n para la transferencia, esta puede realizarse como en el periodo de aplicaci\u00f3n anterior.<\/p>\n<h3><strong>c. Casos incidentales o excepcionales<\/strong><\/h3>\n<p>Cuando no exista una decisi\u00f3n de adecuaci\u00f3n o no puedan proporcionarse garant\u00edas adecuadas, los datos pueden transferirse al extranjero en circunstancias limitadas calificadas como incidentales. Estos casos incidentales previstos en la Ley incluyen:<\/p>\n<ul>\n<li>Que el titular otorgue consentimiento expl\u00edcito tras haber sido informado de los riesgos potenciales,<\/li>\n<li>Que la transferencia sea necesaria para la ejecuci\u00f3n de un contrato entre el titular y el responsable del tratamiento, o para la aplicaci\u00f3n de medidas precontractuales adoptadas a solicitud del titular,<\/li>\n<li>Que la transferencia sea necesaria para la celebraci\u00f3n o ejecuci\u00f3n de un contrato que deba suscribirse entre el responsable del tratamiento y otra persona f\u00edsica o jur\u00eddica en beneficio del titular,<\/li>\n<li>Que la transferencia sea necesaria por un inter\u00e9s p\u00fablico prevalente,<\/li>\n<li>Que la transferencia sea necesaria para la constituci\u00f3n, ejercicio o protecci\u00f3n de una reclamaci\u00f3n legal,<\/li>\n<li>Que la transferencia sea necesaria para proteger la vida o integridad f\u00edsica de la propia persona o de cualquier otra persona que no pueda expresar su consentimiento por incapacidad f\u00edsica o cuyo consentimiento no se considere jur\u00eddicamente v\u00e1lido,<\/li>\n<li>Que la transferencia se realice desde un registro abierto al p\u00fablico o accesible a personas con inter\u00e9s leg\u00edtimo, siempre que se cumplan las condiciones de acceso al registro conforme a la legislaci\u00f3n pertinente y que la persona con inter\u00e9s leg\u00edtimo haya solicitado la transferencia.<\/li>\n<\/ul>\n<p>En los casos de circunstancias incidentales, no se requieren las condiciones establecidas en los art\u00edculos 5 y 6 de la Ley. Las transferencias de datos personales basadas en circunstancias incidentales no requieren permiso ni aprobaci\u00f3n del Consejo, ni existe obligaci\u00f3n de notificaci\u00f3n.<\/p>\n<p>No obstante, dado que las transferencias realizadas bajo circunstancias incidentales constituyen una excepci\u00f3n, debe aplicarse una interpretaci\u00f3n restrictiva. Primero debe evaluarse si existe una decisi\u00f3n de adecuaci\u00f3n o alguna de las garant\u00edas adecuadas; en su ausencia, la transferencia excepcional debe utilizarse solo como \u00faltimo recurso.<\/p>\n<p>Las transferencias incidentales pueden producirse m\u00e1s de una vez; sin embargo, para que las transferencias repetidas se consideren excepcionales, no deben ser regulares, no deben tener continuidad y deben producirse bajo circunstancias imprevistas y a intervalos irregulares, fuera del curso ordinario de las actuaciones.<\/p>\n<h2><strong>3. Evaluaciones y conclusi\u00f3n<\/strong><\/h2>\n<p>Se han conservado las normas que establecen que, si existe una disposici\u00f3n en un tratado internacional u otras leyes relativa a la transferencia de datos al extranjero, los datos personales pueden transferirse al extranjero conforme a dichas disposiciones. Por lo tanto, antes de evaluar decisiones de adecuaci\u00f3n, garant\u00edas adecuadas o supuestos de transferencia excepcional, debe determinarse en la etapa inicial de la actividad de transferencia si existe una disposici\u00f3n en un tratado internacional u otras leyes.<\/p>\n<p>Si no existe disposici\u00f3n en acuerdos internacionales u otras leyes, primero debe examinarse si hay una decisi\u00f3n de adecuaci\u00f3n. Si no existe decisi\u00f3n de adecuaci\u00f3n, debe evaluarse si puede proporcionarse alguna de las garant\u00edas adecuadas. Si esto no es posible, como \u00faltimo recurso debe analizarse si la transferencia constituye una transferencia incidental o excepcional.<\/p>\n<p>A la fecha de publicaci\u00f3n de este art\u00edculo, ning\u00fan pa\u00eds, sector u organizaci\u00f3n internacional ha recibido una decisi\u00f3n de adecuaci\u00f3n. Las razones que en el pasado retrasaron la creaci\u00f3n de la lista de pa\u00edses seguros son, en general, factores que tambi\u00e9n intervendr\u00e1n en el proceso de obtenci\u00f3n de una decisi\u00f3n de adecuaci\u00f3n, por lo que est\u00e1 por verse si la decisi\u00f3n se adoptar\u00e1 a corto plazo. Por ello, se espera que, por ahora, las aplicaciones pr\u00e1cticas se centren en las garant\u00edas adecuadas, predominando entre ellas las cl\u00e1usulas contractuales est\u00e1ndar.<\/p>\n<p>Como nota adicional, la Ley establece que las garant\u00edas previstas en la legislaci\u00f3n tambi\u00e9n deben proporcionarse para las transferencias ulteriores de datos personales transferidos al extranjero. Aunque la legislaci\u00f3n no regula expresamente c\u00f3mo debe exigirse el cumplimiento de las normas pertinentes por terceros cuando la parte receptora transfiere los datos a terceros, ni la Gu\u00eda aclara c\u00f3mo se supervisar\u00e1n las transferencias posteriores, pueden surgir problemas pr\u00e1cticos en relaci\u00f3n con dichas transferencias. Se espera que estas cuestiones se definan por la pr\u00e1ctica en el pr\u00f3ximo periodo.<\/p>\n<p>Conforme a la disposici\u00f3n transitoria \u201cArt\u00edculo Provisional 3\u201d a\u00f1adida a la Ley, las actividades de tratamiento de datos deben cumplir las nuevas normas a partir del 01.09.2024. En efecto, queda claro que las transferencias realizadas por empresas sobre la base del consentimiento expl\u00edcito obtenido de los titulares durante el periodo de aplicaci\u00f3n anterior ya no son v\u00e1lidas, y resulta crucial que las empresas que a\u00fan no se han adaptado a las nuevas normas identifiquen con prontitud el m\u00e9todo m\u00e1s aplicable a sus procesos de negocio y completen sus procedimientos de cumplimiento.<\/p>\n<p><em>Nota: Esta traducci\u00f3n se ofrece \u00fanicamente como cortes\u00eda y puede presentar peque\u00f1as diferencias respecto del texto original.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gu\u00eda sobre la transferencia internacional de datos personales en Turqu\u00eda tras la reforma de la KVKK: decisiones de adecuaci\u00f3n, garant\u00edas y casos excepcionales.<\/p>\n","protected":false},"author":2,"featured_media":7509,"template":"","insight_category":[],"insight_topic":[],"class_list":["post-10227","insight","type-insight","status-publish","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/asy9.webcozumleri.com\/es\/wp-json\/wp\/v2\/insight\/10227","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/asy9.webcozumleri.com\/es\/wp-json\/wp\/v2\/insight"}],"about":[{"href":"https:\/\/asy9.webcozumleri.com\/es\/wp-json\/wp\/v2\/types\/insight"}],"author":[{"embeddable":true,"href":"https:\/\/asy9.webcozumleri.com\/es\/wp-json\/wp\/v2\/users\/2"}],"version-history":[{"count":0,"href":"https:\/\/asy9.webcozumleri.com\/es\/wp-json\/wp\/v2\/insight\/10227\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/asy9.webcozumleri.com\/es\/wp-json\/wp\/v2\/media\/7509"}],"wp:attachment":[{"href":"https:\/\/asy9.webcozumleri.com\/es\/wp-json\/wp\/v2\/media?parent=10227"}],"wp:term":[{"taxonomy":"insight_category","embeddable":true,"href":"https:\/\/asy9.webcozumleri.com\/es\/wp-json\/wp\/v2\/insight_category?post=10227"},{"taxonomy":"insight_topic","embeddable":true,"href":"https:\/\/asy9.webcozumleri.com\/es\/wp-json\/wp\/v2\/insight_topic?post=10227"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}